Logo van Gemeente Culemborg dat doorverwijst naar de homepage van Gemeente Culemborg

Beveiliging Computersystemen / Responsible Disclosure

Heeft u een zwakke plek in de ICT-beveiliging ontdekt? Geef het hier aan ons door. Zo helpt u mee misbruik tegen te gaan en de veiligheid van onze ICT-systemen te verhogen.

Melding doen

We proberen onze computersystemen goed te beveiligen. Toch kunnen ze een een zwakke plek hebben. Als u zo'n zwakke plek ontdekt, horen wij dit graag. Geef in uw melding voldoende informatie om het probleem te reproduceren. Meestal is het IP-adres of de URL en een omschrijving voldoende. Probeer zo volledig mogelijk te zijn.

Wij behandelen een melding vertrouwelijk en delen geen persoonlijke gegevens met derden zonder toestemming. Behalve als wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.

Na uw melding

We beoordelen uw melding binnen 3 werkdagen. U ontvangt hierover bericht met eventueel een verwachte datum voor een oplossing. Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op.

Handelingen die niet zijn toegestaan

Als blijkt dat u zich niet aan onderstaande voorwaarden hebt gehouden, kunnen wij besluiten om gerechtelijke stappen tegen u te ondernemen. 

  • Plaatsen van malware.
  • Het ‘bruteforcen’ van toegang tot systemen.
  • Gebruik maken van social engineering. Behalve als dat strikt noodzakelijk is om te laten zien dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekortschieten in hun plicht om daar zorgvuldig mee om te gaan. Dat betekent dat het, op een totaal legale manier (dus niet via chantage of iets dergelijks), in het algemeen te makkelijk is om hen over te halen bepaalde gegevens aan onbevoegden te geven. U zorgt daarbij logischerwijs de betreffende medewerkers zelf niet te schaden. Uw bevindingen zijn alleen gericht op het aantonen van kennelijke problemen in de procedures en werkwijze binnen de gemeente. Niet op het schaden van individuele personen die bij de gemeente werken.
  • Openbaar maken of aan derden geven van informatie over het beveiligingsprobleem voordat het is opgelost.
  • Handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (zoals inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, is bijvoorbeeld een ‘directory listing’ meestal voldoende. Aanpassen of verwijderen van gegevens in het systeem is nóóit toegestaan.
  • Openbaar maken of aan derden geven van gegevens met een vertrouwelijk karakter, zoals privacygevoelige gegevens.
  • Gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
  • Het op wat voor (andere) manier dan ook misbruik maken van de kwetsbaarheid.