Coordinated Vulnerability Disclosure (CVD) Beleid

CVD-beleid Vue versie 1.0 – juni 2026

Bij Vue Nederland B.V. (Vue) vinden wij de veiligheid van onze IT-systemen en de bescherming van onze klanten essentieel. Wij streven er daarom naar ons beveiligingsniveau voortdurend te verbeteren. Tegelijkertijd erkennen we dat beveiligingsonderzoekers een belangrijke rol spelen in het beschermen van onze systemen en klanten. Wij werken dan ook graag met je samen om kwetsbaarheden in onze systemen te identificeren en snel en adequaat op te lossen.

Doel

Dit CVD-beleid is opgesteld om jou duidelijkheid te verschaffen op het moment dat jij een kwetsbaarheid in onze systemen ontdekt, zodat je jouw bevindingen op een verantwoorde manier met ons kan delen. Ons CVD-beleid is geen uitnodiging om onze beveiliging uitgebreid actief te gaan scannen op kwetsbaarheden. Wij monitoren onze systemen zelf.

Toepassingsbereik

Dit CVD-beleid is van toepassing op alle digitale systemen en diensten die eigendom zijn van of worden beheerd door Vue Nederland B.V. Dit omvat, maar is niet beperkt tot, websites en applicaties.

Verzoek aan jou:

  • Mail je bevindingen aan ons via [email protected]. Versleutel je bevindingen om te voorkomen dat de informatie in verkeerde handen valt.
  • Neem het volgende op in jouw melding:
    • Een gedetailleerde beschrijving van de gevonden kwetsbaarheid (waaronder het IP-adres of de URL van het getroffen systeem) en de benodigde stappen om de kwetsbaarheid te reproduceren. Mochten we meer gegevens nodig hebben, dan laten we je dat weten.
    • Contactgegevens zoals een telefoonnummer of e-mailadres zodat we je kunnen bereiken als we meer informatie nodig hebben. Je kan ook anoniem of onder een pseudoniem melden, maar dan kunnen we geen contact met je opnemen over de vervolgstappen, voortgang e.d..
      • Geef ons voldoende tijd om de gevonden kwetsbaarheid op te lossen voordat je deze openbaar maakt en het ons te melden in geval je zou willen openbaar maken. Wij laten je in dat geval zo snel mogelijk weten hoeveel tijd wij verwachten nodig te hebben om een gevonden kwetsbaarheid op te lossen.
      • Misbruik de gevonden kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van derden (inclusief onze klanten) in te kijken, te verwijderen of aan te passen.
      • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering , Distributed Denial-of-Service (DDoS), spam of applicaties van derden.
      • Verwijder alle vertrouwelijke gegevens die je hebt verkregen via de gevonden kwetsbaarheid direct nadat wij een en ander hebben opgelost.

Onze belofte:

  • Wij bevestigen de ontvangst van jouw melding. 
  • Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • We houden je op de hoogte van de voortgang en laten je weten wanneer de kwetsbaarheid is verholpen. De termijn voor het oplossen van een geconstateerde kwetsbaarheid is afhankelijk van verschillende factoren, waaronder de ernst en de complexiteit van de kwetsbaarheid.
  • Wij doen geen aangifte en/of ondernemen geen andere juridische stappen als jij binnen de in dit CVD-beleid gestelde voorwaarden je onderzoek doet en je bevindingen bij ons meldt.

Bounty

Wij waarderen jouw inzet om onze systemen veilig te houden. Wij voeren momenteel geen bug bounty-programma. In bepaalde gevallen kunnen we een discretionaire, niet-financiële beloning aanbieden. Deze beloning is afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding.

Mocht je een kwetsbaarheid vinden waarop dit CVD-beleid niet van toepassing is, bijvoorbeeld doordat de software door een andere partij gemaakt wordt, en die kwetsbaarheid valt onder een bug bounty regeling, dan is de eventuele bounty voor jou.

Voorbehoud

Wij behouden ons het recht voor om dit CVD-beleid op elk moment te wijzigen of in te trekken. Dit beleid creëert geen wettelijke rechten voor derden, noch enige verplichting om kwetsbaarheden die worden gerapporteerd te onderzoeken of te verhelpen.