Responsible disclosure

Bij PostNL vinden wij de veiligheid van onze IT systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. 

Wij worden graag door u geïnformeerd als u een kwetsbaarheid in onze systemen heeft gevonden. Met uw informatie kunnen we zo snel mogelijk maatregelen treffen. Samen werken wij zo aan het beschermen van onze systemen en onze klanten.

Wij vragen u:

  • Uw bevindingen te versleutelen met behulp van onze PGP sleutel en vervolgens te versturen naar responsible-disclosure@postnl.nl.
  • Uw bevinding niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Uw bevinding niet met anderen te delen totdat het door ons is opgelost of wij u daarvoor schriftelijk of onweerlegbaar toestemming hebben verleend.
  • Onze vertrouwelijke gegevens die eventueel zijn verkregen als gevolg van de zwakke plek, na afstemming met ons direct te wissen en/of te vernietigen.
  • Uw bevinding niet te gebruiken om aanvallen op fysieke beveiliging te doen. 
  • Uw bevinding niet te doen door middel van social engineering, distributed denial of service of spam.
  • Ons voldoende informatie te geven om uw bevinding te reproduceren zodat wij het issue zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kunnen wij meer informatie van u nodig hebben.

Wat mag u van ons verwachten:


  • Wij reageren binnen drie dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder u toestemming met derden delen tenzij dat noodzakelijk is om de melding op te lossen, of een wettelijke verplichting na te komen. U kunt uw melding bij ons ook anoniem doen.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem als u dat aan ons heeft gevraagd.
  • Bij het bekendmaken van de gemelde zwakte en onze oplossing er van, zullen wij alleen uw naam vermelden als u ons daarvoor uitdrukkelijk toestemming heeft verleend. 
  • Als het vinden van de zwakte in onze systemen een gevolg is van een mogelijk strafbaar of onrechtmatig handelen, zullen wij geen juridische maatregelen tegen u treffen als u zich aan onze voorwaarden met betrekking tot 'Responsible Disclosure' heeft gehouden.

Wij streven ernaar om alle meldingen zo snel mogelijk op te lossen. Mocht u na de oplossing van het probleem hierover willen publiceren of bekendheid zoeken, dan verzoeken wij u ons hierover voorafgaand te informeren en/of de publicatie met ons af te stemmen. 

Deze Responsible Disclosure is gebaseerd op een voorbeeld van Floor Terra.