Meld een beveiligingslek (CVD)

Ondanks alle zorg en inzet om de informatiesystemen te beveiligen, kunnen er situaties ontstaan waarin sprake is van een zwakke plek: een beveiligingslek. Als u denkt dat u een zwakke plek hebt gevonden in een van onze systemen, meld de informatie over het beveiligingslek dan zo snel mogelijk aan ons. Zo kunnen wij het lek herstellen en voorkomen we dat anderen misbruik kunnen maken van het beveiligingslek. 

Samen werken we op deze manier aan de informatiebeveiliging. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure (CVD). Door het doen van een melding geeft u als melder aan dat u akkoord gaat met de onderstaande afspraken over CVD.

Wat u moet weten

• Als u de kwetsbaarheden die u hebt gevonden meldt, komen deze bij de juiste personen terecht in onze organisatie
• Geef voldoende informatie over het probleem, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het kwetsbare systeem en een omschrijving van de zwakke plek voldoende. Bij kwetsbaarheden die ingewikkelder zijn, is vaak meer informatie nodig
• U kunt ons tips geven die ons helpen het probleem op te lossen. Houd u daarbij aan feitelijke informatie die betrekking heeft op de kwetsbaarheid die u hebt gevonden. Vermijd in uw advies reclame voor specifieke (beveiligings)producten

Niet toegestaan

• Het plaatsen van malware
• Het zogeheten “bruteforcen” van toegang tot systemen
• Het gebruikmaken van social engineering
• Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het probleem is opgelost
• Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. Met name waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe hebt gehad. In plaats van een complete database te kopiëren, kunt u volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan
• Het gebruikmaken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (bijvoorbeeld (D)DOS-aanvallen)
• Het op wat voor manier dan ook misbruik maken van de kwetsbaarheid

Wat u mag verwachten

• Als u aan alle voorwaarden voldoet, doen wij geen strafrechtelijke aangifte tegen u en spannen we geen civielrechtelijke zaak tegen u aan
• Als u een voorwaarde hebt geschonden, dan nemen wij eerst contact met u op. Daarna kunnen we alsnog besluiten om gerechtelijke stappen tegen u te ondernemen
• Wij behandelen een melding vertrouwelijk. Persoonlijke gegevens van een melder delen wij niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn
• Wij delen de ontvangen melding mogelijk met andere gemeenten en de Informatiebeveiligingsdienst voor gemeenten (IBD). Uw gegevens blijven daarbij anoniem. Zo borgen wij dat gemeenten (via de IBD) hun ervaringen op dit vlak met elkaar delen
• We kunnen in onderling overleg uw naam vermelden als de ontdekker van het beveiligingslek, als u dit graag wilt. In alle andere gevallen blijft u anoniem
• Wij sturen u binnen 2 werkdagen een ontvangstbevestiging
• Wij reageren binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing
• Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. We houden u op de hoogte van de voortgang

Meer informatie

Wij streven ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Als de kwetsbaarheid is opgelost en als u hierover wilt publiceren, dan zijn wij graag vooraf betrokken bij deze publicaties.