Responsible disclosure

Onze gemeente vindt de beveiliging van haar systemen erg belangrijk. Ondanks al onze voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Als u zo’n zwakke plek in een van onze systemen ontdekt, horen wij dit graag van u. Dan kunnen we snel maatregelen nemen.

Let op: Als u een melding maakt, gaat u akkoord met onderstaande regels en handelen wij de melding af via deze regels. Deze regels noemen we Responsible disclosure.

Wij vragen het volgende van u:

  • Mail uw opmerkingen naar kwetsbaarheid-melden@ridderkerk.nl. Versleutel uw tekst , indien mogelijk, met onze PGP-key (https://www.ridderkerk.nl/pgp-key). Hiermee voorkomen we dat de informatie in verkeerde handen valt.
  • Geef voldoende informatie om het probleem te na te bootsen. Zo kunnen we het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL en een omschrijving van de zwakke plek voldoende. Maar soms, bij meer ingewikkelde problemen, kan meer nodig zijn.
  • Geef uw contactgegevens aan ons door, bijvoorbeeld uw e-mailadres of telefoonnummer.
  • Wij horen graag uw tips die ons helpen om het probleem op te lossen. Voorkom daarbij dat uw tips eigenlijk reclame zijn voor specifieke (beveiligings-)producten.
  • Dien de melding zo snel mogelijk in na ontdekking van het probleem.

Wat is niet toegestaan?

  • Het plaatsen van malware, noch op onze systemen noch op die van anderen.
  • Het zogeheten ‘bruteforcen’ van toegang tot systemen.
  • Het gebruik maken van social engineering.
  • Het openbaar maken of aan derden geven van informatie over ons beveiligingsprobleem, voordat het probleem is opgelost.
  • Acties die verder gaan dan wat strikt nodig is om het beveiligingsprobleem aan te tonen en te melden.
  • Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
  • Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

Wat mag u verwachten?

  • Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging.
  • Wij reageren binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
  • Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij proberen we om u goed op de hoogte te houden. We proberen nooit langer dan 90 dagen te doen over het oplossen van het probleem. Wij zijn daarbij vaak afhankelijk van toeleveranciers.
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden. Maar soms zijn we daar volgens de wet of een rechterlijke uitspraak wel toe verplicht.
  • Wij geven de ontvangen melding altijd aan de Informatiebeveiligingsdienst (IBD) door. Zo regelen wij dat lokale overheidsorganisaties hun ervaringen op dit vlak met elkaar delen.
  • In onderling overleg kunnen we, als u dit wil, uw naam vermelden als de ontdekker van de kwetsbaarheid. In alle andere gevallen blijft u anoniem.
  • In onderling overleg bepalen we of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.
  • Als u aan alle bovenstaande voorwaarden voldoet, doen wij geen strafrechtelijke aangifte tegen u en spannen we ook geen civielrechtelijke zaak tegen u aan.
  • Heeft u deze voorwaarden toch geschonden? Dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.