Beveiliging Computersystemen / Responsible Disclosure

We hechten veel waarde aan de beveiliging van onze systemen. Ondanks alle genomen voorzorgsmaatregelen, kan het voorkomen dat er zwakke plekken in de systemen ontstaan. Als u een zwakke plek ontdekt, horen wij dat graag, zodat we snel passende maatregelen kunnen nemen. Door een melding te maken, gaat u akkoord met onderstaande afspraken over Coordinated Vulnerability Disclosure en behandelt de gemeente uw melding volgens deze afspraken.

Melden van kwetsbaarheden in systemen:

  • Gebruik daarvoor het e-mailadres van de gemeente. Beschrijf het probleem zo duidelijk en compleet mogelijk, zodat het snel opgelost kan worden. Geef voldoende informatie om het probleem te begrijpen en op te lossen. Vaak is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Tips die ons helpen het probleem op te lossen, zijn welkom. Beperk tot verifieerbare feiten over de kwetsbaarheid en vermijd reclame voor specifieke beveiligingsproducten.
  • Laat contactgegevens achter, zoals een e-mailadres of telefoonnummer, zodat we kunnen samenwerken voor een veilige oplossing.
  • Dien de melding zo snel mogelijk in, na ontdekking van de kwetsbaarheid.

De volgende handelingen zijn niet toegestaan:

  • Plaatsen van malware op onze systemen of die van anderen.
  • Forceren van toegang tot systemen via 'bruteforce' of social engineering.
  • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.
  • Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is, om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens.
  • Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
  • Het openbaar maken of aan derden verstrekken van gegevens met een vertrouwelijk karakter, zoals privacygevoelige gegevens.
  • Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
  • Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

Wat mag u als melder verwachten:

  • Bij naleving van bovenstaande voorwaarden ondernemen wij geen juridische stappen.
  • Bij schending van voorwaarden kunnen juridische stappen worden overwogen.
  • De gemeente behandelt een melding vertrouwelijk en deelt persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij de gemeente daar volgens de wet of een rechterlijke uitspraak toe verplicht is.
  • De gemeente reageert binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
  • De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op.
  • Publicatie over het probleem gebeurt in overleg na oplossing.
  • Als blijk van waardering voor het melden van een kwetsbaarheid, ontvangt de melder een typisch Overbetuws presentje.