Responsible disclosure
De gemeente Gennep vindt de veiligheid van de computersystemen belangrijk. Ondanks onze zorg voor de beveiliging van die systemen, kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in onze systemen heeft gevonden, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Daarom vragen wij u deze informatie aan ons door te geven.
Zwakke plekken kunt u op twee manieren ontdekken:
- u loopt ergens toevallig tegenaan bij normaal gebruik van een digitale omgeving;
- u doet expliciet uw best om een zwakheid te vinden.
Wat vragen wij van u?
Wij vragen van u om:
- Het probleem zo snel mogelijk na ontdekking van de kwetsbaarheid te melden.
- Voldoende informatie te geven om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Uw contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Het is ook mogelijk om anoniem te melden. Wij kunnen u dan niet op de hoogte houden en afspraken met u maken over de afwikkeling
Wat mag u niet?
Het is niet toegestaan om op wat voor wijze dan ook misbruik te maken van de kwetsbaarheid. Het is niet toegestaan om:
- Kwaadwillende software te plaatsen.
- Wachtwoorden te kraken of te achterhalen.
- Te proberen vertrouwelijke of geheime informatie via medewerkers van de gemeente te achterhalen.
- Informatie over het beveiligingsprobleem openbaar te maken of aan derden te verstrekken voordat het is opgelost.
- Gebruik te maken van technieken waarmee de beschikbaarheid of bruikbaarheid van het systeem wordt verminderd (DDOS-aanvallen).
- Zet geen aanvallen in op (fysieke beveiliging, social enginering, plaatsen van malware, disributed deial of service, spam, applicaties van derden enz.
Wat mag u van ons verwachten?
- Indien u aan alle voorwaarden voldoet, doet de gemeente geen strafrechtelijke aangifte en start geen civielrechtelijke zaak tegen u.
- Als blijkt dat u een van bovenstaande voorwaarden toch heeft geschonden, kan de gemeente alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- De gemeente behandelt een melding vertrouwelijk en deelt uw persoonlijke gegevens niet zonder uw expliciete toestemming met derden, tenzij de gemeente daar volgens de wet of een rechterlijke uitspraak toe verplicht is.
- Afhankelijk van de ernst van het beveiligingsprobleem deelt de gemeente de ontvangen melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen de gemeenten dat hun ervaringen op dit vlak worden gedeeld.
- In onderling overleg kan de gemeente, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- De gemeente stuurt binnen een werkdag een (automatische) ontvangstbevestiging.
- De gemeente reageert binnen drie werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
- De gemeente lost het gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij houden wij u zo goed mogelijk op de hoogte van de voortgang. Wij streven ernaar om nooit langer dan 90 dagen over het oplossen van het probleem te doen. Wij zijn daarbij vaak wel mede afhankelijk van externe partijen.
- In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.
- De gemeente kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een eenvoudig ‘dankjewel’ tot een nader te bepalen bedrag. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.