Ga naar de inhoud

Coördinated Vulnerability Disclosure

De gemeente Meppel hecht veel waarde aan de beveiliging van haar systemen. Hoewel wij volop aandacht hebben voor de beveiliging van onze ICT-systemen kan een zwakke plek aanwezig zijn. Wanneer u een zwakke plek in één van onze systemen ontdekt horen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding gaat u akkoord met de afspraken over Coordinated Vulnerability Disclosure. Wij handelen uw melding volgens deze afspraken af.

Melden incident informatiebeveiliging

Ons verzoek

  • Meld de gevonden kwetsbaarheid zo snel mogelijk nadat u deze ontdekt hebt.
  • Geef voldoende informatie te geven om de kwetsbaarheid na te doen, zodat wij het zo snel mogelijk kunnen oplossen
  • Laat uw contactgegevens achter als u dit wilt. Zo kunnen wij contact met u opnemen om samen te werken aan het oplossen van de kwetsbaarheid
  • Geef aan hoe u de kwetsbaarheid hebt gevonden
  • Geef (indien mogelijk) aan wat gedaan kan worden om de kwetsbaarheid te verhelpen. Beperk dit tot controleerbare feiten die betrekking hebben op de kwetsbaarheid.
  • Vermijd dat uw advies neerkomt op reclame voor specifieke (beveiligings-)producten

Wat u van ons mag verwachten

  • Binnen 5 werkdagen reageren wij op uw melding met onze beoordeling en de verwachte oplossingsdatum
  • We behandelen uw melding vertrouwelijk
  • Uw persoonlijke gegevens delen wij niet zonder uw toestemming met derden, tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is.
  • Het maken van een anonieme melding of melden onder een pseudoniem is mogelijk
  • Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op
  • Wij houden u op de hoogte van de voortgang van de oplossing van de kwetsbaarheid
  • In onderling overleg bepalen we of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost
  • In berichtgeving over de kwetsbaarheid vermelden wij – als u dat wenst – uw naam als ontdekker. In alle andere gevallen blijft u anoniem
  • We ondernemen geen juridische stappen tegen u als u zich aan de voorwaarden houdt. Als blijkt dat u een voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen
  • We delen de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD)

Voorwaarden

  • U maakt informatie over het beveiligingsprobleem niet openbaar en deelt ook geen informatie met derden voordat de kwetsbaarheid is verholpen
  • U verricht geen handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen of te melden
  • U maakt geen gebruik van social engineering of aanvallen op fysieke beveiliging om op die manier toegang te krijgen tot het systeem
  • U plaatst geen eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen
  • U brengt geen veranderingen in het systeem aan
  • U buit de gevonden kwetsbaarheid niet uit, op wat voor manier dan ook
  • U maakt geen gebruik van malware, (distributed) denial of service ((D)DoS-aanvallen), spam of ‘bruteforcen’ van toegang tot systemen
  • Het op wat voor (andere) manier dan ook misbruik maken van de kwetsbaarheid is strikt verboden