オランダの国家サイバーセキュリティセンタから、協調された脆弱性公表ガイドラインが出ており、それが改定されています。

2013年には、「責任ある開示の実務に至るまでのガイドライン」とされていたものが改定されたものです。

　OV-ChipkaartというRFIDを利用した交通カードの脆弱性が、2008年に、アムステル大学の学生によって明らかにされたという事件があって、そのような事件の経験のもとにこれらのガイドラインが制定されたという経緯があるようです。　

詳細については、どこかから、きちんとした調査費用をいただけた場合に検討したいわけですが、3の責任の領域には、刑事責任・民事責任を意識した記述があることが注目されます。

法律が報告者によって破られた疑いがある場合、CVDポリシーは、まず報告者が当局に報告されるのを防ぐのに役立ちます。 この手順は、組織が報告当事者に遵守することを要求するポリシーの前提条件にかかっておりいるのですが、組織は、報告者に対して遵守することを求めているのですが、当事者が、ポリシーの条件のなかで取り扱っている限り、刑事訴追を求めないという約束とともになされます。警察の報告書が作成される場合、CVDポリシーが存在しており、それを遵守遵守していることはオランダにおいての関連する状況であり、検察官は犯罪捜査を開始するか、または起訴するかを決定するときに考慮します。 原則として、報告組織が問題の組織のCVDポリシーのルールを明確に順守している場合、警察と検察庁（OM）は犯罪捜査を開始しません。

　

となっています。協調された開示ルールを遵守してくれるのであれば、犯罪捜査は開始されないし、起訴もされないというのが、ガイドラインとして明記されているというのは、非常に明確な立場ということができるでしょう。