Digitale klokkenluidersregeling (Responsible disclosure)

Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een kwetsbaarheid in een van onze systemen zit. Hebt u zo´n kwetsbaarheid gevonden? Dan horen wij dit graag.

De gemeente De Ronde Venen vindt het belangrijk om de informatie waarmee we werken goed te beschermen. Daarom zorgen we voor een goede beveiliging van onze systemen. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een kwetsbaarheid in een van onze systemen zit. Hebt u zo´n kwetsbaarheid gevonden? Dan horen wij dit graag zodat we snel gepaste maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze systemen nog beter te kunnen beschermen.

Wij vragen u:

  • Mail uw bevindingen naar ciso@derondevenen.nl.
  • Probeer voldoende informatie te geven zodat we het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar soms is er meer nodig.
  • Wij vragen u uw contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
  • Dien de melding zo snel mogelijk na de ontdekking van de kwetsbaarheid in.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd in elk geval de volgende handelingen:

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het zogeheten “bruteforcen” van toegang tot systemen.
  • Het gebruik maken denial-of-service of social engineering.

Wat u van ons kunt verwachten:

  • Voldoet u aan bovenstaande voorwaarden? Dan nemen wij geen juridische stappen tegen u.
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden u op de hoogte van de voortgang van het oplossen van de kwetsbaarheid.
  • Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.