Responsible disclosure

De gemeente Voorne aan Zee hecht veel belang aan de beveiliging van haar systemen. Zo kunnen we de privacy waarborgen van onze inwoners en onze medewerkers. Wij scannen en testen onze website regelmatig om zwakke plekken te vinden. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is ontstaan. Vermoedt u een zwakke plek in één van onze systemen? Dan vragen wij u dat met ons te delen, zodat wij snel gepaste maatregelen kunnen nemen. We werken graag met u samen om de veiligheid van onze website te verbeteren.

Door het maken van een melding verklaart u zich als melder akkoord met onderstaande afspraken over het verantwoord melden van aangetroffen beveiligingslekken. Hierbij worden afspraken gehanteerd die er op neerkomen dat u de ontdekking niet deelt met derden totdat het lek verholpen is. Voldoet u bij uw melding aan onderstaande voorwaarden? Dan verbindt de gemeente Voorne aan Zee geen juridische consequenties aan de melding.

Wat verwachten wij van u?

Als u een melding doet van een kwetsbaarheid in ons ICT-systeem, denk dan aan de volgende zaken:

  • Geef uw bevindingen door via website@voorneaanzee.nl.
  • Laat uw contactgegevens (e-mailadres of telefoonnummer) achter zodat de gemeente contact met u kan opnemen.
  • Geef voldoende informatie om het probleem te reproduceren. Zo kan de gemeente het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

De volgende handelingen zijn niet toegestaan

Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • Malware te plaatsen.
  • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem).
  • Veranderingen aan te brengen in het systeem.
  • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen.
  • Gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen.
  • Gebruik te maken van denial-of-service of social engineering.
  • Het openbaar maken of aan derden verstrekken van gegevens met een vertrouwelijk karakter, zoals privacygevoelige gegevens.

Wat kunt u van ons verwachten?

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? De gemeente Voorne aan Zee behandelt deze melding als volgt:

  • Als u aan alle bovenstaande voorwaarden voldoet, zullen wij geen aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.
  • Als blijkt dat u zich niet aan een van de voorwaarden hebt gehouden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • De gemeente behandelt uw melding vertrouwelijk. De gemeente deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
  • De gemeente houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • De gemeente lost het beveiligingsprobleem zo snel mogelijk op.
  • De gemeente zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. De gemeente kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.