Organisatie | Regionale Belasting Groep |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Besluit van het dagelijks bestuur van de gemeenschappelijke regeling Regionale Belasting Groep houdende regels omtrent informatiebeveiliging |
Citeertitel | Informatiebeveiligingsbeleid Regionale Belasting Groep |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
14-03-2020 | nieuwe regeling | 26-04-2018 |
De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen leidt tot voelbare risico’s voor de continuïteit van de dienstverlening van de Regionale Belasting Groep (RBG). Voor onze processen is het van cruciaal belang om over informatie(systemen) te beschikken die voldoen aan de gestelde eisen (vertrouwelijkheid, integriteit of beschikbaarheid). Steeds meer informatie is digitaal beschikbaar en wordt digitaal uitgewisseld. Opslag van gegevens is niet zelden in de cloud. Tablets met verbindingen naar bedrijfsnetwerken zijn geen uitzondering. Mobiele telefoons zijn zeer krachtige computers geworden waarmee eenvoudig en snel informatie uitgewisseld kan worden. De Regionale Belasting Groep heeft met al deze ontwikkelingen te maken.
De afgelopen jaren neemt het aantal incidenten rondom informatiebeveiliging toe. Recent hebben we wereldwijde cyberaanvallen met ransomware gezien. Overheden, banken, havenbedrijven en andere grote organisaties zijn getroffen door deze aanvallen. De financiële gevolgen van dergelijke aanvallen zijn enorm. Deze toenemende cybercrime heeft de Tweede Kamer en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) er toe gebracht alle overheden te vragen maatregelen te nemen die de digitale veiligheid garanderen. Zoals reeds aangegeven is ook voor de RBG het beschikbaar hebben en houden van de verschillende informatiesystemen van groot belang. Zonder de gegevens en/of systemen zou onze organisatie niet kunnen werken.
Daarnaast is er wet- en regelgeving die de Regionale Belasting Groep verplicht maatregelen te treffen om te voorkomen dat informatie/gegevens gemanipuleerd worden, onbevoegd worden bekeken, verwijderd worden of informatiesystemen uitvallen. Het bekendste voorbeeld hiervan zijn de Wet Bescherming Persoonsgegevens (WBP) en de Algemene verordening gegevensbescherming (AVG).
1.2 Doel van informatiebeveiliging
Het informatiebeveiligingsbeleid heeft als doel om kaders te scheppen waarbinnen de werking van onze systemen en van de (geautomatiseerde) uitwisseling van informatie van en naar onze organisatie op een betrouwbare manier wordt ingericht. Hiermee trachten we de beschikbaarheid, de integriteit en de vertrouwelijkheid van onze informatiesystemen en van de (geautomatiseerde) gegevensuitwisseling te waarborgen. Deze kaders zijn niet alleen van toepassing op onze informatiesystemen maar ook de beveiliging van niet digitale gegevensdragers en de fysieke beveiliging van ons gebouw en medewerkers.
Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, USB, SD kaart, beeldscherm et cetera) en alle informatie verwerkende systemen (applicaties, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook over mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort-schietende organisatie. De scope van het informatiebeveiligingsbeleid omvat dan ook alle bedrijfsfuncties, ondersteunende middelen en informatie van de RBG in de meest brede zin van het woord. Het beleid is ook van toepassing op alle ruimten van het kantoorpand, de apparatuur, de programmatuur en alle informatie/gegevens die de Regionale Belasting Groep gebruikt.
2. Organisatie van informatiebeveiliging en privacy
Het bestuur en het management spelen een belangrijke rol binnen het informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de RBG hebben, de risico’s die de RBG hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor de hele de RBG. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid en de relevante landelijke en Europese wet- en regelgeving.
De RBG is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt:
2.1 Verantwoordelijke functionarissen
Periodiek wordt in het managementoverleg informatiebeveiliging en informatiebeheer besproken. De clustermanagers zijn verantwoordelijk voor de handhaving van het beleid.
Functioneel is de Controller benoemd als Corporate Information Security Officer (CISO). In dit beleidsdocument wordt deze functie aangeduid als manager Informatiebeveiliging. In deze hoedanigheid ondersteunt hij de clustermanagers.
