Melden valse e-mail

Bij een valse e-mail (bijvoorbeeld een zogenaamde ‘phishing e-mail’) lijkt het alsof de e-mail door de RDW is verzonden. Als u een vals e-mailbericht tegenkomt, stelt de RDW het zeer op prijs als u het bericht doorstuurt naar: deze link opent in een nieuw venster[email protected] (alleen voor melding valse e-mails).

Stuur het valse e-mailbericht (indien mogelijk) als bijlage in een nieuwe e-mail naar de RDW via deze link opent in een nieuw venster[email protected]. Deze e-mails worden automatisch verwerkt. U krijgt daarom geen antwoord op eventueel gestelde vragen hierin. De RDW onderzoekt de valse e-mail en neemt zo nodig maatregelen. Verwijder na het doen van de melding de valse e-mail uit uw e-mailbox en daarna ook uit uw verwijderde berichten. Wordt uw e-mail aan deze link opent in een nieuw venster[email protected] als onbestelbaar retour gestuurd? Dan komt dit waarschijnlijk door de beveiliging (spamfilter) van uw internetprovider. U hoeft dan niet verder te proberen het bericht aan de RDW door te sturen.

Geef nooit uw wachtwoord, pincode of andere vertrouwelijke gegevens via e-mail. Open alleen een bijlage of klik alleen op een link wanneer u zeker weet dat de afzender te vertrouwen is. Heeft u onverhoopt toch gegevens ingevuld via een valse e-mail? Bel dan met de klantenservice van de RDW.

Melden van datalekken

Heeft u het idee dat de RDW of een door de RDW erkend bedrijf niet goed met persoonsgegevens is omgesprongen? Of bent u zelf een erkend bedrijf en vermoedt u een datalek? Meld dat dan bij de RDW. U kunt telefonisch contact opnemen met het Klant Contact Centrum van de RDW. De medewerker stelt u een aantal vragen om na te gaan hoe het lek is ontstaan en om welke persoonsgegevens het gaat. Lees meer over het melden van datalekken.  

SOC

Bij urgente veiligheidszaken kunt u contact opnemen met het Security Operations Center (SOC) van de RDW. Het SOC is bereikbaar via deze link opent in een nieuw venster[email protected]. Als u veilig met het SOC wilt e-mailen, kunt u gebruik maken van de DocumentPGP-sleutel (asc, 3kb). Voor minder urgente veiligheidszaken kunt u op de gebruikelijke wijze contact opnemen met de RDW. 

Responsible Disclosure

De RDW streeft een hoog niveau van beveiliging na. Het kan echter onverhoopt voorkomen dat er een zwakke plek in het RDW-systeem zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan de RDW melden. U mag de RDW houden aan dit beleid ten aanzien van Responsible Disclosure.

Kwetsbaarheden in ICT-systemen van de RDW

Als u een kwetsbaarheid in de ICT-systemen van de RDW hebt gevonden, hoort de RDW dit graag van u. De RDW kan zo snel mogelijk de benodigde maatregelen treffen. De RDW werkt graag samen met u om de veiligheid van de ICT-systemen te verbeteren en vraagt u daarom:

  • Zo snel mogelijk na ontdekking van de kwetsbaarheid deze aan de RDW door te geven door uw bevindingen te e-mailen naar deze link opent in een nieuw venster[email protected]. Versleutel de bevindingen indien mogelijk met de DocumentPGP-sleutel (asc, 3kb) om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren zodat we dit zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Uw contactgegevens in het e-mailbericht te vermelden zodat het Security Operations Center met u in contact kan komen om samen te werken aan een veilig resultaat. Minimaal vereist zijn een e-mailadres of telefoonnummer.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat dit is opgelost.
  • Verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
  • U te realiseren dat bekendmaking van eventuele informatie uit RDW-systemen in voorkomende gevallen strafbaar is en kan leiden tot vervolging en/of een schadeclaim.

Vermijd in elk geval:

  • Het plaatsen van malware of enige software op het RDW-systeem.
  • Het kopiëren, wijzigen of verwijderen van gegevens of configuraties van een systeem (een alternatief hiervoor is het maken van een directorylisting of screenshot).
  • Het gebruik van het zogeheten ‘bruteforcen’ om toegang tot systemen te verkrijgen.
  • Het gebruik van ‘denial-of-service’ aanvallen of ‘social engineering’.
  • Het verder uitnutten van de kwetsbaarheid dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Het aanbrengen van veranderingen in het RDW-systeem anders dan noodzakelijk om de kwetsbaarheid vast te stellen.
  • Het gebruik van geautomatiseerde scantools en stuur geen niet-geverifieerde output van dergelijke tools. Scantools genereren vaak ‘false positives’. Alleen door de melder geverifieerde beveiligingsfouten worden door de RDW in behandeling genomen.

U mag het volgende van de RDW verwachten:

  • Als uw melding aan de bovenstaande voorwaarden voldoet, verbindt de RDW geen juridische consequenties aan deze melding. De RDW behandelt uw melding strikt vertrouwelijk en deelt geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • De RDW stuurt u binnen 2 werkdagen een ontvangstbevestiging.
  • De RDW reageert binnen 5 werkdagen op uw melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • De RDW houdt u van de voortgang op de hoogte.
  • De RDW lost het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepaalt de RDW wanneer en op welke wijze hierover wordt gepubliceerd.
  • Als een kwetsbaarheid niet of moeilijk op te lossen is of indien er hoge kosten mee gemoeid zijn, kan in onderling overleg worden afgesproken om de kwetsbaarheid niet openbaar te maken.
  • De RDW houdt zich het recht voor indien een kwetsbaarheid vermoedelijk ook op andere plaatsen en bij andere organisaties aanwezig zal zijn, informatie over de kwetsbaarheid met de ICT-community te delen.
  • In onderling overleg kan de RDW, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Als dank voor uw hulp biedt de RDW een ludieke beloning voor elke melding van een nog onbekend en serieus RDW-beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.

Deze tekst is opgesteld in lijn met de leidraad voor Responsible Disclosure van het Nationaal Cyber Security Centrum.