Responsible disclosure
Gemeente Bunnik vindt de veiligheid van haar systemen erg belangrijk. Daarom hebben we maatregelen genomen om onze systemen goed te beveiligen en zwakke plekken te voorkomen. Toch kan het zijn dat u een zwakke plek ontdekt. Dit horen wij graag van u. Dan kunnen we het probleem onderzoeken en de beveiliging van onze systemen verbeteren.
- Meld de zwakke plek, het datalek of probleem via het formulier. Doe dit zo snel mogelijk. Geef bij uw melding voldoende informatie, zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is een IP-adres of URL van het systeem en een omschrijving van de zwakke plek voldoende.
- Laat uw contactgegevens achter (minimaal één e-mailadres of telefoonnummer), zodat we in contact kunnen komen. Zo werken we samen aan een veilig resultaat. Mocht u dit liever niet willen, dan kan uw melding ook anoniem gedaan worden.
- Maak geen misbruik van de zwakke plek, het datalek of probleem. Plaats geen schadelijke software op het gemeentelijk netwerk (malware) en pleeg geen chantage door computersystemen te blokkeren (ransomware).
- Deel de zwakke plek, het dataplek of probleem niet met anderen, totdat een oplossing is gevonden. Vertrouwelijke gegevens die u heeft verzameld, moeten direct verwijderd worden als het probleem is opgelost.
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden is nooit/ niet toegestaan. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Doe geen aanval op de systemen om bijvoorbeeld gebruikers te verleiden om vertrouwelijke gegevens te delen (social engineering), om de website niet goed te laten functioneren (DDoS) of om wachtwoorden te kraken of vergeten wachtwoorden te achterhalen (bruteforce hacking tools).
Wij staan open voor adviezen die ons helpen bij het oplossen van het probleem. Beperkt u zich daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.
- Blijkt dat u de gemeente schade heeft toegebracht? Dan kunnen wij besluiten om gerechtelijke stappen tegen u te ondernemen. Wij ondernemen geen juridische stappen tegen u (als melder) als u zich aan bovenstaande voorwaarden houdt.
- Wij behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet met derden zonder uw toestemming. Uw gegevens worden wel gedeeld met derden als het noodzakelijk is om een wettelijke verplichting na te komen of een rechterlijke uitspraak op te volgen.
- Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo delen wij onze ervaringen met andere gemeenten. Dit kan anoniem.
- Wij reageren binnen 5 werkdagen op uw melding.
- Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op.Wij houden u op de hoogte van de voortgang en proberen binnen 90 dagen het probleem op te lossen. Wij zijn daarbij soms afhankelijk van toeleveranciers.
- Als onze gemeente de melding bekendmaakt, zullen wij uw naam als ontdekker bekendmaken. Natuurlijk gebeurt dit alleen als u dat zelf wilt.
Wij doen ons best om alle problemen zo snel mogelijk op te lossen. Als het probleem is opgelost, kunt u het eventueel bekendmaken. Wel vragen wij u om de gemeente hierbij te betrekken.
Een zwakke plek, datalek of probleem melden
Heeft u een kwetsbaarheid in ons systeem gevonden? Dan horen wij dit graag. Via het formulier kunt u dit aan ons doorgeven. U mag zelf bepalen of u dit anoniem doet of uw contactgegevens achterlaat. Wij waarderen het enorm als u een melding bij ons maakt. Binnen vijf werkdagen nemen wij hierover contact met u op (wanneer mogelijk).