Responsible Disclosure - Coordinated Vulnerability Disclosure

Vos Juridisch Advies vindt de veiligheid van haar systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Wij vragen u een bijdrage te leveren aan de veiligheid van ict-systemen en het beheersen van de kwetsbaarheid van ict-systemen. Dat kun u doen door de door u ontdekte kwetsbaarheden op verantwoorde wijze bij Vos Juridisch Advies te melden. Als u een zwakke plek in een van onze systemen hebt gevonden horen wij dit graag zo snel mogelijk, zodat we aanvullende (beveiligings)maatregelen kunnen treffen.

Wij vragen u:

  1. U bevindingen te melden via security@vosjuridischadvies.nl.
  2. De door u ontdekte kwetsbaarheid niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of (persoons)gegevens van derden in te kijken, te verwijderen of aan te passen.
  3. U bevinding/probleem niet met anderen te delen totdat de kwetsbaarheid is verholpen en alle (vertrouwelijke) gegevens die zijn verkregen door de kwetsbaarheid direct na het verhelpen daarvan te wissen.
  4. Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  5. Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij deze zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wij zeggen toe dat:

  1. We reageren zo spoedig mogelijk op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  2. Als u zich aan bovenstaande voorwaarden houdt, zullen wij geen aangifte van een strafbaar feit doen of andere juridische stappen tegen u ondernemen betreffende de melding.*
  3. Wij uw melding vertrouwelijk behandelen en u persoonsgegevens zonder uw toestemming niet zullen delen met derden of verder zullen verwerken, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  4. Wij u op de hoogte houden van de voortgang van het verhelpen van de kwetsbaarheid.
  5. In berichtgeving over de gemelde kwetsbaarheid wij u, indien u dit wenst, zullen vermelden als ontdekker van de kwetsbaarheid. Wij streven ernaar alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

* Let op: het feit dat Vos Juridisch Advies geen aangifte tegen u zal doen sluit niet uit dat er door politie een strafrechtelijk onderzoek naar uw handelen gestart kan worden dan wel dat u strafrechtelijk kunt worden veroordeeld.



Zoetermeer, 1 februari 2024





Vos Juridisch Advies considers the security of its systems very important. Despite our care for the security of our systems, there may still be a vulnerability. We ask you to contribute to the security of ICT systems and to controlling the vulnerability of ICT systems. You can do so by responsibly reporting any vulnerabilities you discover to Vos Juridisch Advies. If you have found a vulnerability in one of our systems, we would like to hear about it as soon as possible so that we can take additional (security) measures.

We ask you:

  1. To report your findings at security@vosjuridischadvies.nl.
  2. Do not abuse the vulnerability you discovered by, for example, downloading more data than necessary to demonstrate the leak or viewing, deleting or modifying (personal) data of third parties.
  3. Do not share your finding/problem with others until the vulnerability has been fixed and delete all (confidential) data obtained through the vulnerability immediately after fixing it.
  4. Do not use physical security attacks, social engineering, distributed denial of service, spam or third-party applications.
  5. Providing sufficient information to reproduce the vulnerability so that we can fix it as soon as possible. Usually the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more may be required for more complex vulnerabilities.

We pledge that:

  1. We will respond to your report as soon as possible with our assessment of the report and an expected date for resolution.
  2. If you comply with the above conditions, we will not report a criminal offence or take any other legal action against you regarding the report.*
  3. We will treat your report confidentially and will not share or further process your personal data with third parties without your consent, unless necessary to comply with a legal obligation. Reporting under a pseudonym is possible.
  4. We will keep you informed of the progress of the vulnerability fix.
  5. In communications about the reported vulnerability we will, if you wish, list you as the discoverer of the vulnerability. We aim to resolve all issues as soon as possible and we would be happy to be involved in any publication about the issue after it is resolved.

* Please note that the fact that Vos Juridisch Advies will not press charges against you does not preclude a criminal investigation by police into your actions or that you may be criminally convicted.



Zoetermeer, 1 February 2024