Responsible disclosure-beleid

Mijndokters Technologies B.V. · Laatst bijgewerkt: 6 december 2025

Bij Mijndokters Technologies heeft de beveiliging van onze systemen en data de hoogste prioriteit. Ondanks onze inspanningen kunnen er toch kwetsbaarheden bestaan. We waarderen het als je ons helpt om beveiligingsproblemen te identificeren en op een verantwoorde manier te melden, zodat wij deze snel en veilig kunnen oplossen.

We verbinden ons ertoe elke melding met respect, vertrouwelijkheid en eerlijkheid te behandelen.

Onze interne beveiligingsverantwoordelijkheid geldt voor alle systemen en diensten die door Mijndokters Technologies worden beheerd. Niet al deze systemen vallen binnen de scope voor publiek testen of beloningen.

Ons responsible disclosure- / beloningsprogramma richt zich op:

  • Publieke, klantgerichte productiesystemen die door Mijndokters Technologies worden beheerd.
  • Systemen onder door ons beheerde domeinen die klant- of patiëntgegevens verwerken of blootstellen.

De volgende onderdelen komen niet in aanmerking voor testen of beloningen onder dit beleid en worden in plaats daarvan via onze interne beveiligingsprocessen beschermd:

  • Ontwikkel-, test- en acceptatie-/stagingomgevingen.
  • Interne CI/CD- en buildsystemen (bijv. Drone, build pipelines).
  • Derde-partijsystemen die niet door ons worden beheerd (bijv. hostingproviders, analytische tools, betalingsverwerkers).
  • Denial-of-service (DoS/DDoS)-testen, loadtesten of brute-force-aanvallen.
  • Social engineering (bijv. phishing van medewerkers, misleiding van support).
  • Fysieke aanvallen op onze kantoren, datacenters of apparatuur.

Als je niet zeker weet of een doel in scope is, neem dan vooraf contact met ons op voordat je tests uitvoert.

Volg dan alsjeblieft deze richtlijnen:

  • Meld de kwetsbaarheid via e-mail naar security@mijndokters.com.
  • Versleutel je bericht met onze PGP-sleutel (PGP fingerprint: 14D6 A69E 0DE5 1576 FF52 A236 0691 9A17 13B0 D539).
  • Maak geen misbruik van de kwetsbaarheid (bijvoorbeeld door gegevens te downloaden, wijzigen of verwijderen).
  • Deel geen informatie over de kwetsbaarheid met anderen voordat wij hebben bevestigd dat het probleem is opgelost.
  • Vermijd aanvallen die fysieke toegang, social engineering, denial-of-service, spam of tests van systemen van derden omvatten.
  • Geef voldoende details om het probleem te kunnen reproduceren en verifiëren — zoals de getroffen URL, parameters, IP-adres, impact en een duidelijke stap-voor-stap beschrijving.
  • Bevestiging: wij sturen binnen 3 werkdagen een ontvangstbevestiging van je melding.
  • Beoordeling: je ontvangt een eerste evaluatie en een geschatte oplostermijn.
  • Vertrouwelijkheid: wij behandelen je melding en persoonlijke gegevens strikt vertrouwelijk.
  • Geen juridische stappen: indien je te goeder trouw handelt en dit beleid naleeft, ondernemen wij geen juridische stappen tegen je.
  • Transparantie: wij houden je op de hoogte van ons onderzoek en de uiteindelijke oplossing.
  • Erkenning: met je toestemming vermelden wij je naam als ontdekker zodra het probleem is opgelost.

Als blijk van waardering bieden wij een beloning voor geldige, nog onbekende kwetsbaarheden:

  • Minimale beloning: €50 (cadeaubon).
  • De hoogte van de beloning hangt af van de ernst, impact en kwaliteit van de melding.
  • Duplicaten of bevindingen met een lage impact komen mogelijk niet in aanmerking voor een beloning.
  • Beloningen worden naar eigen inzicht van Mijndokters Technologies toegekend.

Wij streven ernaar om bevestigde kwetsbaarheden binnen 90 dagen na validatie op te lossen. Indien meer tijd nodig is voor de oplossing, houden wij je hiervan op de hoogte. Na het oplossen moedigen wij een gecoördineerde openbaarmaking aan, in samenwerking met ons, zodat de communicatie over het probleem accuraat en veilig verloopt.