naar: Home

Responsible disclosure

Bent u specialist in informatiebeveiliging en heeft u een kwetsbaarheid ontdekt? Meld dit aan ons zodat we passende maatregelen kunnen treffen. We werken graag met u samen!

Bij Menzis staat de bescherming van klantgegevens voorop. Daarom werken wij doorlopend aan de beschikbaarheid en veiligheid van onze systemen, ons netwerk en onze producten. Ondanks onze zorg voor de beveiliging van onze systemen kunnen deze toch kwetsbaarheden bevatten.

Bent u deskundig op het gebied van informatiebeveiliging en heeft u een mogelijke kwetsbaarheid ontdekt, meld dit aan ons, zodat we snel passende maatregelen kunnen treffen. Wij werken graag met u samen om onze klanten en onze systemen nog beter te beschermen.

Onze Responsible Disclosure policy (hierna RD-policy) is geen uitnodiging om ons bedrijfsnetwerk actief te scannen op zwakke plekken. Hiervoor hebben wij zelf maatregelen genomen. Doet u dit wel, dan is de kans groot dat ons Security Operations Centre (SOC) hier onderzoek naar gaat doen.

Melding doen

Heeft u een kwetsbaarheid gevonden? Stuur dan uw bevindingen naar: rd [at] menzis [punt] nl. Na ontvangst van uw melding wordt deze als volgt behandeld:

  • U krijgt binnen drie werkdagen na de melding een ontvangstbevestiging.
  • Binnen vijf werkdagen na de ontvangstbevestiging ontvangt u een reactie met daarin een beoordeling van de melding en de verwachte oplossingsdatum. We streven ernaar om u ook tussentijds op de hoogte te houden over de voortgang.
  • Menzis behandelt uw melding vertrouwelijk en deelt uw gegevens niet zonder uw toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
  • We bepalen samen met u of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. In de berichtgeving over het gemelde probleem zal Menzis, indien gewenst, uw naam vermelden als ontdekker.
  • Voor het melden van een kwetsbaarheid deelt u mogelijk persoonsgegevens met Menzis. Menzis bewaart deze gegevens niet langer dan nodig voor dit specifieke doel en zal deze uiterlijk één maand na oplossing van het probleem verwijderen.

Spelregels

Tijdens uw onderzoek kunt u handelingen verrichten die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen en goede bedoelingen, is er voor Menzis geen aanleiding om aangifte te doen of een schadeclaim in te dienen. We vragen u daarom onderstaande spelregels te volgen en verantwoordelijk te handelen:

  • Deel het gevonden probleem niet met anderen totdat het is opgelost. Wis alle vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid direct na het oplossen van de kwetsbaarheid.
  • Geef ons zo volledig mogelijk informatie over hoe en wanneer de kwetsbaarheid zich voordoet. Beschrijf duidelijk hoe dit probleem gereproduceerd kan worden en geef informatie over de gebruikte methode en het tijdstip van onderzoeken.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem.
    Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Maak geen misbruik van de zwakke plek en bewaar geen vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid in het systeem.
  • Misbruik de zwakke plek niet door bijvoorbeeld meer data te downloaden dan nodig is of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Deel uw contactgegevens (e-mailadres of telefoonnummer) met ons, zodat Menzis contact kan opnemen over de beoordeling en voortgang van de oplossing van de kwetsbaarheid.
  • Breng geen systeemveranderingen aan.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • Probeer niet vaker dan nodig toegang tot het systeem te verkrijgen.
  • Gebruik geen bruteforce-technieken om toegang tot de systemen te krijgen.
  • Beveilig uw eigen systeem zo goed mogelijk.

Wat kunt u niet melden?

Het e-mailadres in deze RD-policy is niet bedoeld voor:

  • het melden dat onze website of een van onze services niet beschikbaar is.
  • het melden van klachten. Meld deze via het Klachtenformulier van Menzis.
  • het melden van nep e-mails (phishing). Kijk hiervoor op phishing van Menzis.
  • het melden van HTTP security headers gerelateerde zaken, bijvoorbeeld:
    • Strict-Transport-Security
    • X-XSS-Protection
    • Content-Security-Policy
  • het melden van cache purge mogelijkheden.
  • het melden van zichtbaarheid van Google API key's.
  • Medewerkers van Menzis en aan haar gelieerde ondernemingen volgen de bestaande interne incidentenprocedure voor het melden van kwetsbaarheden.

Nationaal Cyber Security Center (NCSC)

Deze policy is gebaseerd op de Leidraad Responsible Disclosure zoals opgesteld door het NCSC van het Ministerie van Veiligheid en Justitie.

Laatste wijziging Responsible Disclosure policy: Juni 2023

Read page in English

Vragen? We helpen u graag.

Menzis Zorgkantoor gebruikt cookies

Functionele cookies zijn nodig voor de werking van onze websites en apps en worden daarom altijd geplaatst. Analytische cookies helpen ons om inzicht te krijgen in hoe de website wordt gebruikt, zodat we de website kunnen verbeteren. Met deze beide cookies worden geen persoonsgegevens verzameld. Cookies voor marktonderzoek en marketing plaatsen we alleen met uw toestemming. Hiermee weten we bijvoorbeeld welke pagina’s u bekijkt op onze website; ook vergoedingenpagina’s. Met deze informatie kunnen we onze website, advertenties op social media en e-mails afstemmen op uw voorkeuren. Op pagina's met informatie over vergoedingen en in onze MijnOmgevingen plaatsen wij geen pixels van social media platformen. Klikt u op ‘Accepteren’ dan plaatsen we alle cookies. Klikt u op ‘Weigeren’ dan plaatsen we functionele en analytische cookies. Klikt u op ‘Instellingen’ dan kunt u zelf kiezen welke cookies we plaatsen, of uw toestemming wijzigen of intrekken. Meer informatie over cookies vindt u in onze cookiepolicy.

Instellingen