Melding zwakke plek informatiebeveiliging (responsible disclosure)

Gemeente Gouda vindt de veiligheid van haar computersystemen erg belangrijk. Wij hebben voorzorgsmaatregelen genomen om zwakke plekken in onze systemen te voorkomen. Toch kan het zo zijn dat u een zwakke plek vindt. Als dat zo is horen wij het graag zo snel mogelijk van u. Wij kunnen dan het probleem onderzoeken en oplossen en daarmee de beveiliging verbeteren. Hieronder staat hoe de gemeente Gouda uw melding afhandelt. Als u een melding maakt, gaat u hiermee akkoord.

Wij vragen u

  • De zwakke plek, het datalek of het probleem te melden. Dat kunt u doen door te mailen naar gemeente@gouda.nl of bel naar de gemeente.
  • Alleen informatie te geven die nodig is om te laten zien waar het probleem zit. U kunt bijvoorbeeld doorgeven hoe u de zwakke plek, het datalek of het probleem gevonden heeft.
  • Geen misbruik te maken van de zwakke plek, het datalek of het probleem. Voorbeeld: u haalt meer gegevens van het internet af dan nodig is of u kijkt gegevens van andere personen in, verwijdert gegevens of past gegevens aan.
  • Geen schadelijke software te plaatsen op het gemeentelijk netwerk (malware) of chantage te plegen door computersystemen te blokkeren (ransomware).
  • De zwakke plek, het datalek of het probleem niet met anderen te delen totdat een oplossing is gevonden. Alle vertrouwelijke gegevens die u heeft verzameld, moeten direct verwijderd worden als het probleem is opgelost.
  • Om geen aanval te doen op de computersystemen om bijvoorbeeld gebruikers te verleiden om vertrouwelijke gegevens van henzelf te geven (social engineering), om de website niet meer goed te laten functioneren (DDoS) of om wachtwoorden te kraken of vergeten wachtwoorden te achterhalen (bruteforce hacking tools).

Wat mag u van de gemeente verwachten?

  • De coördinator Informatieveiligheid (Chief Information Security Officer) van de gemeente neemt binnen 3 werkdagen contact met u op om een eerste terugkoppeling te geven.
  • Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat andere gemeenten op de hoogte worden gebracht van onze ervaringen op dit vlak. Als het probleem aanwezig is bij meerdere gemeentes, dan licht de IBD deze en andere gemeenten in.
  • Als er sprake is van een datalek, meldt de gemeente dit aan de Autoriteit Persoonsgegevens.
  • Wij behandelen uw melding vertrouwelijk. Wij delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Uw gegevens worden wel gedeeld met derden als het noodzakelijk is om een wettelijke verplichting na te komen of om een rechterlijke uitspraak op te volgen.
  • Wij ondernemen geen juridische stappen tegen u als melder als u zich aan bovenstaande voorwaarden houdt.
  • Wij houden u op de hoogte over de voortgang en het oplossen van het probleem.
  • Als de gemeente de melding bekendmaakt, zullen wij uw naam als ontdekker bekendmaken. Dit gebeurt alleen als u dit zelf wilt.

Wij doen ons best om alle problemen zo snel mogelijk op te lossen. Als het probleem is opgelost, kunt u het eventueel bekendmaken. Wel vragen wij u om de gemeente daarbij te betrekken.