Responsible disclosure
Waterschap Limburg streeft een hoge beveiliging van systemen en gegevens na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt. Systemen kunnen door kwetsbaarheden uitvallen en gegevens binnen het systeem kunnen gewijzigd worden en toegankelijk worden voor personen die daar niet voor gemachtigd zijn.
Waterschap Limburg vraagt u het volgende:
- Als u een zwakke plek in een van onze systemen heeft gevonden, kunt u een melding doen via [email protected].
- Versleutel de bevindingen indien mogelijk met PGP om te voorkomen dat de informatie in verkeerde handen valt.
- Meldt de kwetsbaarheid zo spoedig mogelijk na ontdekking.
- Geef in uw melding zo nauwkeurig mogelijk informatie over het probleem. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
- Deel de informatie over het beveiligingsprobleem niet met anderen, totdat het is opgelost.
- Geef in uw melding uw contactgegevens aan zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
- Kopieer, wijzig of verwijder geen gegevens van het systeem.
- Breng geen veranderingen in het systeem aan.
- Neem niet herhaaldelijk toegang tot het systeem of deel de toegang met anderen niet.
- Maak geen gebruik van Denial of Service of social engineering.
- Plaats geen malware.
Wat u van ons kunt verwachten
- Een ontvangstbevestiging van uw melding binnen drie werkdagen.
- Het waterschap behandelt de melding vertrouwelijk en deelt persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of vanwege een rechterlijke uitspraak verplicht is.
- Goed overleg tussen u en ons met betrekking tot het verhelpen van de kwetsbaarheid. U wordt op de hoogte gesteld van onze beoordeling van uw melding en de verdere stappen die in het proces worden genomen.
- Een inhoudelijke reactie op uw melding binnen zeven werkdagen.
- Indien u geen misbruik maakt van de kwetsbaarheid, zal het waterschap geen juridische consequenties verbinden aan uw melding.
- We houden zestig dagen aan voor het verhelpen van een kwetsbaarheid in systemen en zes maanden voor oplossen van een kwetsbaarheid in computer apparatuur van het waterschap. In onderling overleg kan worden bepaald of en op welke wijze informatie over het probleem, nadat het is opgelost, wordt gepubliceerd.