Scope

De beveiliging van onze systemen heeft voor ons de hoogste prioriteit. Ondanks alle inspanningen die wij leveren om onze systemen te beveiligen, is het mogelijk dat er toch kwetsbaarheden bestaan. Om de prestaties en beveiliging van onze netwerken en informatiesystemen te verbeteren, hebben wij een beleid voor gecoördineerde kwetsbaarheidsmelding vastgesteld. Dit beleid heeft betrekking op beveiligingskwetsbaarheden die door derden kunnen worden misbruikt of die de goede werking van onze producten, diensten, netwerken of informatiesystemen kunnen verstoren.

Dit beleid biedt deelnemers de mogelijkheid om te goeder trouw te zoeken naar mogelijke kwetsbaarheden in de systemen, apparatuur en producten van onze organisatie, of om informatie door te geven over een ontdekte kwetsbaarheid. Toegang tot onze IT-systemen en apparatuur is echter uitsluitend toegestaan met het oog op het verbeteren van de beveiliging, het melden van bestaande kwetsbaarheden en met strikte naleving van de voorwaarden die in dit document zijn vastgelegd. De deelnemer mag in dat kader computergegevens in onze systemen invoeren of trachten in te voeren, mits dit gebeurt binnen de doelstellingen en voorwaarden van dit beleid.

Het beleid voor Gecoördineerde Kwetsbaarheidsmelding is beperkt tot de mobiele applicatie van Olympus Mobility en de portaalwebsite.

Beginselen

Proportionaliteit

Ethische hackers verbinden zich ertoe het proportionaliteitsbeginsel strikt na te leven in al hun handelingen, wat betekent dat zij de beschikbaarheid van de diensten niet mogen verstoren en de kwetsbaarheid niet verder mogen uitbuiten dan strikt noodzakelijk is om het veiligheidsprobleem aan te tonen. Hun aanpak moet evenredig blijven: zodra het probleem op beperkte schaal is aangetoond, dienen verdere acties achterwege te blijven.

Het doel van dit beleid is duidelijk te maken dat de primaire motivatie van de ethische hacker het opsporen en aantonen van kwetsbaarheden moet zijn, en niet het bewust verkrijgen van gevoelige informatie of persoonsgegevens (zoals computerdata, communicatiegegevens of persoonlijke data). Eventuele kennisneming van dergelijke gegevens mag enkel incidenteel en onbedoeld plaatsvinden in het kader van legitiem onderzoek naar kwetsbaarheden.

Handelingen die niet zijn toegestaan

Het is niet toegestaan om:

Het probleem openbaar te maken zonder voorafgaande schriftelijke toestemming van Olympus Mobility;
Aanvallen uit te voeren op fysieke beveiliging, via social engineering, (gedistribueerde) denial-of-service-aanvallen, spam of applicaties van derden;
Gegevens uit IT-systemen te kopiëren, te wijzigen of te verwijderen;
Parameters van IT-systemen te veranderen;
Malware te installeren (zoals virussen, wormen, Trojaanse paarden, backdoors, enz.);
Social engineering-, phishing- of spamaanvallen uit te voeren;
Wachtwoorden te stelen of brute-force-aanvallen uit te voeren;
Apparatuur te plaatsen om (elektronische) communicatie te onderscheppen of op te slaan die niet openbaar toegankelijk is;
Opzettelijk niet-openbare communicatie te onderscheppen, te bewaren of te ontvangen;
Inhoud van niet-openbare communicatie of gegevens uit IT-systemen te gebruiken, bewaren, verspreiden of meedelen, terwijl men redelijkerwijs had moeten weten dat deze op onrechtmatige wijze waren verkregen.

Indien de deelnemer een derde partij wenst te betrekken bij het onderzoek, dient hij of zij ervoor te zorgen dat deze partij kennisneemt van dit beleid en ermee instemt de voorwaarden ervan strikt na te leven.

Vertrouwelijkheid

De deelnemer mag zonder voorafgaande en uitdrukkelijke toestemming van onze organisatie geen informatie die in het kader van dit beleid is verzameld, delen of openbaar maken aan derden.

Evenmin is het toegestaan om computerdata, communicatiegegevens of persoonsgegevens aan derden te openbaren of te verspreiden.

Indien een kwetsbaarheid ook gevolgen kan hebben voor andere organisaties in België, mag de deelnemer of de verantwoordelijke organisatie de CCB op de hoogte brengen via vulnerabilityreport@cert.be.

Bonafide uitvoering

Onze organisatie verbindt zich ertoe dit beleid te goeder trouw toe te passen en geen civiele of strafrechtelijke stappen te ondernemen tegen een deelnemer die zich aan de voorwaarden van dit beleid houdt.

De deelnemer moet handelen zonder frauduleuze intentie, kwade wil of enig voornemen om schade te berokkenen aan de systemen of data van onze organisatie, of aan die van derden in binnen- of buitenland.

Bij twijfel over de interpretatie van dit beleid dient de deelnemer eerst contact op te nemen met security@olympus-mobility.com en schriftelijke toestemming te verkrijgen voordat verdere stappen worden ondernomen.

Verwerking van persoonsgegevens

Het doel van dit beleid is niet het bewust verwerken van persoonsgegevens. Toch kan het voorkomen dat een deelnemer tijdens het onderzoek naar kwetsbaarheden incidenteel persoonsgegevens verwerkt.