De manager Informatiebeveiliging rapporteert rechtstreeks aan de directeur. De manager Informatiebeveiliging bevordert en adviseert gevraagd en ongevraagd over de beveiliging van de RBG, verzorgt rapportages over de status, draagt zorg voor controle op de beveiliging van de RBG en controleert of de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging.
Wanneer, als gevolg van een beveiligingsincident contact wordt opgenomen met autoriteiten (InformatieBeveiligingsDienst (IBD) of Autoriteit Persoonsgegevens(AP)), is de manager Informatiebeveiliging verantwoordelijk voor dergelijke contacten.
Naast informatiebeveiliging is ook privacybescherming van groot belang. De Wet bescherming persoonsgegevens biedt organisaties ruimte om een Privacy Officer (PO) en Functionaris Gegevensbescherming (FG) aan te stellen.
2.2.2 Functionaris Gegevensbescherming
Vanuit de huidige privacywetgeving (Wbp) is het voor organisaties optioneel een Functionaris Gegevensbescherming (FG) aan de stellen. Onder de komende Europese privacyverordening (AVG), die in mei 2018 van kracht wordt, zijn alle overheidsorganisaties verplicht een FG aan te stellen. De FG is verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Daarnaast kan de FG ondersteunen bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat én het leveren van input bij het opstellen of aanpassen van gedragscodes.
Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de Privacy Officer(PO) verantwoordelijk voor het vormgeven en bewaken van het privacybeleid binnen de organisatie. Daarnaast kan de PO ondersteunen bij het in kaart brengen van de risico’s door bijvoorbeeld een Privacy Impact Assessment (PIA) uit te voeren. Een PIA kan resulteren in het aanpassen van zaken. Hiervoor wordt een implementatieplan opgesteld en uitgevoerd door de PO. Daarnaast speelt de PO ook een belangrijke rol op de werkvloer, zo heeft hij net als de CISO een adviserende rol richting de vakafdelingen en kan hij of zij vragen beantwoorden zoals: hoe moeten we deze gegevens delen? Aan welke regels dienen we ons te houden? Welke maatregelen moeten we de externe partij opleggen?
Uit bovenstaande kan opgemaakt worden dat in kader van functiescheiding de PO niet tevens FG kan zijn.
Jaarlijks wordt op basis van het beveiligingsbeleid een risico of knelpunten analyse uitgevoerd op binnen de scope vallende onderdelen. Naar aanleiding van de geconstateerde knelpunten wordt een uitvoeringsplan (informatiebeveiligingsplan) opgesteld. Hierin wordt de implementatie van het beleid, richtlijnen, procesbeschrijvingen, procedures en technische maatregelen met betrekking tot informatiebeveiliging beschreven. De implementatie en handhaving hiervan is primair de verantwoordelijkheid van de clustermanagers.
Algemene en dagelijkse coördinatie van de informatiebeveiliging, adviseren over de implementatie van het informatiebeveiligingsbeleid | |
Het proces van informatiebeveiliging is primair gericht op bescherming van informatie, maar is tegelijkertijd een ‘enabler’; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.
Informatiebeveiliging dient een integraal onderdeel van de reguliere werkwijze te zijn. Informatiebeveiligingsaspecten worden derhalve in alle procesbeschrijvingen en werkinstructies opgenomen. Naast de procesbeschrijvingen en instructies wordt ook in afdelingsplannen aangegeven welke maatregelen zijn genomen om informatiebeveiliging te waarborgen.
Het proces om beveiligingsbeleid vast te stellen en hier uitvoering aan te geven, verloopt als volgt:
Het informatiebeveiligingsbeleid wordt door de manager Informatiebeveiliging uitgewerkt en ter vaststelling voorgelegd aan het dagelijks bestuur van de RBG.
De ontwikkelingen gaan snel waardoor ook de risico’s steeds veranderen. Het beveiligingsbeleid dient daarop in te spelen en zal daarom periodiek geactualiseerd worden.
Het vastgestelde beleid wordt vervolgens kenbaar gemaakt aan alle medewerkers van de Regionale Belasting Groep.
