Responsible Disclosure

Hoe kan ik een zwakke plek in een ICT-systeem van de gemeente Sluis melden (Responsible Disclosure)?

Een zwakke plek in een ICT-systeem van de gemeente Sluis, zoals gemeentesluis.nl, kunt u melden via informatieveiligheid@gemeentesluis.nl.

Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kan de gemeente eerst maatregelen treffen. Dit heet Responsible Disclosure.

Wanneer u een zwakke plek ontdekt in een ICT-systeem van de Gemeente Sluis

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan de gemeente het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat de gemeente met u contact kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt de Gemeente geen juridische consequenties aan de melding.

Wat de Gemeente doet bij Responsible Disclosure

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? De gemeente behandelt deze melding als volgt:

  • U krijgt binnen 2 werkdagen een ontvangstbevestiging van de gemeente.
  • De gemeente reageert binnen 4 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • De gemeente houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • De gemeente lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. De gemeente zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • Wij kunnen je een beloning geven voor je onderzoek, maar zijn hiertoe niet verplicht. Je hebt dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het lek.
  • De gemeente behandelt uw melding vertrouwelijk. De gemeente deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. De gemeente kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.

Leidraad Responsible Disclosure

Om organisaties te helpen een eigen beleid voor Responsible Disclosure op te stellen, heeft de Rijksoverheid een leidraad voor Responsible Disclosure opgesteld. Ook melders kunnen met deze leidraad nagaan wat ze kunnen doen als ze een kwetsbaarheid ontdekken.

Kwetsbaarheid in ICT-systeem buiten de gemeente

Ontdekt u een kwetsbaarheid bij een bedrijf of overheidsinstantie buiten de gemeente? Benader dan eerst deze instantie. Het kan dan gaan om een andere gemeente, provincie, rijksoverheid of bedrijf met een zogeheten vitale functie (zoals energie- en telecombedrijven). Reageert deze organisatie niet of niet goed? Dan kunt u het Nationaal Cyber Security Centrum (NCSC) op de hoogte brengen. Zij vervullen dan de rol van intermediair.

Vragen over de responsible disclosure?

Neem gerust contact op met de CISO van de Gemeente Sluis via informatieveiligheid@gemeentesluis.nl.