Campus Deurne

03 320 50 00

Campus Antwerpen

03 240 20 20

Polikliniek Blancefloer

03 240 20 60

Responsible disclosure policy

Bij AZ Monica vinden we de veiligheid van onze systemen en informatie van cruciaal belang. Ondanks onze inspanningen om deze te beschermen, kan het voorkomen dat er een kwetsbaarheid in onze systemen aanwezig is. Indien je een kwetsbaarheid ontdekt, vragen wij jou deze aan ons te melden. Op die manier kunnen we snel en adequaat maatregelen treffen om de veiligheid van onze systemen en gegevens te waarborgen.

Wat we van jou vragen

Indien je een kwetsbaarheid ontdekt, verzoeken wij jou deze zo snel mogelijk  te melden via het emailadres : cybersecurity@azmonica.be

In jouw meldingen vragen we jou:

  • Een gedetailleerde beschrijving te geven van de kwetsbaarheid
  • De stappen die je hebt ondernomen om de kwetsbaarheid te ontdekken zodat wij deze kunnen reproduceren en zo snel mogelijk kunnen oplossen. (IP-adres en/of URL)
  • Eventuele bewijsstukken mee te sturen, zoals screenshots, logbestanden of codefragmenten
  • Jouw contactgegevens achter te laten zodat AZ Monica met jou in contact kan treden om samen te werken aan een veilig resultaat.  Laat minstens jouw naam, e-mailadres en/of telefoonnummer achter.  Als je anoniem wilt blijven, kan je gebruik maken van een pseudoniem of een tijdelijk e-mailadres, maar zorg ervoor de wij jou kunnen contacteren als wij bijkomende vragen hebben.

    Regels die je dient na te leven:

    • Veroorzaak geen schade : Maak geen gebruik van de kwetsbaarheid om systemen aan te passen, gegevens te verwijderen of toegang te verkrijgen tot gegevens die niet voor jou bestemd zijn
    • Minimale impact: Test de kwetsbaarheid alleen op een manier die de werking van onze systemen zo min mogelijk verstoort
    • Geen openbaarmaking: Maak de kwetsbaarheid niet openbaar totdat wij deze hebben opgelost en schriftelijk toestemming hebben gegeven voor publicatie
    • Beperking tot noodzakelijke toegang: Beperk jouw handelingen tot wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen
    • Geen verdere verspreiding: Deel informatie over de kwetsbaarheid niet met anderen voordat wij deze hebben verholpen
    • Gebruik geen destructieve methoden: Gebruik geen technieken zoals social engineering (phishing, vishing, spam,…), fysieke toegang, DDoS-aanvallen of tools die gegevens vernietigen
    • Werk ethisch en verantwoordelijk: Hou rekening met de wet en voer jouw handelingen uit binnen de grenzen van de geldende regelgeving. Wis alle gegevens die zijn verkregen via de kwetsbaarheid na de melding.

    Wat wij doen na jouw melding

    • Vertrouwelijk : we behandelen jouw melding vertrouwelijk en delen jouw persoonlijke gegevens niet zonder jouw toestemming.
    • Geen juridische stappen : als je je aan bovenstaande voorwaarden van de Responsible disclosure Policy heb gehouden en geen andere inbreuken heb begaan, zullen wij geen juridische stappen tegen jou ondernemen
    • Ontvangstbevestiging: wij bevestigen binnen 10 werkdagen dat we jouw melding hebben ontvangen. 
    • Onderzoek: we onderzoeken de kwetsbaarheid en bepalen de ernst en impact ervan
    • Communicatie: We houden jou op de hoogte van de voortgang van het oplossen van het probleem.  We mogen ervoor kiezen om meldingen van lagere kwaliteit te negeren
    • Maatregelen: We lossen de kwetsbaarheid zo snel mogelijk op
    • Openbaarmaking: Indien je jouw toestemming geeft kunnen we je vermelden als ontdekker in onze rapportage.

    Indien je vragen zou hebben, moedigen we jou aan om deze te richten tot cybersecurity@azmonica.be. Gelieve bij twijfel over de toepasbaarheid van deze policy eerst contact op te nemen via dit e-mailadres, om expliciete toestemming te vragen.

    Toepasselijk recht : Het Belgisch recht is van toepassing op geschillen in verband met de toepassing van dit beleid.

    Duur : de regels van het beleid zijn toepasselijk vanaf 06/01/2025 tot ze eventueel worden gewijzigd of opgeheven door AZ Monica.  Deze wijzigingen of opheffingen worden bekendgemaakt op de website van AZ Monica en zijn automatisch van toepassing 30 dagen na de bekendmaking ervan.

    Uitsluitingen

    Deze Responsible Disclosure Policy is niet van toepassing op:

    • Fysieke beveiliging: zoals toegang tot gebouwen
    • Social engineering-aanvallen of phishing gericht op medewerkers
    • Het uitvoeren van aanvallen die de beschikbaarheid van onze systemen verstoren (bijv. DDoS)
    • Geautomatiseerde kwetsbaarheidsscans zonder voorafgaande toestemming.

    Wij danken je voor jouw medewerking om onze systemen veiliger te maken en staan altijd open voor jouw hulp en ethische bijdragen. Samen zorgen we voor een veiliger digitaal ecosysteem.