Omgang ontdekte beveiligingsrisico's en datalekken bij software-aanbieders

Go to English version

Dit artikel beschrijft het beleid vanaf 1 september 2023 hoe Invantive omgaat met beveiligingsrisico’s en datalekken ontdekt bij andere software-aanbieders.

Beveiligingsrisico’s en Datalekken Derden

Voor Invantive is zowel bij de oorspronkelijke ontwikkeling als onderhoud voor haar eigen producten het voorkomen van beveiligingsrisico’s en datalekken een integraal onderdeel van ons werk. In geval van twijfels worden extra maatregelen genomen.

We ontdekken regelmatig beveiligingsrisico’s en datalekken in platformen van andere software-aanbieders, zoals gedurende het ontwikkelen en onderhouden van programmatuur die met dergelijke platformen gegevens uitwisselt. Vooral sinds de beweging naar de cloud is gedurende de afgelopen tien jaar hier regelmatig ervaring mee opgedaan, ook al wordt er niet actief gezocht naar risico’s en datalekken.

Een beveiligingsrisico is als een onbeveiligde deur naar gegevens of processen. Het kan betekenen dat onbevoegde mensen toegang krijgen tot gevoelige informatie, zoals verkoopcijfers en persoonlijke gegevens. Een beveiligingsrisico kan het ook mogelijk maken om gegevens te veranderen zonder toestemming zoals een bankrekeningnummer.

Een datalek is als per ongeluk een geheime doos openmaken. Soms kunnen gegevens per ongeluk zichtbaar worden door een beveiligingsprobleem. Dit kunnen eenvoudige dingen zijn, zoals hoeveel pingpongballen er zijn verkocht. Maar het kan ook gaan om geheime informatie, zoals medische gegevens of volledige dossiers met foto’s en bankafschriften van gebruikers.

Beleid

Hoewel we in Nederland niet wettelijk verplicht zijn om beveiligingsrisico’s te melden bij toezichthouders of betrokken software-aanbieder, streven we ernaar om een positieve impact te hebben. We hebben gemerkt dat, hoewel we altijd het beste voorhebben met onze meldingen, niet elke organisatie dezelfde responsiviteit of enthousiasme toont. We hebben daarom beleid ontwikkeld om het maatschappelijk nut te vergroten zonder onnodige kosten te genereren.

Bij een geconstateerd mogelijk beveiligingsrisico en/of datalek wordt eerst gekeken of de ontdekking plaatsvond gedurende betaalde werkzaamheden namens een eindafnemer. Zo ja, dan informeren we hen over de situatie en laten we de beslissing aan hen over voor eventuele vervolgstappen.

Vindt de ontdekking plaats gedurende werkzaamheden die Invantive voor eigen rekening en risico uitvoert, dan worden de volgende stappen doorlopen. Sommige landen kennen wetgeving met verderstrekkende beperkingen en verplichtingen dan Nederland. Indien de software-aanbieder valt onder dergelijke wetgeving zal zo vroeg mogelijk elke analyse gestaakt worden zodat deze wetgeving niet van toepassing wordt. Daarnaast vindt een eerste melding aan de software-aanbieder alleen plaats indien een geldig en bruikbaar security.txt-bestand (RFC 9116) aanwezig is op de website. Eventuele volgende meldingen gebeuren indien de eerste melding zorgvuldig afgehandeld wordt in relatie tot de impact en ernst van de melding.

In alle overige gevallen worden beveiligingsrisico’s en datalekken niet gemeld.

Onze toewijding aan transparantie betekent dat de Invantive-software gegevens onbewerkt weergeeft, zonder correcties om eventuele beveiligingsrisico’s of datalekken te verbergen. Zelfs in gevallen waarin dit een beveiligingsrisico of datalek zou kunnen blootleggen, hanteren we een open benadering. Als voorbeeld, als een tabel onversleutelde wachtwoorden bevat, zullen deze wachtwoorden niet worden gemaskeerd of versleuteld.

Beveiligingsrisico’s en datalekken bij Invantive

We streven naar een veilige digitale omgeving voor iedereen. Als u een beveiligingsrisico of datalek vermoedt bij het gebruik van Invantive-software zelf, volg dan alstublieft de instructies op onze beveiligingspagina of in het security.txt-bestand. We zijn dankbaar voor uw medewerking hierbij.

Wijzigingen

De volgende essentiële wijzigingen zijn in deze tekst aangebracht:

| Datum Wijziging
|:—:|—|
| 20231003 Uitzonderingen toevoegen voor landen met verstrekkende verplichtingen. |