Skip to the content.

Nederlands Security Meldpunt

Het Nederlandse meldpunt voor kwetsbaarheden, infecties en andere (cyber)security gerelateerde zaken.

English below

Over ons…

Het Nederlands Security Meldpunt is een groep vrijwilligers, onderdeel van het Dutch Institute for Vulnerability Disclosure, die het zich tot taak heeft gesteld eigenaren van Nederlandse netwerkblokken en websites te informeren over (cyber) security zaken die bij het meldpunt gemeld worden.

Onze missie…

Wij willen Nederland (Cyber) veiliger maken door op te treden als meldpunt voor security gerelateerde zaken met betrekking tot Nederlandse netwerk operators. Wij willen onderzoekers en andere belanghebbenden in staat stellen op een gemakkelijke manier alle Nederlandse Netwerk operators op de hoogte te brengen van kwetsbare of geïnfecteerde apparaten in hun netwerk.

We doen dit op zijn Nederlands: Open, Eerlijk, Samen en zonder kosten.

Wat we doen…

Als iemand een incident (kwetsbaarheid/infectie/andere zaak) in meedere systemen bij ons meldt, dan zullen we deze valideren. Na validatie zullen we kijken welke netwerkbeheerder(s) bij de getroffen IP adressen horen en aan deze partijen een melding sturen. Deze melding bevat een omschrijving van het incident (eventueel via een blog post) en de getroffen IP adressen.

Wat we niet doen

Het meldpunt is geen “internet politie”. Dat wil zeggen dat we meldingen slechts doorgeven aan de operators, we houden geen statistieken bij over de opvolging en zullen hierover ook niet publiceren. Het meldpunt publiceert niet over kwetsbaarheden tenzij deze informatie reeds elders publiek beschikbaar is. Wij benaderen geen particulieren.

DIVD

Het Nederlands Security meldpunt is onderdeel van het Dutch Institute for Vulnerability Disclosure. Het meldpunt verschilt in een aantal zaken met het DIVD.

  Meldpunt DIVD
Doelgroep Nederlandse netwerk operators Iedereen
Soort melding Kwetsbaarheid bij één of enkele systemen Een algemene kwetsbaarheid en een lijstje met IP adressen
Publicatie In pricipe wel Nee, tenzij de informatie al ergens anders beschikbaar is
Hall of fame Ja Nee

Hoe zit dat met de AVG?

IP adressen zijn door de Autoriteit Persoonsgegevens aangemeld als persoonsgegevens. Dit betekent dus dat het meldpunt persoonsgegevens verwerkt. Het meldpunt gebruikt hiervoor de grondslag “gerechtvaardigd belang”.

Volgens de AP mag een organisatie zich beroepen op een gerechtvaardigd belang als aan drie voorwaarden wordt voldaan: (1) u heeft een gerechtvaardigd belang, (2) de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen en (3) u heeft een afweging gemaakt tussen uw belangen en die van de personen van wie u persoonsgegevens verwerkt.

Het doel van het meldpunt is Nederland (Cyber) veiliger te maken door netwerkbeheerders te informeren over incidenten in hun netwerk zodat zij deze kunnen verhelpen. Een veiliger Nederland is het algemene belang. Verwerking van IP adressen is noodzakelijk om netwerkbeheerders op de hoogte te brengen van security problemen in hun netwerk, zonder IP adressen is deze informatie zo goed als nutteloos. Melding van het incident aan de operator is ook in het belang van de personen waar de IP adressen eventueel bij behoren. Het oplossen van het incident is immers ook in het belang van deze personen.


English


About us…

The Dutch Security Hotline is a group of volunteers, part of the Dutch Institute for Vulnerability Disclosure, which has set the task of informing owners of Dutch network blocks and websites about (cyber) security issues that are reported to the Dutch Security Hotline.

Our mission…

We want to make the Netherlands (Cyber) safer by acting as a hotline for security-related matters relating to Dutch network operators. We want to enable researchers and other stakeholders to quickly inform all Dutch Network operators of vulnerable or infected devices in their network.

We do this in the Dutch way: Open, honest, together, and free of charge.

What we do…

If someone reports an incident (vulnerability/infection/other issues) in multiple systems to us, we will validate it. After validation, we will find which network administrator(s) belong to the affected IP addresses and send a notification to these parties. This report contains a description of the incident (possibly via a blog post) and the affected IP addresses.

What we do not do

The Dutch Security Hotline is not the “internet police.” We only pass on the notification to the operators; we do not keep statistics about the follow-up and nor will we publish about it. The hotline does not publish about vulnerabilities unless this information is already publicly available elsewhere. We do not approach individuals.

DIVD

The Dutch Security Hotline is part of the Dutch Institute for Vulnerability Disclosure. The Dutch Security Hotline differs in a number of cases with regard to the DIVD.

  Hotline DIVD
Target Dutch network operators Everyone
Type of report Vulnerability with one or more systems A general vulnerability and a list of IP addresses
Publication In principle, yes No, unless the information is already available somewhere else
Hall of fame Yes No

What about the GDPR?

IP addresses have marked as personal data by the Dutch Data Protection Authority. The Dutch Security Hotline processes personal data and follows the legal definition “legitimate concern” for this.

According to the Dutch Data Protection Authority, an organization may invoke a legitimate interest if three conditions are met:

(1) you have a legitimate interest, (2) the processing is necessary to represent this legitimate interest and (3) you have made an assessment between your interests and those of the persons whose personal data you are processing.

The purpose of the Dutch Security Hotline is to make the Netherlands (Cyber) safer by informing network administrators about incidents in their network so that they can resolve it. A safer Netherlands is the public interest. Processing of IP addresses is necessary to inform network administrators of security problems in their network; without IP addresses, this information is virtually useless. Reporting the incident to the operator is also in the interest of the persons to whom the IP addresses possibly belong. After all, resolving an incident is also in the interest of these people.