Coordinated Vulnerability Disclosure (CVD)

Gemeente Nunspeet hecht veel waarde aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen is het mogelijk dat er een kwetsbaarheid in onze systemen zit. 

Het feit dat wij een Coordinated Vulnerability Disclosure beleid hebben (voorheen responsible disclosure beleid) is echter geen uitnodiging om ons bedrijfsnetwerk uitgebreid en actief te scannen om zwakke plekken te ontdekken. Wij monitoren zelf ons bedrijfsnetwerk. Ontdekt u toch een 'bug', datalek of een ander type kwetsbaarheid in onze IT-systemen, laat het ons dan weten, zodat we snel gepaste maatregelen kunnen nemen.

Door een melding te doen, gaat u akkoord met onderstaande afspraken uit onze Coördinated Vulnerability Disclosure. Uw melding wordt conform deze afspraken afgehandeld.

Wat we van u vragen:

• Mail uw bevindingen zo snel mogelijk na het ontdekken van de kwetsbaarheid naar CVD@nunspeet.nl en/of privacy@nunspeet.nl. Versleutel de informatie indien mogelijk door gebruik te maken van het mailadres incident@IBDgemeenten.nl. Versleutel de bevindingen met de PGP-sleutel van de Informatiebeveiligingsdienst (IBD).
• Verstrek voldoende informatie om het probleem te reproduceren (bijv. IP-adres of URL van het getroffen systeem en een beschrijving van de kwetsbaarheid).
• Misbruik de gevonden kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen en/of gegevens te veranderen of verwijderen.
• Wees extra voorzichtig met persoonsgegevens.
• Geef, indien mogelijk, suggesties ter verbetering die aansluiten bij de constatering.
• Laat uw contactgegevens achter (minimaal een e-mailadres of telefoonnummer).

Wat niet is toegestaan:

• Misbruik maken van de kwetsbaarheid op welke manier dan ook.
• Het delen van informatie over het beveiligingsprobleem met derden, voordat het is opgelost.
• Het plaatsen van malware op onze of andere systemen.
• Bruteforce-aanvallen of social engineering-technieken.
• Het kopiëren, wijzigen of verwijderen van gegevens in het systeem.
• Het uitvoeren van DDoS-aanvallen of andere schadelijke activiteiten.

Wat u van ons mag verwachten:

• Wij doen geen aangifte en starten geen civiele zaak als u zich aan de afspraken uit deze CVD houdt.
• Uw melding wordt vertrouwelijk behandeld; uw persoonlijke gegevens delen wij alleen als dat wettelijk verplicht is.
• Wij sturen uw melding door naar de Informatiebeveiligingsdienst voor gemeenten (IBD).
• Indien gewenst en in overleg, vermelden wij uw naam als ontdekker van de kwetsbaarheid.
• U ontvangt binnen 1 werkdag een bevestiging van uw melding.
• Wij reageren binnen 5 werkdagen met een beoordeling en eventueel een planning voor de oplossing.
• Wij streven ernaar het probleem binnen 90 dagen op te lossen en houden u op de hoogte van de voortgang.
• Wij kunnen u een beloning geven voor uw onderzoek, maar zijn hiertoe niet verplicht. U heeft dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van de zorgvuldigheid van uw onderzoek, de kwaliteit van de melding en de ernst van de kwetsbaarheid.
• Bij schending van afspraken behouden wij ons het recht voor om juridische stappen te ondernemen.