Bij LEDlicht Nederland BV. vinden we de veiligheid en betrouwbaarheid van onze systemen en diensten van groot belang. Ondanks onze inspanningen kan het voorkomen dat er kwetsbaarheden worden ontdekt. Met dit Responsible Disclosure-beleid nodigen we beveiligingsonderzoekers en gebruikers uit om deze op een veilige en verantwoorde manier aan ons te melden. Wij willen graag met u samenwerken teneinde onze klanten, bezoekers en systemen optimaal te beschermen.

Wat verstaan we onder een kwetsbaarheid?

Een kwetsbaarheid is een technisch of organisatorisch probleem dat de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens of systemen kan aantasten, zoals:

• Ongeautoriseerde toegang tot systemen;
• Mogelijkheid tot data-lekken;
• Bugs die misbruik mogelijk maken.

Hoe kun je een kwetsbaarheid melden?

Stuur je melding per email naar email @ ledlichtnederland.nl (Je kunt ook onder pseudoniem melden.)

Vermeld in je melding in ieder geval:

• Een duidelijke beschrijving van de kwetsbaarheid;
• Stappen om deze te reproduceren;
• Betrokken IP-adressen, URL’s of gegevens;
• Eventuele impactanalyses.

Wij vragen u vriendelijk

• Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen;
• Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen;
• Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.

Wat wij beloven

• Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
• Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding;
• Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Het melden onder een pseudoniem is mogelijk;
• Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
• In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Over AVG/GDPR en kwetsbaarheidsmeldingen

Als een melding persoonlijk identificeerbare informatie zou bevatten, dan verwerken we deze informatie zorgvuldig en alleen voor zover noodzakelijk om de melding te behandelen, in lijn met de EU-AVG/GDPR. Meer informatie hierover is te vinden op  de webpagina van Autoriteit Persoonsgegevens.