Responsible Disclosure

De gemeenschappelijke regeling Cocensus hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, vernemen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding verklaart u zich als melder akkoord met onderstaande afspraken over Coordinated Vulnerability Disclosure en zal de gemeenschappelijke regeling Cocensus uw melding conform onderstaande afspraken afhandelen.

Wij vragen het volgende van u:

  • Mail uw bevindingen zo snel mogelijk na ontdekking naar fg@cocensus.nl met het onderwerp: “Beveiliging ICT”.
  • Geef zoveel mogelijk informatie over uw bevindingen, zodat we passende maatregelen kunnen treffen. In eerste instantie is de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Indien u contactgegevens (minimaal een e-mailadres of telefoonnummer) achterlaat, dan kunnen wij eventueel nadere informatie bij u inwinnen om de afhandeling te versnellen.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
  • Deel informatie over het probleem niet met anderen.

Wat mag u van ons verwachten:

  • Wij zullen uw melding snel oppakken, zorgvuldig afhandelen en u daarover berichten.
  • De gemeenschappelijke regeling Cocensus behandelt alle meldingen vertrouwelijk en deelt persoonlijke gegevens van een melder niet zonder toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
  • De gemeenschappelijke regeling Cocensus deelt de ontvangen melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen.
  • In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Als blijkt dat u één van de bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om strafrechtelijke aangifte tegen u te doen en gerechtelijke stappen te ondernemen.