Exellente zorg betekent ook veilige zorg. En veilige zorg gaat verder dan de zorg en behandeling in spreekkamer of op de verpleegafdeling. We doen er ook alles aan om de veiligheid van (medische) apparatuur, programma’s en diensten te garanderen.

Kwetsbaarheid melden

Ondanks onze inspanningen om onze systemen te beveiligen, kan het toch voorkomen dat er een zwakke plek is. Vindt u een zwakke plek in één van onze systemen? Dan kunt u zo’n kwetsbaarheid veilig aan ons melden via ons Coordinated Vulnerability Disclosure beleid. Als u zich houdt aan onderstaande regels, dan is er voor ons geen reden om aangifte te doen.

Wij werken graag met u samen om onze patiënten, medewerkers en systemen beter te beschermen.

Wij vragen u:

  • Uw bevindingen te melden bij Stichting Z-CERT door een e-mail te sturen naar cvd@z-cert.nl. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die Coordinated Vulnerability Disclosure meldingen afhandelt voor het HagaZiekenhuis. Zij werken samen met u en met het HagaZiekenhuis om ervoor te zorgen dat uw melding wordt opgepakt.
  • Voldoende informatie te geven bij uw melding, zodat het probleem te reproduceren is. Op die manier kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem, samen met een omschrijving van het zwakke punt voldoende. Bij complexere kwetsbaarheden kan meer nodig zijn.
  • Het probleem niet te misbruiken. Bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen. Of door gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Niet te controleren of u medische gegevens kan inzien via een zwakke plek. Als u denk dat een zwakke plek dit wel mogelijk maakt, geeft u dit aan bij uw melding. Wij verifiëren of dit daadwerkelijk zo is.
  • Het probleem niet met anderen te delen totdat het is opgelost. 
  • Alle vertrouwelijke gegevens direct te wissen zodra het lek gedicht is.
  • Geen aanvallen te doen op onze fysieke beveiliging en geen gebruik te maken van social engineering, (distributed) denial of service, spam, brute-force aanvallen of applicaties van derden.

Wij beloven dat:

  • Het HagaZiekenhuis en Z-CERT uw melding vertrouwelijk behandelen. We delen uw persoonlijke gegevens zonder uw toestemming niet met derden, tenzij dit wettelijk verplicht is.
  • U een ontvangstbevestiging krijgt van Z-CERT. Binnen 5 werkdagen ontvangt u een reactie met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Z-CERT u op de hoogte houdt van de voortgang van het oplossen van het probleem.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen. We worden graag betrokken bij een eventuele publicatie over het probleem, nadat dit is opgelost.

Heeft u vragen of opmerkingen over het Coordinated Vulnerability Disclosure beleid? Stuur dan een e-mail naar informatiebeveiliging@hagaziekenhuis.nl.