Jaarlijks voert de Regionale Belasting Groep een risicoanalyse uit over de gehele reikwijdte van de BIG (Baseline Informatiebeveiliging Gemeenten). Vervolgens wordt op basis van de inventarisatie een inschatting gemaakt van de kans en impact. Dit leidt op zijn beurt tot een risico kwalificatie:
Op basis van de uitkomsten van de risicoanalyse wordt een informatiebeveiligingsplan opgesteld. In dit plan is beschreven welke maatregelen worden genomen om de risico’s weg te nemen of te beperken. In principe worden de risico’s met prioriteit 1 als eerste opgepakt. Wanneer er zwaarwegende redenen zijn kan ook een knelpunt met lagere prioriteit met voorrang worden opgepakt. Het uitvoeringsplan wordt vastgesteld door het de directeur en zal ter kennisneming aan de dagelijks bestuur worden toegezonden.
De clustermanagers zijn verantwoordelijk voor de uitvoering van de maatregelen. In de verschillende afdelingsplannen geven zij aan hoe en wanneer de maatregelen uit het beveiligingsplan worden uitgevoerd. Desgewenst kunnen zij coördinerende taken m.b.t. informatiebeveiliging toewijzen aan de medewerkers.
De controle op uitvoering van de vastgestelde beveiligingsmaatregelen wordt door de kwaliteitsmedewerkers uitgevoerd. De controles omvatten minimaal het volgende:
Zij rapporteren hun bevindingen aan de manager Informatiebeveiliging. De manager Informatiebeveiliging zal deze rapportage(s) aanvullen en vervolgens met de directeur en de clustermanagers bespreken.
De verantwoordelijkheid voor implementatie van beveiligingsmaartregelen ligt bij de clustermanagers. Zij dienen in hun reguliere PDCA-rapportages aandacht te besteden aan de voortgang van implementatie van maatregelen uit het beveiligingsplan.
4. Eigenaarschap informatiesystemen
De RBG beschikt over zeer veel informatie die op verschillende manieren is opgeslagen en op verschillende manieren wordt uitgewisseld (zowel digitaal als analoog). De RBG beschikt over een breed scala aan bedrijfsmiddelen die beheerd worden. Al deze bedrijfsmiddelen en informatie zijn blootgesteld aan risico’s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items duidelijk is wie de eigenaar/hoofdgebruiker is en wie verantwoordelijk is. Onduidelijkheid over de vraag wie verantwoordelijk is voor gegevensbestanden heeft tot gevolg dat niemand zich verantwoordelijk voelt voor de beveiliging en niemand echt zal optreden bij incidenten.
Het team ICT, onderdeel van de staf, houdt in een configuratie management database (CMDB) een actuele registratie bij van bedrijfsmiddelen die voor de organisatie een belang vertegenwoordigen zoals informatie(verzamelingen), software, hardware en diensten. Tevens wordt vastgelegd met wie welke informatie hoe vaak wordt uitgewisseld. Van deze systemen etc. wordt vastgelegd:
De eigenaar van een applicatie heeft de volgende verantwoordelijkheden:
4.1 Classificatie van informatie(systemen)
Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: Beschikbaarheid, Integriteit (juistheid, volledigheid en tijdigheid) en Vertrouwelijkheid (= BIV).
Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau ‘geen’. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven.
Het belang van informatie(systemen) voor de organisatie alsmede de privacy gevoeligheid van gegevens verschilt per systeem en gegeven. De Regionale Belasting Groep stelt normen op voor wat betreft beschikbaarheid, integriteit en vertrouwelijkheid. Deze normen liggen voor de RBG vast in het proces-verbaal “Gegevens classificatie” en worden vastgesteld door de directeur.
Beveiliging is zo sterk als de zwakste schakel. De praktijk leert dat dit bij informatiebeveiliging niet anders is. Bij informatiebeveiliging kunnen technische voorzieningen veel beschermen maar als medewerkers zich niet bewust zijn van informatiebeveiliging, dan vormen zij de zwakste schakel.
5.1 Beveiligingseisen bij aanname van personeel
Bij indiensttreding wordt de nodige aandacht geschonken aan privacy, integriteit en informatiebeveiliging.
Personeel dat in dienst is bij de RBG valt direct onder het ambtenarenreglement. Dit betekent dat zij bij benoeming niet apart een verklaring hoeven te ondertekenen dat zij op verantwoorde wijze omgaan met privacygevoelige informatie. In het ambtenarenreglement is dit reeds opgenomen. Voor wat betreft integriteit legt de ambtenaar een eed of belofte af.
