Ik moet toegeven dat ik even dacht “Responsible wat?” toen ik de berichten in de RSS-feed van de SURF Kennisbank voorbij zag komen. Daar staan sinds gisteren:
- Handleiding implementatie responsible disclosure
- Beleidsnotitie Modelbeleid en procedure responsible disclosure
De bijbehorende PDF-documenten lijken overigens uit 2014 te komen. Maar de vraag die beantwoordt wordt in de stukken is nog heel actueel. Want wat is Resposible Disclosure? Het wordt in het document omschreven als:
“het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op basis van een door organisaties hiervoor vastgesteld beleid voor responsible disclosure”
Of voor gewone mensen, de omschrijving zoals hij bij Rijksoverheid.nl staat (in gegeneraliseerde vorm):
“Hoe kan ik een zwakke plek in een ICT-systeem van jullie organisatie melden?”
Het melden van een zwakke plek in een ICT-systeem (website of anderzijds) aan een bedrijf is namelijk niet helemaal zonder risico’s. Het strafrecht in Nederland maakt namelijk geen verschil tussen kwaadaardig hacken en ethisch hacken. Dus ook als je een systeem “alleen maar op mogelijke kwetsbaarheden wilde controleren omdat je het heel belangrijk vindt dat het veilig is, maar er geen enkele slechte bedoelingen mee had”, kan het je overkomen dat het openbaar ministerie je strafrechtelijk vervolgt.
Dat zou tot gevolg kunnen hebben dat je er voor kiest om de kwetsbaarheid dan maar níet te melden. En dat is ook niet zo handig (gezien vanuit het algemeen belang). En daarom is het handig/verstandig om beleid te hebben voor Responsible Disclosure. Daarmee zeg je als organisatie “als jij je aan deze afspraken houdt, dan gaan wij niet achter jou aan”, in de hoop daarmee de meldingskans te vergroten en de kans dat de melding gebeurt op een manier die voor jou als organisatie ook handig is.
Toch eens navragen of mijn werkgever die ook al heeft.
Heeft jouw school al Responsible Disclosure beleid? http://t.co/TDvApAoAC3