EN

Datalekken

Als we als instelling (persoons)gegevens kwijt zijn, dan is er sprake van een datalek. HKU is altijd verplicht om een datalek te melden.

HKU is verplicht tot het melden van Datalekken bij de Autoriteit Persoonsgegevens. HKU heeft een protocol voor het onderzoeken en melden van mogelijke datalekken. We registreren alle meldingen, en onderzoeken deze. Sommige datalekken zijn ernstiger dan andere: Afhankelijk van het risico voor mensen om wiens gegevens het gaat, informeren we hen over het datalek en de gevolgen die dit lek voor hen heeft.

Wat is een datalek?

Toegang tot, vernietiging, wijzigen of vrijkomen van persoonsgegevens bij een organisatie zonder dat dat de bedoeling is van deze organisatie, of zonder dat dit wettelijk is toegestaan.

Bij twijfel, melden!

Liever een melding teveel dan te weinig. Door te melden help je bij het opsporen van zwakke plekken in de gegevensbescherming, en zorg je ervoor dat er maatregelen kunnen worden genomen die voorkomen dat de mensen om wie het gaat (verder) nadeel van het datalek ondervinden.

Meldpunt datalekken

cert@hku.nl

Telefoon: 030 – 209 12 09
Je melding komt terecht bij het Computer Emergency Response Team (CERT)
CERT informatie / charter


Responsible disclosure

Indien u een zwakke plek in één van onze websites of ICT-systemen heeft gevonden, horen wij dit graag van u. Uw melding stelt ons in staat om direct de noodzakelijke maatregelen te nemen om de gevonden kwetsbaarheid te verhelpen.
Wij hanteren voor meldingen de zogenaamde ‘Responsible disclosure’ principes. Dat heeft als gevolg dat bij verantwoord handelen en omgaan met gevonden kwetsbaarheden, wij dit erg waarderen en ook zullen belonen.


HKU vraagt van de melder:

  • Uw bevindingen te mailen naar cert@hku.nl. Verstuur de bevindingen eventueel versleuteld bv. via SURF filesender.

  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
    Juiste contactgegevens achter te laten, zodat wij met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal naam, een email adres en/of telefoonnummer achter.

  • Het gevonden probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen,

  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,

  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en


Wat wij na een melding doen:

  • Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing,

  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,

  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem,

  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker, en HKU biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren. Passend bij de wensen van de melder, en op basis van redelijkheid, zullen we de beloning, na melding en onderzoek, met de melder afstemmen. Voorwaarde is wel dat het een voor de HKU een nog onbekend en serieus beveiligingsprobleem betreft. Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.


HKU vindt het belangrijk dat onze ICT-systemen en portalen en websites veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.