Responsible disclosure

Met responsible disclosure breng je op een verantwoorde manier ICT-kwetsbaarheden openbaar. De melder en de organisatie doen dit samen op basis van een door de organisaties vastgesteld beleid.

Bijdragen aan veiligheid ICT-systemen

Het doel van responsible disclosure is om bij te dragen aan de veiligheid van ICT-systemen en de beheersing van de kwetsbaarheid van ICT-systemen. Dit door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen. Zo wordt schade zoveel als mogelijk voorkomen of beperkt. Hierbij moet dan wel voldoende tijd voor herstel beschikbaar zijn, voordat tot openbaarmaking wordt overgegaan.

Formele basis en verplichting responsible disclosure

De minister van Veiligheid en Justitie heeft in een brief aan de Kamer op 28 december 2012, nadrukkelijk de wens uitgesproken om door middel van een procedure van responsible disclosure te willen werken aan een reductie van ICT- kwetsbaarheden. Ook de Rijksoverheid zal invulling moeten geven aan het implementeren van een procedure voor responsible disclosure

17 juli 2013 stemde de ICCIO in met de centrale inrichting van een meldpunt voor responsible disclosure voor de Rijksoverheid.

 Praktische uitvoering responsible disclosure

  • Het cluster Redactie van DPC beheert de informatie op deze pagina.
  • BZK stuurt binnengekomen meldingen door naar de betreffende contactpersonen van een website.
  • De contactpersoon beoordeelt de melding en koppelt terug aan BZK of het een serieuze kwetsbaarheid betreft.
  • Bij een echte kwetsbaarheid ontvangt de melder een t-shirt.
  • BZK koppelt terug aan de melder.