Responsible disclosure

Bij Gemeente Moerdijk vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is

Bij Gemeente Moerdijk vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen U

  • Uw bevindingen aan te leveren via deze mail-link. Vergeet niet uw contactgegevens te vermelden (e-mailadres en/of telefoonnummer) en te vermelden dat het gaat om een kwetsbaarheid bij gemeente Moerdijk. 
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen.
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen. 
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, spam, bruteforcen of applicaties van derden. Ook verzoekt de gemeente u geen gebruik te maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of de dienstverlening wordt verminderd. 
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zodat wij het probleem zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid met foutmelding voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. 

Wat wij beloven 

  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als u zich aan bovenstaande afspraken voor het melden heeft gehouden, onderneemt de gemeente geen juridische stappen tegen u over de melding. 
  • Uw melding wordt vertrouwelijk behandeld en uw persoonlijke gegevens worden niet zonder uw toestemming met derden gedeeld, tenzij de gemeente daar volgens de wet of rechterlijke uitspraak toe verplicht is. Melden onder een pseudoniem is mogelijk. 
  • Het door u gemelde beveiligingsprobleem wordt zo snel mogelijk opgelost. Hierin is de gemeente vaak wel medeafhankelijk van externe partijen. De gemeente houdt u op de hoogte van de voortgang. 
  • Of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost, wordt in onderling overleg en in samenspraak met de Informatiebeveiligingsdienst Gemeenten bepaald. De gemeente vermeldt indien u dit wenst uw naam als ontdekker van de gevonden kwetsbaarheid in de ‘Hall of Fame’ op de eigen website.
  • De gemeente kan u een beloning bieden als dank voor uw hulp. Of u een beloning krijgt en de grootte van de beloning is afhankelijk van de ernst de kwetsbaarheid en de kwaliteit van de melding. De gemeente maakt hier daarom per melding een afweging in.

Dit beleid is mede geïnspireerd op en deels overgenomen van het voorbeeld op responsibledisclosure.nl.

Lees verder