Responsible Disclosure / Meld ICT-kwetsbaarheid

Veilige computersystemen zijn erg belangrijk. Daar werken wij hard aan. Natuurlijk kan er altijd een zwakke plek ontstaan. Vindt u een ‘lek’ in onze systemen? Dan horen wij dat graag van u vóórdat anderen dit horen. Dat heet ‘responsible disclosure’. Wij kunnen dan zo snel mogelijk maatregelen nemen. Lees hier meer over

Meld direct een zwakke plek

Meteen melden

Wat u moet doen

Zwakke plekken kunt u op 2 manieren ontdekken: 

  • U ontdekt dit toevallig als u onze digitale omgeving gebruikt. 
  • U doet expres uw best om een zwakke plek te vinden. 

Meld de zwakke plek direct 

  • Geef de kwetsbaarheid direct aan ons door.
  • Geef ons genoeg informatie om de situatie te onderzoeken en op te lossen. Meestal is het IP-adres of de URL genoeg, samen met een omschrijving van de kwetsbaarheid. Gaat het om een ingewikkelde kwetsbaarheid? Dan hebben we soms meer informatie nodig. 
  • Geef ons ook uw contactgegevens. Zodat we de situatie samen kunnen oplossen. Liever anoniem melden? Of onder een verzonnen naam (pseudoniem)? Dat mag ook.

Wat u moet weten

Wij gaan vertrouwelijk om met uw melding

  • U krijgt binnen 5 werkdagen een reactie op uw melding. U hoort dan ook wat wij doen. En wanneer wij het oplossen.   
  • Houdt u zich aan de voorwaarden? Dan nemen wij geen strafrechtelijke stappen tegen u. 
  • Wij delen uw persoonlijke gegevens niet zonder uw toestemming met anderen. Dat doen wij alleen als dat moet volgens de wet. Of door een uitspraak van een rechter.  

Wij doen ons best alle kwetsbaarheden en of lekken zo snel mogelijk op te lossen

Is de kwetsbaarheid opgelost? En wilt u daarna hierover publiceren? Dan zijn wij graag vooraf betrokken bij deze publicaties. 

Goed om te weten:

  • Is het beveiligingsprobleem ernstig? Dan delen wij de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo kunnen gemeenten hun ervaringen delen. En zo de veiligheid verbeteren.  
  • Als u dat wilt, kunnen wij uw naam noemen als de ontdekker van de kwetsbaarheid. In alle andere gevallen blijft u anoniem. 
  • Wij lossen het probleem zo snel mogelijk op. Daarbij houden wij u zo goed mogelijk op de hoogte van de voortgang. Wij zijn daarbij vaak ook afhankelijk van externe partijen. 
  • Is het probleem opgelost? Dan kunnen we in overleg met u bepalen of en hoe we hierover publiceren. 

Wat doet u niet

U mag de zwakke plek niet misbruiken

  • Gebruik geen social engineering of aanvallen op fysieke beveiliging om zo toegang te krijgen tot het systeem. 
  • Plaats geen eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen. Dit kan meer schade veroorzaken en onnodige veiligheidsrisico’s geven. 
  • Bekijk een kwetsbaarheid niet verder dan noodzakelijk is om de kwetsbaarheid vast te stellen. 
  • U mag geen gegevens van het systeem kopiëren, wijzigen of verwijderen. Een alternatief hiervoor is het maken van een directory listing van een systeem. 
  • Breng geen veranderingen aan in het systeem. 
  • Geef uzelf geen herhaaldelijk toegang tot het systeem. 
  • U mag geen gebruik maken van distributed denial of service, spam of 'bruteforcen' van toegang tot systemen. Dan is er geen sprake van een kwetsbaarheid, maar alleen van het vaker proberen van wachtwoorden. 
  • Download niet meer data dan nodig is om het lek aan te tonen. Wees zorgvuldig met gegevens van anderen. Dat betekent dat u deze gegevens niet bekijkt, verwijdert of verandert. 
  • Deel informatie over de kwetsbaarheid niet met anderen. Doe dat pas nadat wij het lek gedicht hebben en u daarover bericht hebben. 
  • Deel geen vertrouwelijke gegevens die u verkregen heeft. Wis de gegevens direct na het dichten van het lek.