Ga naar content
Wij zijn de #1 Microsoft partner
#1 Microsoft partner van NL
Console Trainingen Werken bij
language_nl language_gb
Home Security Kennis Coordinated Vulnerability Disclosure

Coordinated Vulnerability Disclosure

Waarom verantwoord melden van kwetsbaarheden cruciaal is voor digitale weerbaarheid
Kennis MxDR (Managed eXtended Detection and Response) Cyber Defense Center (CDC)
Guus Verbeek
29-1-2026

Cybersecurity draait al lang niet meer alleen om technologie. Het gaat om mensen, processen en de bereidheid om samen te werken aan een veiliger digitaal ecosysteem. Toch zien we in de praktijk dat veel organisaties nog steeds verrast zijn wanneer een externe security researcher een kwetsbaarheid meldt.

Kwetsbaarheden worden altijd gevonden. De vraag is niet of, maar door wie. Door iemand met goede intenties, of door een kwaadwillende die er misbruik van maakt. Het Coordinated Vulnerability Disclosure (CVD)-proces laat zien hoe organisaties het verschil kunnen maken tussen die twee.

Wat is Coordinated Vulnerability Disclosure en waarom doet dit ertoe?

Coordinated Vulnerability Disclosure is een formeel proces waarmee organisaties vastleggen hoe beveiligingsonderzoekers kwetsbaarheden op een verantwoorde manier kunnen melden. Het doel is helder: kwetsbaarheden veilig oplossen vóórdat ze worden misbruikt.

Een mogelijke uitkomst van een CVD-proces is een Wall of Fame of Hall of Fame: een publieke erkenning voor security researchers die verantwoord hebben gehandeld. Andere uitkomsten kunnen bijvoorbeeld een financiële beloning, een bedankje of merchendise zijn. De Wall of Fame is dus geen doel op zich, maar een gevolg van een goed ingericht disclosureproces.

Organisaties die een CVD-proces hebben:

  • Erkennen dat ze niet alles zelf kunnen zien.

  • Nodigen actief uit tot responsible disclosure.

  • Laten zien dat veiligheid een gezamenlijke verantwoordelijkheid is.

In de securitycommunity is zo’n aanpak allesbehalve vrijblijvend. Het betekent dat een kwetsbaarheid daadwerkelijk is gevonden, gevalideerd én opgelost. Voor de buitenwereld is het een duidelijk signaal: deze organisatie neemt digitale veiligheid serieus.

Responsible Disclosure & CVD: zo werkt het in de praktijk

Verantwoord melden van kwetsbaarheden gebeurt via een Coordinated Vulnerability Disclosure (CVD)-proces. Dit is een formele afspraak waarin een organisatie vastlegt:

  • Waar kwetsbaarheden gemeld kunnen worden.

  • Onder welke voorwaarden onderzoek is toegestaan.

  • En dat melders geen juridische gevolgen riskeren zolang zij zich aan die regels houden.

Een veelgebruikte eerste stap is het instellen van een security.txt-bestand. Dit is een internationale standaard waarmee je security researchers vertelt hoe ze veilig contact met je kunnen opnemen.

Guus Verbeek, security expert bij Wortell
“Het zegt iets over de volwassenheid van een organisatie of ze dit geregeld hebben.”
Zonder een CVD-proces kan securityonderzoek vallen onder computervredebreuk. Met een CVD geef je expliciet kaders waarbinnen kwetsbaarheden gemeld mogen worden, zodat je ze kunt oplossen vóórdat een kwaadwillende dat doet.

Van ontdekking naar oplossing: hoe dit in de praktijk gaat

In de dagelijkse praktijk van security monitoring en onderzoek worden continu nieuwe kwetsbaarheden ontdekt. Soms gaat het om bekende issues, soms om nieuwe kwetsbaarheden die nog niet automatisch door tooling worden herkend.

Wanneer zo’n kwetsbaarheid wordt gevonden:

  • Wordt deze gevalideerd: is hij daadwerkelijk misbruikbaar?

  • Wordt de impact bepaald: wat kan een aanvaller ermee?

  • Worden klanten geïnformeerd en geadviseerd over mitigatie.

  • En worden, indien relevant, ook andere organisaties met hetzelfde softwarecomponent gewaarschuwd via hun CVD-proces.

In recente gevallen leidde dit ertoe dat Guus werd opgenomen in de Wall of Fame van meerdere grote Nederlandse organisaties. Niet vanwege het ‘hacken’, maar juist vanwege het verantwoord melden en helpen oplossen van kwetsbaarheden.

Waarom CVD óók cultureel belangrijk is

Responsible disclosure is geen technisch vinkje, maar een mindset. Organisaties die hier volwassen mee omgaan:

  • Reageren niet paniekerig, maar professioneel.

  • Zien meldingen als additionele intelligence.

  • Leren structureel van externe signalen.

  • En bouwen vertrouwen op binnen de securitycommunity.

Het tegenovergestelde zien we helaas ook: organisaties die meldingen juridisch benaderen, onderzoekers afschrikken of simpelweg geen duidelijk CVD-proces hebben. In die gevallen bereiken signalen de organisatie vaak niet eens, omdat er geen heldere communicatiepaden beschikbaar zijn voor security researchers. In de praktijk leidt dat niet tot meer veiligheid, maar tot minder zicht.

Zoals Guus het treffend verwoordt:

“Kwaadwillenden opereren zonder beperkingen. Securityonderzoekers werken binnen afgesproken kaders. Juist daarom is responsible disclosure essentieel.”

Wat kun je als organisatie doen?

Wil je als organisatie aantoonbaar werken aan digitale weerbaarheid? Dan zijn dit de belangrijkste stappen:

  1. Implementeer een security.txt
    Zorg dat onderzoekers weten waar ze kwetsbaarheden veilig kunnen melden.

  2. Richt een CVD-proces in
    Leg vast wat mag, wat niet mag en hoe meldingen worden afgehandeld.

  3. Breng je externe aanvalsvlak in kaart
    Veel kwetsbaarheden ontstaan in vergeten test-, demo- of legacy-omgevingen. 

  4. Test structureel, niet incidenteel
    Pentesten brengen niet alleen technische, maar ook logische kwetsbaarheden aan het licht.

  5. Sta open voor samenwerking
    Security is geen solo-actie, maar een ecosysteem.

Gedeelde verantwoordelijkheid

Bij Wortell zien we security niet als een product, maar als een gedeelde verantwoordelijkheid. Wat we leren in klantomgevingen, uiteraard binnen legitieme kaders, helpt ons om patronen te herkennen en ook anderen te beschermen. Eerst onze klanten. Daarna het bredere landschap.

Die houding zit diep in onze cultuur. Niet omdat het moet, maar omdat het werkt. En omdat het de wereld aantoonbaar een stukje veiliger maakt.

Onze auteur

Guus Verbeek

Contact me.