Hoe zit het met veiligheid op FBTO.nl

Veiligheid van klantgegevens is voor ons heel belangrijk. Daarom werken wij de hele tijd aan het veilig houden van onze internetdiensten. Soms is dit niet genoeg en gaat er toch iets mis. Het is fijn als je ons dit laat weten. Dan kunnen we er iets aan doen. Zo werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.

Wat kun je melden

Je kunt kwetsbaarheden in onze internetdiensten gemakkelijk aan ons doorgeven. Voorbeelden zijn:

  • Cross-Site Scripting (XSS) kwetsbaarheden
  • SQL injectie kwetsbaarheden
  • Zwakheden in inrichting beveiligde verbinding

Geef je kwetsbaarheid aan ons door via een online formulier op de website van Achmea. FBTO is onderdeel van Achmea. Je kunt dit ook anoniem doen.

Spelregels

Deel het probleem met ons en maak het niet openbaar. Zo houden we gegevens van onze klanten veilig. Je mag geen gegevens delen met anderen dan FBTO. En je mag onze dienstverlening nooit onderbreken. Misschien doe je iets wat volgens de wet niet mag. Wij doen geen aangifte als je je houdt aan onderstaande spelregels. We vragen je:

  • Geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
  • Geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
  • Alleen te doen wat noodzakelijk is om de kwetsbaarheid aan te tonen.
  • Geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die je nodig hebt om het probleem aan te tonen. Maak bijvoorbeeld een screenshot.
  • Pogingen om toegang tot het systeem te krijgen te beperken.
  • Geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.

Is het een serieus beveiligingsprobleem? Dan krijg je van ons, als je je aan de spelregels hebt gehouden, als dank voor de melding een passende vergoeding. Je hoort binnen 2 dagen na jouw melding wat wij ermee gaan doen.

Wij delen jouw contactgegevens niet met anderen

Contactgegevens mogen wij niet delen met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij jouw actie zien als een strafbaar feit. Dan doen wij aangifte bij de politie. Als je anoniem meldt, kunnen wij je niet op de hoogte houden en kunnen we je geen beloning geven.

Deze veiligheidsregeling is gebaseerd op de Leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum (NCSC). Kijk voor meer informatie op de website van het NCSC.

Wat kun je niet melden?

Deze veiligheidsregeling is niet bedoeld voor:

  • Het melden dat de website niet beschikbaar is.
  • Het melden van fraude.
  • Het melden van nep e-mails.
  • Het melden van virussen.

Je kunt contact met ons opnemen als je 1 van deze zaken wilt melden.