Daar waar het gaat om informatiebeveiliging wordt de medewerker regelmatig geattendeerd op het belang hiervan en in het opleidingsprogramma voor medewerkers is informatiebeveiliging één van de aandachtspunten.
Tijdelijk personeel is personeel dat werkzaamheden verricht bij de RBG en niet in een ambtelijk dienstverband is benoemd, is gedetacheerd via een uitzendbureau of op andere wijze is ingehuurd. Deze tijdelijke medewerkers tekenen op de eerste werkdag bij de RBG een verklaring, dat volgens de gestelde eisen omgegaan wordt met privacygevoelige informatie, gedragsregels internetgebruik etc. Ook tekenen deze medewerkers een geheimhoudingsverklaring.
Bij indiensttreding (zowel vast als tijdelijk personeel) wordt gebruikgemaakt van een standaard werkwijze.
Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in de geldende procedures voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden.
Naast de opleiding zullen de medewerkers ook via interne campagnes bewust gemaakt worden van het belang van informatiebeveiliging en privacy. Dit alles heeft een terugkerend karakter.
Een beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of informatie systemen in gevaar is of kan komen. Bij beveiligingsincidenten wordt de manager informatiebeveiliging altijd geïnformeerd.
Alle beveiligingsincidenten en datalekken worden geregistreerd. Ook de genomen maatregelen om de impact van het incident te beperken of weg te nemen worden vastgelegd. Deze informatie wordt later gebruikt ter evaluatie van het incident. Het verzamelen van deze informatie heeft ook als doel de beheersmaatregelen te verbeteren.
Voor het melden van een datalek heeft de RBG een protocol opgesteld (Protocol meldingen aan Autoriteit Persoonsgegevens).
6. Fysieke beveiliging en beveiliging
De RBG is zeer afhankelijk van IT-voorzieningen voor het verrichten van de primaire processen. Uitval van deze voorzieningen heeft tot gevolg dat nagenoeg alle bedrijfsprocessen stil vallen. Het beheer van ICT-voorzieningen is door de RBG uitbesteed aan derde partijen. De eisen met betrekking tot beschikbaarheid, datarecovery, beveiliging etc. zijn contractueel vastgelegd.
Met betrekking tot beveiliging van de fysieke ruimte, het gebruik van apparatuur, gebruik van gegevens dragers, back-up en recovery, stroomvoorziening, clean desk en clean screen, reparatie apparatuur etc., zijn door de RBG normen vastgesteld. De clustermanager ziet toe op handhaving van de beschreven procedures en normen.
6.1 Beveiliging van apparatuur
Er is een toename van het gebruik van mobiele gegevensdragers zoals smartphones, tablets en laptops. Het inzetten van mobiele apparaten zoals laptop, tablet of smartphone neemt nog steeds toe. Zowel zakelijk als privé maken medewerkers gebruik van dergelijke apparatuur. Ongeacht of het een zakelijk mobiel device is of een eigen mobiel device, immers op mobiele apparaten kan in meer of mindere mate data van de Regionale Belasting Groep staan. Los van het feit of het mobiele apparaat fysiek kan zoekraken, de data is in beide gevallen van de Regionale Belasting Groep. Beveiliging van de gegevens is vereist.
De stroomvoorziening in Nederland is dermate betrouwbaar dat de Regionale Belasting Groep geen noodzaak ziet om maatregelen tegen stroomuitval te nemen.
Het zelfstandig kopiëren van gegevens naar randapparatuur (zoals een usb-stick) is niet toegestaan. Daarom is het gebruik van de USB-poorten op apparatuur van de Regionale Belasting Groep welke is aangesloten op het netwerk niet toegestaan. Het benaderen van de USB-poorten wordt beperkt.
Wachtwoorden vormen een belangrijk aspect van de informatiebeveiliging. Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde wachtwoordprocedures zijn niet alleen een bedreiging voor de vertrouwelijkheid en integriteit van informatie, maar uiteindelijk ook slecht voor het imago van de Regionale Belasting Groep. Alle gebruikers dienen goede (sterke) wachtwoorden te kiezen en zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en login-gegevens.
