Responsible Disclosure


Bij het Hoogheemraadschap van Delfland vinden we de veiligheid van onze systemen en de gegevens die zich op die systemen bevinden erg belangrijk. Jij kunt ons daarbij helpen.

Meld kwetsbaarheden

We werken continu aan het in stand houden en verbeteren van de veiligheid van onze systemen. Toch kan het dat er kwetsbaarheden in onze systemen voorkomen. Wanneer jij zo’n kwetsbaarheid in onze systemen ontdekt dan horen wij dat natuurlijk graag. Wij kunnen dan zo snel mogelijk maatregelen treffen om onze systemen weer veilig te maken.

Wat wij van je vragen

  • Bevindingen versleuteld te mailen naar CERT-WM. Hiervoor kun je PGP gebruiken, of een beveiligd 7zip bestand. Contactgegevens CERT-WM: e-mail: cert@hetwaterschapshuis.nl.
  • De kwetsbaarheid niet te misbruiken door data te downloaden, te veranderen of verwijderen.
  • De kwetsbaarheid niet met anderen te delen tot het is opgelost en alle, eventueel door jou verkregen, vertrouwelijke gegevens te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat je van ons kunt verwachten

  • Dat wij binnen 3 werkdagen een ontvangstbevestiging van je melding sturen.
  • Dat wij binnen 30 dagen inhoudelijk op je melding reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Dat wij, betreffende de melding, geen juridische stappen tegen jou ondernemen, als je aan de bovenstaande voorwaarden hebt gehouden.
  • Dat wij jouw melding vertrouwelijk zullen behandelen en persoonlijke gegevens niet zonder jouw toestemming met derden zullen delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Dat wij jou op de hoogte houden van de voortgang van het oplossen van het probleem.
  • Dat wij in berichtgeving over het gemelde probleem, indien je dit wenst, jouw naam zullen vermelden als de ontdekker.
  • Dat wij jou als dank voor je hulp een passende beloning zullen aanbieden voor elke melding van een bij ons nog onbekend beveiligingsprobleem op onze systemen. De aard en grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.