Wij zetten ons in voor de veiligheid, effectiviteit en bescherming van onze producten. Cyberveiligheid van onze producten en de infrastructuur van onze klanten maakt integraal deel uit van onze focus.

Veiligheidsonderzoekers spelen een rol bij het identificeren van kwetsbaarheden en zorgen op het gebied van cyberveiligheid. Ons doel is om effectief samen te werken met de onderzoeksgemeenschap om hun uitkomsten te kunnen begrijpen. We introduceren ons eerste ‘Proces voor gecoördineerde openbaarmaking van kwetsbaarheden’ om samenwerking en melding van kwetsbaarheden bij medische hulpmiddelen, zoals hieronder beschreven, te stimuleren.

Het toepassingsgebied van ons meldingsprogramma voor kwetsbaarheden omvat medische hulpmiddelen, software als medisch hulpmiddel en mobiele medische toepassingen. Het is niet bedoeld om ondersteunende technische informatie over onze producten te bieden of voor het melden van bijwerkingen of klachten over productkwaliteit.

Als u een bijwerking wilt melden of een klacht over productkwaliteit hebt, kunt u contact met ons opnemen via stryker.com/productexperience.

Een kwetsbaarheid indienen

Als u een mogelijke kwetsbaarheid in de beveiliging van een van onze medische hulpmiddelen, software als medisch hulpmiddel of mobiele medische toepassingen hebt ontdekt, kunt u een kwetsbaarheidsrapport indienen bij het productbeveiligingsteam van Stryker door het volgende formulier in te vullen en het volledig ingevulde document via e-mail naar ProductSecurity@stryker.com te sturen.

Belangrijke informatie:
 

Wij ondernemen geen juridische stappen tegen personen die rapporten indienen via ons rapportageproces voor kwetsbaarheden en die een wettelijke overeenkomst met ons aangaan. Wij werken samen met personen die:    

• zich bezighouden met het testen van systemen/onderzoeken zonder schade aan te brengen aan Stryker of zijn klanten;    
• testen uitvoeren op producten zonder dat dit invloed heeft op klanten, of die voorafgaand aan het testen nagaan of er kwetsbaarheden bestaan in hun hulpmiddelen/software, etc. toestemming/instemming verkrijgen van klanten;
• zich bezighouden met het testen van kwetsbaarheden binnen het toepassingsbereik van ons programma voor openbaarmaking van kwetsbaarheden, in overeenstemming met de voorwaarden en bepalingen van eventuele overeenkomsten die zijn aangegaan tussen Stryker en individuele personen;
• zich houden aan de wetten van hun locatie en de locatie van Stryker. Bijvoorbeeld, het schenden van wetten die uitsluitend zouden resulteren in een claim van Stryker (geen strafrechtelijke claim) is mogelijk acceptabel, aangezien Stryker de activiteit (reverse engineering of het omzeilen van beschermende maatregelen) autoriseert om zijn systeem te verbeteren.
• Geen details over kwetsbaarheden openbaarmaken voordat een eventuele gezamenlijk overeengekomen tijdsperiode is verstreken.
  

Voorkeuren, prioritering en acceptatiecriteria
We maken gebruik van de volgende criteria voor prioritering en triage van indieningen.   

Wat we van u graag willen zien:

• rapporten geschreven in het Engels;  
• rapporten die een ‘proof‐of‐concept’-code bevatten, waarmee we de triage beter kunnen uitvoeren;   
• hoe u de kwetsbaarheid hebt gevonden, de impact ervan en een mogelijke oplossing;   
• eventuele plannen of intenties voor publieke openbaarmaking.   

Opmerking: Rapporten die slechts crashdumps of andere output van geautomatiseerde tools bevatten, krijgen een lagere prioriteit.

Wat u van ons kunt verwachten:   

• Een tijdige reactie op uw e-mail (binnen 5 werkdagen).
• We zullen de mogelijke bevindingen doorsturen naar de betreffende productteams voor verificatie en reproductie. In deze fase kan er contact met u opgenomen worden voor aanvullende informatie.  
• Wij zullen, na onderzoek van een melding, het bestaan van de kwetsbaarheid en de mogelijke impact ervan bevestigen.  Als de vastgestelde kwetsbaarheid hoogstwaarschijnlijk invloed heeft op patiëntveiligheid, zullen wij alles op alles zetten om een oplossing te vinden en de nodige maatregelen nemen. Alle andere kwetsbaarheden worden beoordeeld en aangepakt op basis van het risico dat zij met zich meebrengen.
• Een open dialoog om kwesties te bespreken.   
• Berichtgeving als de kwetsbaarheidsanalyse elke fase van onze beoordeling heeft voltooid.   
• Indien gewenst, erkenning als de kwetsbaarheid gevalideerd en opgelost is.   
• We spannen ons ervoor in om zo transparant mogelijk te zijn over het tijdsbestek van het herstel en eventuele problemen of uitdagingen waarmee wij te maken krijgen.  
• Als wij eventuele communicatieproblemen of andere problemen niet kunnen oplossen, roepen wij mogelijk de hulp in van een neutrale derde partij (zoals CERT/CC, ICS-CERT of de relevante regelgevende instantie) om te helpen vast te stellen hoe wij de kwetsbaarheid het beste kunnen aanpakken.   

Alle aspecten van dit proces zijn onderhevig aan verandering zonder voorafgaande kennisgeving, alsook aan eventuele uitzonderingen per geval. Er wordt geen specifieke mate van reactie gegarandeerd.

Mededeling

Indien u besluit eventuele informatie te delen met Stryker, gaat u ermee akkoord dat de informatie die u indient wordt beschouwd als niet-bedrijfseigen en niet-vertrouwelijk en dat Stryker dergelijke informatie op elke manier, in zijn geheel of gedeeltelijk, en zonder enige beperking mag gebruiken. Bovendien stemt u ermee in dat het indienen van informatie geen rechten voor u of enige verplichting voor Stryker oplevert.

Als onderdeel van onze belofte voor productveiligheid en klantenservice, voorzien wij onze klanten van informatie om hen de kwetsbaarheden en risico‘s te helpen beoordelen en aanpakken.

Wij gebruiken daarvoor specifiek de ‘Openbaarmakingsverklaring van de fabrikant voor de veiligheid van medische hulpmiddelen’ (‘Manufacturer Disclosure Statement for Medical Device Security’ of MDS²) om veiligheidsinformatie over onze producten te verstrekken.

De MDS² bevat productspecifieke veiligheidsinformatie met betrekking tot de capaciteiten van de hulpmiddelen, zoals:    

• onderhoud, opslaan en het verzenden van elektronisch beveiligde gezondheidsinformatie (‘electronically protected health information’ of ePHI); 
• capaciteiten voor de backup van gegevens en verwijderbare media;
• het installeren van beveiligingspatches en antivirussoftware;
• toegang tot service op afstand;
• auditlogboeken van toegang tot ePHI, waaronder: het bekijken, aanmaken, bewerken en verwijderen van dossiers; importeren/exporteren.

De MDS², een universeel rapportageformulier waarmee wij onze klanten van modelspecifieke informatie kunnen voorzien, wordt ondersteund door het American College of Clinical Engineering (ACCE), ECRI (voorheen het Emergency Care Research Institute), de National Electrical Manufacturers Association (NEMA) en de Healthcare Information and Management Systems Society (HIMSS).

Het formulier bevat ook aanbevelingen voor beveiligingsprocedures en toelichtingen van de fabrikant.