Responsible Disclosure

Laatst bijgewerkt: 19 februari 2026

Wij nemen de beveiliging van ons platform serieus. Als je een kwetsbaarheid hebt gevonden, horen we het graag. Dit beleid is opgesteld conform de Leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum (NCSC).

1. Ons Beleid

Wij ondernemen geen juridische stappen tegen personen die een beveiligingsprobleem melden, mits zij zich houden aan de regels in dit beleid. Wij beschouwen responsible disclosure als een waardevolle bijdrage aan de beveiliging van ons platform en de bescherming van onze gebruikers.

2. Regels

Wij vragen je om:

  • De kwetsbaarheid niet te misbruiken door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen, of door gegevens van anderen te wijzigen of verwijderen
  • De kwetsbaarheid niet met anderen te delen totdat deze is opgelost
  • Geen brute force, social engineering, DDoS of spam te gebruiken
  • Geen fysieke aanvallen of aanvallen op personeel te ondernemen
  • Geen malware te plaatsen
  • Genoeg informatie te geven om het probleem te reproduceren (URL, beschrijving, screenshots)

3. Scope

Dit beleid is van toepassing op:

  • De JustRunBiz-applicatie (*.justrunbiz.com)
  • De JustRunBiz API
  • Onze publieke website

Buiten scope vallen: diensten van derden (Supabase, Vercel, Anthropic, etc.), social engineering van medewerkers, en fysieke beveiliging.

4. Wat We Beloven

  • Wij bevestigen ontvangst van je melding binnen 3 werkdagen
  • Wij geven binnen 5 werkdagen een eerste beoordeling
  • Wij houden je op de hoogte van de voortgang
  • Wij streven ernaar kwetsbaarheden binnen 90 dagen op te lossen
  • Wij vermelden je (indien gewenst) als ontdekker van de kwetsbaarheid
  • Wij ondernemen geen juridische stappen als je je aan dit beleid houdt

5. Melden

Meld een kwetsbaarheid via:

Vermeld in je melding:

  • Een beschrijving van de kwetsbaarheid
  • Stappen om het probleem te reproduceren
  • De mogelijke impact
  • Je contactgegevens (voor follow-up)

Je kunt je melding versleutelen met onze PGP-sleutel (beschikbaar op verzoek).

6. Erkenning

Wij waarderen elke melding. Hoewel wij momenteel geen financiële beloning bieden (bug bounty), vermelden wij je graag (met jouw toestemming) als beveiligingsonderzoeker die heeft bijgedragen aan de veiligheid van ons platform.

SecurityPrivacybeleid