Kwetsbaarheid melden (Coordinated Vulnerability Disclosure)

Beleid voor het melden van een kwetsbaarheid

Onderstaand leest u het beleid voor het melden van kwetsbaarheden. Wanneer u een melding doet verklaart u dat u akkoord bent met onderstaande afspraken.  

Wij vragen het volgende van u:   

• Meld de kwetsbaarheid via ons webformulier, dan komt het gelijk op de juiste plek 
• Geef voldoende informatie zodat de gemeente het probleem zelf kan bekijken (reproduceren) en zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer nodig zijn.   
• Heeft u tips die ons helpen het door u gemelde probleem op te lossen dan horen we dat graag.  We vragen u om dit te houden bij controleerbare feitelijkheden.  
• Anoniem melden is mogelijk, maar dan kan de gemeente uw melding niet bevestigen of contact met u opnemen. Laat bij voorkeur contactgegevens achter. Zo kunnen we met u in contact treden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres achter. Wij verwijzen u graag naar onze privacyverklaring. 
• We wensen geen reclame voor specifieke (beveiligings)producten of diensten via deze weg te ontvangen.  

De volgende handelingen zijn niet toegestaan: 

• Het plaatsen van malware; niet op onze systemen en niet op die van anderen.  
• Het zogeheten 'bruteforcen’ van toegang tot systemen (aanvallen met heel veel inlogpogingen).  
• Het gebruik maken van 'social engineering'. 
• Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het probleem is opgelost.  
• Meer doen dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u meestal volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in een systeem is nooit toegestaan.  
• Het gebruikmaken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van systeem of services wordt verminderd ((D)DoS-aanvallen).  
• Het op wat voor (andere) wijze dan ook misbruik maken van een kwetsbaarheid.  

Wanneer u zich aan bovenstaande houdt zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.   

• Mocht blijken dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij besluiten om alsnog gerechtelijke stappen tegen u te ondernemen.   
• Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden. Uitzondering is als wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijnen en bij besluit tot gerechtelijke stappen.  
• Wij delen de ontvangen kwetsbaarheidsmelding altijd met de informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.  
• U blijft anoniem tenzij u aangeeft op het formulier dat uw naam vermeld wordt als de ontdekker van de gemelde kwetsbaarheid.  
• Wij sturen u na uw melding een (automatische) ontvangstbevestiging van uw melding wanneer u contactgegevens hebt achtergelaten. 
• Wij reageren binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.  
• In overleg met u kunnen we bepalen of en hoe over het probleem wordt gepubliceerd, nadat het is opgelost. 

Vragen

Heeft u vragen of opmerkingen over de Coordinated Vulnerability Disclosure of het doen van een CVD-melding via het webformulier? 
Neem dan contact op via email: privacy@noordoostpolder.nl.