Kwetsbaarheid melden

Gemeente Veenendaal zet zich in voor de veiligheid en integriteit van onze systemen en gegevens. We waarderen transparantie en samenwerking om kwetsbaarheden in onze digitale infrastructuur op te sporen en op te lossen.

Wat is een kwetsbaarheid?

Een kwetsbaarheid is een zwakke plek in een systeem of applicatie die kan worden misbruikt om toegang te krijgen, gegevens te stelen, of schade aan te richten. Door kwetsbaarheden op tijd te ontdekken en aan te pakken, kunnen we de veiligheid van onze systemen waarborgen.

Wat we van je vragen

Als je een kwetsbaarheid meldt, vragen we je om de volgende richtlijnen te volgen:

  1. Beperk je acties: Kijk alleen naar gegevens die nodig zijn om het lek te bevestigen. Een directory listing is genoeg; open of kopieer geen bestanden.
  2. Geen datamanipulatie: Verwijder of verander geen gegevens.
  3. Vertrouwelijke informatie: Deel geen gevoelige informatie met anderen.
  4. Geheimhouding: Maak de kwetsbaarheid niet bekend voordat deze is opgelost.
  5. Geef voldoende informatie: Zorg dat je genoeg informatie geeft om de kwetsbaarheid te reproduceren (zoals het IP-adres, de URL, beschrijving van de kwetsbaarheid en jouw stappen).
  6. Suggesties: Heb je tips die kunnen helpen om het probleem op te lossen? Laat het ons weten.

Het melden van een kwetsbaarheid geeft geen toestemming om onze systemen verder te onderzoeken. Vermijd daarom de volgende acties:

  • Veranderingen aanbrengen in onze systemen of die van onze leveranciers.
  • Gebruik van netwerkscanners, vulnerability scanners of andere tools.
  • Exploits uitvoeren of malware plaatsen.
  • Brute-force aanvallen, DDoS-aanvallen of social engineering.

Je mag een kwetsbaarheid alleen openbaar maken na onze uitdrukkelijke toestemming. Dit kan pas wanneer alle betrokken partijen op de hoogte zijn en we hebben bevestigd dat het probleem is opgelost.

Wat je van ons mag verwachten

Als je een kwetsbaarheid meldt, kun je het volgende van ons verwachten:

  1. Ontvangstbevestiging: We laten weten dat we je melding hebben ontvangen.
  2. Snelle reactie: Binnen 5 werkdagen krijg je een eerste beoordeling en, indien mogelijk, een inschatting van de oplossingstijd.
  3. Spoedige oplossing: We lossen het probleem zo snel mogelijk op en houden je op de hoogte.
  4. Samenwerking met IBD: We delen je melding met de Informatiebeveiligingsdienst voor gemeenten (IBD) om andere gemeenten zo nodig te informeren.
  5. Regelmatige updates: We houden je op de hoogte van de voortgang.
  6. Vertrouwelijke behandeling: Je persoonlijke gegevens worden vertrouwelijk behandeld.
  7. Melding aan autoriteiten: Bij een datalek melden we dit aan de Autoriteit Persoonsgegevens (AP) en relevante incidenten aan de IBD.
  8. Anonieme melding mogelijk: Je kunt anoniem melden, maar dan kunnen we geen vervolgstappen delen.
  9. Informatie over publicatie: We houden je op de hoogte als we besluiten om publiekelijk iets te delen over de kwetsbaarheid.
  10. Geen juridische stappen: Voldoe je aan alle voorwaarden? Dan ondernemen we geen juridische stappen tegen je.
  11. Hall of Fame: Bij een geldige melding wordt je naam vermeld in onze Hall of Fame.

Hoe meld je een kwetsbaarheid?

Heb je een kwetsbaarheid gevonden? Meld dit dan zo snel mogelijk via de volgende stappen:

  1. Omschrijf de kwetsbaarheid: Geef een duidelijke beschrijving en log je stappen.
  2. Verzamel bewijsmateriaal: Voeg, indien mogelijk, bewijs toe zoals screenshots of logbestanden.
  3. Stuur je melding: Mail je melding naar ons speciale e-mailadres: cvd@veenendaal.nl(Verwijst naar een e-mailadres).
  4. Vertrouwelijkheid en beloning: We beloven je melding vertrouwelijk te behandelen en waarderen je inzet.