Onder de verwerking van persoonsgegevens wordt verstaan: het opslaan, wijzigen, raadplegen, gebruiken of openbaar maken van informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is identificeerbaar als deze direct of indirect kan worden geïdentificeerd, bijvoorbeeld via een e-mailadres, identificatienummer, online-ID, IP-adres of locatiegegevens.

Wanneer de deelnemer persoonsgegevens verwerkt, verbindt hij of zij zich ertoe de volgende verplichtingen na te leven:

Persoonsgegevens uitsluitend te verwerken volgens de instructies van onze organisatie en uitsluitend ten behoeve van onderzoek naar kwetsbaarheden in onze systemen, apparatuur of producten;
De verwerking van persoonsgegevens te beperken tot wat strikt noodzakelijk is voor het doel van het onderzoek;
Ervoor te zorgen dat alle personen die toegang hebben tot persoonsgegevens vertrouwelijkheid respecteren of wettelijk daartoe verplicht zijn;
Passende technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen dat in verhouding staat tot het risico (zoals versleuteling – zie Rapportering);
Ons te ondersteunen, voor zover redelijk mogelijk, bij het naleven van verplichtingen inzake gegevensbescherming, de rechten van betrokkenen en beveiliging van verwerkingen;
Ons onmiddellijk op de hoogte te stellen van een datalek via privacy@olympus-mobility.com;
Geen persoonsgegevens langer te bewaren dan noodzakelijk en deze na afloop van deelname onmiddellijk te verwijderen;
Een register bij te houden van de categorieën verwerkingsactiviteiten, conform artikel 30, §2 van de AVG (GDPR).

Indien de deelnemer een derde partij inschakelt, blijft de deelnemer volledig verantwoordelijk voor naleving van de verplichtingen inzake gegevensbescherming.

Wanneer de deelnemer persoonsgegevens verwerkt in strijd met dit beleid of voor andere doeleinden dan het opsporen van kwetsbaarheden, wordt de deelnemer beschouwd als zelfstandig verwerkingsverantwoordelijke en draagt hij/zij de volledige verantwoordelijkheid voor die verwerking.

Rapportering

Volg bij het melden van kwetsbaarheden de onderstaande richtlijnen:

Onderbouw je bevindingen met schermafbeeldingen en duidelijke instructies voor het beoordelen en reproduceren van de kwetsbaarheid, of lever een theoretisch bewijs van het bestaan ervan;
Vermeld nauwkeurige tijdstempels van je tests en geef duidelijk de tijdzone aan (bijv. +0000 voor UTC);
Stuur je bevindingen via e-mail naar security@olympus-mobility.com en versleutel deze met onze publieke sleutel om te voorkomen dat gevoelige informatie in verkeerde handen valt.

Onze belofte

Wij reageren binnen drie werkdagen op je melding met een evaluatie en een verwachte termijn voor oplossing;
Indien je de bovenstaande richtlijnen hebt gevolgd, zullen wij geen juridische stappen tegen je ondernemen;
Wij behandelen je melding volledig vertrouwelijk en delen je persoonsgegevens niet met derden zonder je toestemming;
Wij houden je op de hoogte van de voortgang bij het oplossen van het probleem;
In openbare communicatie over de gemelde kwetsbaarheid zullen wij je vermelden als ontdekker (tenzij je anders wenst);
Als blijk van waardering ontvang je een Olympus Mobility Security Champion-mok of -T-shirt naar keuze.

Wet van toepassing

Op dit beleid is het Belgisch recht van toepassing.
De CCB (vulnerabilityreport@cert.be) kan optreden als bemiddelaar bij geschillen tussen onze organisatie en de deelnemer met betrekking tot de toepassing van dit beleid.

Contact

Voor vragen over dit beleid kun je contact opnemen via security@olympus-mobility.com.

Het wettelijk mobiliteitsbudget in 2026: Bereid je voor

Hoe bereken ik de TCO voor het mobiliteitsbudget?

Het wettelijk mobiliteitsbudget in 2026: Bereid je voor

Hoe bereken ik de TCO voor het mobiliteitsbudget?

Beleid gecoördineerde kwetsbaarheidsmelding

Scope

Beginselen

Proportionaliteit

Handelingen die niet zijn toegestaan

Vertrouwelijkheid

Bonafide uitvoering

Verwerking van persoonsgegevens

Rapportering

Onze belofte

Wet van toepassing

Contact

Het wettelijk mobiliteitsbudget in 2026: Bereid je voor

Het wettelijk mobiliteitsbudget in 2026: Bereid je voor

Het wette­lijk mobi­li­teits­bud­get in 2026: Bereid je voor

Hoe bereken ik de TCO voor het mobiliteitsbudget?

Het wette­lijk mobi­li­teits­bud­get in 2026: Bereid je voor

Hoe bereken ik de TCO voor het mobiliteitsbudget?

Beleid geco­ör­di­neerde kwetsbaarheidsmelding

Scope

Beginselen

Proportionaliteit

Handelingen die niet zijn toegestaan

Vertrouwelijkheid

Bonafide uitvoering

Verwerking van persoonsgegevens

Rapportering

Onze belofte

Wet van toepassing

Contact

Het wettelijk mobiliteitsbudget in 2026: Bereid je voor

Het wettelijk mobiliteitsbudget in 2026: Bereid je voor

Beleid gecoördineerde kwetsbaarheidsmelding