Responsible disclosure
De gemeente beveiligt haar computersystemen. Toch kunnen ook onze systemen een zwakke plek hebben. Wij horen het graag als u een zwakke plek in 1 van onze systemen ontdekt. Wij kunnen dan snel maatregelen nemen. Wij handelen uw melding dan volgens onderstaande afspraken over responsible disclosure af.
Wij vragen het volgende van u
- Meld de kwetsbaarheid zo snel mogelijk via online@lv.nl. Versleutel de melding als dat mogelijk is met PGP om te voorkomen dat de informatie in verkeerde handen valt
- Geef voldoende informatie om het probleem te reproduceren. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer nodig zijn
- Wij staan open voor tips die ons helpen het probleem op te lossen
- Laat uw contactgegevens achter zodat we contact met u kunnen opnemen
Niet toegestaan
- Plaatsen van malware, noch op onze systemen noch op die van anderen
- Zogeheten 'bruteforcen' van toegang tot systemen
- Gebruik maken van social engineering. Behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten in hun plicht om daar zorgvuldig mee om te gaan. Dat wil zeggen dat het, op volkomen legale wijze (dus niet via chantage of iets dergelijks), in het algemeen te eenvoudig is hen over te halen tot het verstrekken van dergelijke gegevens aan onbevoegden. U dient daarbij alle zorg te betrachten die redelijkerwijs van u verwacht kan worden om de betreffende medewerkers zelf niet te schaden. Uw bevindingen dienen uitsluitend te zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente en niet op het schaden van individuele personen die bij de gemeente werkzaam zijn
- Openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem, voordat het is opgelost
- Verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan
- Openbaar maken of aan derden verstrekken van gegevens met een vertrouwelijk karakter, zoals privacygevoelige gegevens
- Gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen)
- Misbruik maken van de kwetsbaarheid
Wat u mag verwachten
- Wanneer u aan alle bovenstaande voorwaarden voldoet, doen wij geen aangifte tegen u. Als blijkt dat u zich niet aan 1 van de voorwaarden heeft gehouden, kunnen wij alsnog besluiten om stappen tegen u te ondernemen
- Wij behandelen een melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden. Tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn. In onderling overleg bepalen we of en op welke wijze we over het probleem publiceren nadat het is opgelost
- Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). In onderling overleg bepalen we of we uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid of dat u anoniem blijft
- Wij reageren binnen 3 werkdagen op een melding met een (1ste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing
- We streven ernaar om u goed op de hoogte te houden van de voortgang en nooit langer dan 90 dagen te doen over het oplossen van het probleem. Wij zijn daarbij vaak wel mede afhankelijk van toeleveranciers