7. Beheer van communicatie en bedieningsprocessen
Het is van groot belang dat onze systemen op een juiste manier worden gebruikt. Naast opleidingen en instructies is de nodige documentatie beschikbaar. Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit.
Ook onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. Daarom dient er een actuele autorisatiematrix aanwezig te zijn. Deze wordt minimaal één keer per jaar gecontroleerd. In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is, dient een audit trail te worden vastgelegd van alle handelingen en tijdstippen in het proces, dusdanig dat transactie kan worden herleid. De audit trail is niet toegankelijk voor degene wiens handelingen worden vastgelegd.
Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer is ingelogd als beheerder, normale gebruikstaken alleen wanneer is ingelogd als gebruiker.
De RBG gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de RBG op straat komen te liggen. De RBG blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. In de contracten met derde partijen wordt altijd een paragraaf opgenomen met betrekking tot beveiliging. In het kader van de AVG worden verwerkersovereenkomsten afgesloten met deze partijen.
Bij externe hosting van data en/of services (uitbesteding, cloud computing) blijft de belastingsamenwerking eindverantwoordelijk voor de betrouwbaarheid van de uitbestede diensten. Dit is gebonden aan regels en vereist goede (contractuele) afspraken en controle hierop.
7.1 Bring Your Own Device (BYOD)
De Regionale Belasting Groep staat het gebruik van de volgende privéapparatuur (devices) toe voor zakelijk gebruik :
Zakelijk gebruik van bovengenoemde apparatuur is slechts toegestaan indien deze voldoet aan de door de Regionale Belasting Groep vastgestelde beveiligingseisen zoals vastgelegd in de BYOD-overeenkomst.
De stroomvoorziening in Nederland is dermate betrouwbaar dat de Regionale Belasting Groep geen noodzaak ziet om maatregelen tegen stroomuitval te nemen.
7.3 Veilig afvoeren en hergebruiken van apparatuur
Apparatuur en gegevensdragers kunnen vertrouwelijke gegevens bevatten die organisatie niet mogen verlaten. Gegevens kunnen zich bevinden in:
Als apparatuur wordt vervangen, dienen de gegevens van deze apparaten verwijderd te worden. De RBG stelt hiervoor een protocol op.
Kwetsbaarheden in ICT komen op diverse plaatsen in hard- en software voor en kennen vele gradaties. Gemeenschappelijke deler is dat het uitbuiten van de kwetsbaarheid kan leiden tot mogelijke veiligheidsrisico’s.
Systemen kunnen door kwetsbaarheden mogelijkerwijs uitvallen (beschikbaarheid), data binnen het systeem kunnen gewijzigd worden (integriteit) en data kunnen toegankelijk worden voor personen die daar niet toe gemachtigd zijn (vertrouwelijkheid). ICT-kwetsbaarheden kunnen voor de RBG, die in sterke mate afhankelijk is van ICT, ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid grote gevolgen hebben.
Een klant kan door gebruik te maken van diensten van de RBG bedoeld of onbedoeld op, voor de RBG onbekende, kwetsbaarheden stuiten. In zo’n geval wil de RBG graag tijdig geïnformeerd worden, zodat passende maatregelen genomen kunnen worden om de kwetsbaarheid weg te nemen.
Responsible disclosure kan bijdragen aan de veiligheid van ICT systemen en het beheersen van de kwetsbaarheid van ICT-systemen door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen, zodat schade zo veel als mogelijk kan worden voorkomen of beperkt. Bij responsible disclosure staat voorop dat partijen zich over en weer houden aan afspraken over het melden van de kwetsbaarheid en de omgang hiermee.
Door het opstellen van een eigen beleid voor responsible disclosure maakt de RBG duidelijk op welke wijze zij wil omgaan met meldingen van kwetsbaarheden. Dit kan als volgt werken:
De RBG bepaalt in overleg met de melder de termijn waarop eventuele bekendmaking zal plaatsvinden. Een redelijke standaardtermijn die kan worden gehanteerd voor kwetsbaarheden in software is 60 dagen. Het verhelpen van kwetsbaarheden in hardware is lastiger te realiseren, hierbij kan een redelijke standaardtermijn van 6 maanden worden gehanteerd.