Responsible Disclosure

De gemeente Borger-Odoorn vindt de beveiliging van haar systemen belangrijk. We nemen hiervoor allerlei maatregelen. Toch kan er nog een zwakke plek in de systemen zitten. Heeft u er eentje ontdekt? Geef het aan ons door. We kunnen dan snel maatregelen nemen.

Als u een zwakke plek meldt, gaat u automatisch akkoord met afspraken over het ontdekken van kwetsbaarheid (Coordinated Vulnerability Disclosure). De afspraken staan op deze pagina.

Na een melding handelt de gemeente Borger-Odoorn die af. Ook daarvoor zijn afspraken. Die vindt u ook op deze pagina.

Wij vragen het volgende van u

  • Mail uw gevonden ontdekking naar privacy@borger-odoorn.nl. Als het kan, moet u de ontdekking versleutelen of versturen via de veilige mail. We willen niet dat de informatie in verkeerde handen komt.
  • Om het probleem na te kunnen bootsen, hebben we genoeg informatie van u nodig. We kunnen het probleem dan zo snel mogelijk oplossen. Meestal hoeft u alleen maar het IP-adres of de URL van het getroffen systeem en een omschrijving naar ons te sturen. Bij een uitgebreide zwakke plek is er misschien meer nodig.
  • Wij vinden het altijd fijn als we hulp krijgen om een probleem op te lossen. Geef informatie over de zwakke plek die wij kunnen controleren. Maak ook geen reclame voor andere producten.
  • Laat uw gegevens achter zodat wij contact met u kunnen opnemen. Laat in ieder geval een e-mailadres of telefoonnummer achter.
  • Dien de melding zo snel mogelijk in nadat u de zwakke plek heeft ontdekt.

De volgende handelingen zijn niet toegestaan

  • U mag geen malware plaatsen op onze systemen of op die van anderen.
  • U mag de toegang tot het systeem niet ‘bruteforcen’. Dit mag alleen als het echt niet anders kan om te laten zien dat de beveiliging erg slecht is. Dit betekent dat het zeer makkelijk moet zijn om met makkelijk en goedkoop verkrijgbare hardware en software een wachtwoord te kraken. Met dit wachtwoord kan men dan het systeem blootstellen aan gevaar.
  • Het is alleen toegestaan om social engineering te gebruiken als het niet anders kan. Dit mag alleen als u aantoont dat medewerkers die toegang hebben tot gevoelige gegevens hier niet zorgvuldig mee om gaan. U moet legaal medewerkers hebben overgehaald om dit soort gegevens te geven aan personen die dat niet mogen krijgen. U moet er alles aan doen om deze medewerkers niet te schaden.
  • Met wat u heeft gevonden mag u alleen aantonen dat de procedures en werkwijzen binnen de gemeente gebreken vertonen. Het is niet toegestaan om medewerkers van de gemeenten te schaden.
  • U mag de informatie van het beveiligingsprobleem niet aan andere doorgeven voordat het probleem is opgelost.
  • U mag alleen handelingen uitvoeren die echt nodig zijn om het beveiligingsprobleem aan ons te tonen en om aan ons te melden. Vooral bij het verwerken van vertrouwelijke gegevens. U kunt ons een directory lijst geven, in plaats van een complete database te kopiëren. U mag nooit gegevens in het systeem wijzigen of verwijderen.
  • U mag geen gebruik maken van technieken waarbij het gebruik en/of beschikbaarheid van het systeem of services verslechterd wordt (DoS-aanvallen).
  • U mag geen misbruik maken van de zwakke plek.

Wat u mag verwachten

  • Als u aan al deze voorwaarden voldoet, doen wij geen strafrechtelijke aangifte. We spannen dan ook geen civielrechtelijke zaak tegen u aan.
  • Als u zich niet aan deze voorwaarden heeft gehouden, kunnen wij een gerechtelijke zaak tegen u aanspannen.
  • We behandelen de melding vertrouwelijk. We delen uw persoonlijke gegevens alleen met anderen als u daar toestemming voor heeft gegeven. Ook delen we de gegevens als we dat van de wet moeten doen of dat het door een rechterlijke uitspraak verplicht is.
  • Gemeenten delen hun ervaringen met elkaar. Daarom delen we de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD).
  • U blijft anoniem als ontdekker van de zwakke plek. Als u wilt dat wij uw naam vermelden, dan doen wij dat.
  • Binnen 1 werkdag krijgt u een ontvangstbevestiging.
  • Binnen 3 werkdagen krijgt u van ons een reactie met een beoordeling van de melding. U krijgt dan misschien ook van ons een verwachte datum wanneer de zwakke plek is opgelost.
  • We gaan uw gemelde beveiligingsprobleem zo snel mogelijk oplossen. We willen u over het verloop goed op de hoogte houden. We willen er niet langer dan 90 dagen over doen om het probleem op te lossen. We zijn wel vaak afhankelijk van anderen.
  • Nadat het probleem is opgelost, kunnen we samen beslissen of het probleem bekend gemaakt wordt en hoe we dit communiceren.