Responsible disclosure

De gemeente Den Haag hecht veel belang aan de beveiliging van haar IT-systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is: 100 procent ICT-veiligheid bestaat niet in de continu veranderende ICT-wereld. Wanneer u een zwakke plek in 1 van de systemen van de gemeente ontdekt, wilt u dit dan alstublieft zo snel mogelijk bij de gemeente melden? Zij kan dan snel maatregelen nemen.

De gemeente werkt graag met u samen om burgers, bedrijven en systemen beter te kunnen beschermen door kwetsbaarheden op te lossen. U leest op deze pagina hoe u een melding kunt doen. Wanneer u een melding maakt, verklaart u zich als melder akkoord met onderstaande afspraken over responsible disclosure. De gemeente handelt uw melding ook volgens onderstaande afspraken af:.

Afspraken melding bij gemeente

De gemeente vraagt u:

  • Uw bevindingen zo snel mogelijk na ontdekking van de zwakke plek te melden via het Meldingsformulier Zerocopter.
  • Deze melding in de Engelse taal te doen.
  • Het probleem niet te misbruiken, bijvoorbeeld door gegevens van derden in te kijken, te verwijderen of aan te passen of door meer data te downloaden dan nodig is om de zwakke plek aan te tonen.
  • Het probleem niet met anderen te delen totdat de gemeente het heeft opgelost. Ook verzoekt de gemeente u om netjes om te gaan met alle vertrouwelijke gegevens die via het lek zijn verkregen en deze direct na het dichten ervan te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, spam, bruteforcen of applicaties van derden. Ook verzoekt de gemeente u geen gebruik te maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of de dienstverlening wordt verminderd.
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zodat de gemeente het probleem zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

De gemeente ontvangt ook graag uw tips die kunnen helpen het probleem op te lossen. Beperkt u zich daarbij graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.

Afspraken gemeente met melder

De gemeente belooft u als melder het volgende:

  • Zo spoedig mogelijk op uw melding te reageren: u krijgt binnen 1 werkdag een (automatische) ontvangstbevestiging en binnen 3 werkdagen een (1e) beoordeling van de melding en eventueel een verwachte termijn voor een oplossing.
  • Als u zich aan bovenstaande afspraken voor het melden heeft gehouden, onderneemt de gemeente geen juridische stappen tegen u over de melding.
  • Uw melding wordt vertrouwelijk behandeld en uw persoonlijke gegevens worden niet zonder uw toestemming met derden gedeeld, tenzij de gemeente daar volgens de wet of rechterlijke uitspraak toe verplicht is. Melden onder een pseudoniem is mogelijk.
  • Het door u gemelde beveiligingsprobleem wordt zo snel mogelijk opgelost. Hierin is de gemeente vaak wel medeafhankelijk van externe partijen. De gemeente houdt u op de hoogte van de voortgang.
  • Of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost, wordt in onderling overleg bepaald. De gemeente vermeldt indien u dit wenst uw naam als ontdekker van de gevonden kwetsbaarheid.
  • De gemeente kan u een beloning bieden als dank voor uw hulp. Of u een beloning krijgt en de grootte van de beloning is afhankelijk van de ernst van het lek en de kwaliteit van de melding, en bepaalt de gemeente daarom per melding.

Gepubliceerd: 29 september 2017Laatste wijziging: 28 augustus 2019