Security

Responsible disclosure

Vind je een kwetsbaarheid in onze systemen of diensten? Meld het bij ons, dan lossen wij het samen op. Laatst bijgewerkt op 11 mei 2026.

Meld een kwetsbaarheidruben@agentslab.eu, guido@agentslab.eu

1. Inleiding

Bij AgentsLab vinden wij de veiligheid van onze systemen en de data van onze klanten essentieel. Ondanks onze inspanningen kan het voorkomen dat er een kwetsbaarheid in een van onze systemen of diensten zit. Vind je zo'n kwetsbaarheid, dan vragen wij je om ons daarvan op de hoogte te brengen, zodat wij samen de veiligheid van onze klanten en het platform kunnen verbeteren.

Dit beleid is geen uitnodiging om actief en uitgebreid onze bedrijfssystemen te scannen op kwetsbaarheden. Onze systemen worden continu gemonitord en de kans is groot dat een scan wordt opgemerkt en onderzocht door ons security-team.

2. Wij vragen je om

  • Je bevindingen zo snel mogelijk te mailen naar Ruben en Guido via ruben@agentslab.eu, guido@agentslab.eu.
  • Het probleem niet te misbruiken, bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te wijzigen of te verwijderen.
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten te verwijderen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, (gedistribueerde) denial-of-service, spam of toepassingen van derden.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

3. Wat wij beloven

  • Wij reageren binnen drie werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als je je aan bovenstaande voorwaarden hebt gehouden, verbinden wij geen juridische consequenties aan de melding.
  • Wij behandelen je melding vertrouwelijk en delen je persoonsgegevens niet met derden zonder jouw toestemming, tenzij wij daartoe wettelijk verplicht zijn.
  • Wij houden je op de hoogte van de voortgang bij het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zullen wij, als je dat wenst, je naam vermelden als ontdekker.
  • Als blijk van dank voor je hulp bieden wij voor elke melding van een voor ons nog onbekend en serieus beveiligingsprobleem een passende beloning aan. De vorm van die beloning bepalen wij per geval. Het moet gaan om een serieus beveiligingsprobleem, beoordeeld door ons security-team.

4. In scope

Dit beleid is van toepassing op systemen en diensten die wij beheren:

  • agentslab.eu en alle subdomeinen onder *.agentslab.eu.
  • Het AgentsLab-platform en bijbehorende API's die wij aan onze klanten leveren.
  • Officiële mobiele en desktopclients van AgentsLab.

5. Niet in scope

De volgende meldingen vallen buiten de scope van dit beleid en komen niet in aanmerking voor een beloning:

  • Kwetsbaarheden in diensten van derden of in software van leveranciers die wij gebruiken.
  • Bevindingen uit geautomatiseerde scans zonder bewezen impact.
  • Ontbrekende best-practice headers, missende rate limits op niet kritieke endpoints en vergelijkbare configuratieobservaties zonder bewezen impact.
  • Self-XSS, clickjacking op pagina's zonder authenticatie-relevante acties en CSRF op formulieren zonder gevoelige actie.
  • Volume-aanvallen, denial-of-service, brute-force, spam en phishing-tests.
  • Fysieke aanvallen, social engineering tegen medewerkers of klanten, en aanvallen op kantoor- of netwerkinfrastructuur.

6. Hoe een kwetsbaarheid melden

Stuur je melding naar ruben@agentslab.eu, guido@agentslab.eu. Vermeld in je e-mail in elk geval:

  • Een beschrijving van de kwetsbaarheid en de potentiële impact.
  • Stappen om de kwetsbaarheid te reproduceren (URL, request, payload, screenshots of een korte video).
  • Eventueel een suggestie voor een oplossing of mitigatie.
  • Hoe je benaderd wilt worden en of je publiekelijk erkend wilt worden bij publicatie.

Wij geven de voorkeur aan rapporten in het Nederlands of Engels. Versleutelde communicatie via PGP is op verzoek mogelijk; vraag de actuele publieke sleutel op via ruben@agentslab.eu, guido@agentslab.eu.

7. Juridisch

Wij hanteren dit beleid in lijn met de richtlijn Coordinated Vulnerability Disclosure (CVD) van het Nationaal Cyber Security Centrum (NCSC). Wij verbinden geen juridische consequenties aan een melding als je je aan de voorwaarden in dit beleid houdt. Dit beleid verleent geen toestemming om onderzoek te doen op systemen van derden, klanten of subverwerkers van AgentsLab. Wij kunnen de bevindingen van een melding niet vrijwaren van wettelijke verplichtingen jegens autoriteiten.

8. Contact

Vragen over dit beleid kun je richten aan ruben@agentslab.eu, guido@agentslab.eu. Voor overige beveiligings- en compliancevragen verwijzen wij je naar onze security-pagina.

Dit beleid kan van tijd tot tijd worden aangepast. De meest recente versie staat altijd op deze pagina, met de datum van laatste wijziging bovenaan.