Beveiligings- of datalek melden

Denkt u dat u een zwakke plek in een van onze (digitale) diensten hebt gevonden (beveiligingslek)? Of kunt u vertrouwelijke informatie zoals bijvoorbeeld persoonsgegevens zien of benaderen (datalek)? Wij werken graag met u samen om deze situatie zo snel mogelijk op te lossen. Daarom vragen we u deze informatie aan ons door te geven.

Melden

Wat u moet weten

  • Om uw bericht te versleutelen kunt u deze PGP-key gebruiken
  • Persoonsgegevens zijn bijvoorbeeld:
    • Naam
    • Adres
    • Geboortedatum
    • Burgerservicenummer

Voorbeelden van een datalek

  • Online toegang tot persoonsgegevens van anderen
  • Brief met persoonsgegevens die niet voor u bedoeld is
  • Verloren of gevonden USB-stick met adresbestanden
  • Gestolen laptop/ tablet / smartphone
  • Cyberaanvallen (incl. DDos)
  • E-mail verzonden naar verkeerde adressen

Wat doen wij als een beveiligings- of datalek is ontdekt?

  • (Beveiligings)lek dichten
  • Nagaan welke gegevens gelekt zijn en wie benadeeld is
  • Is er een reëel risico op een risicovolle inbreuk op de privacy van de betrokkene? Dan melden wij het datalek bij de Autoriteit Persoonsgegevens
  • Informeren van de benadeelde(n) en het geven van hulp om de schade van het datalek zo min mogelijk te laten zijn 

Dit vragen we u

  • Meld uw bevindingen zo snel mogelijk met het formulier. Versleutel uw bevindingen met onze PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt
  • Geef ons voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Maar bij complexere kwetsbaarheden kan meer nodig zijn
  • Laat uw gegevens achter zodat wij contact met u kunnen opnemen. Zo kunnen we samen werken aan een veilig resultaat. U kunt ook iets anoniem melden. Dan kunnen wij u niet op de hoogte houden en afspraken met u maken over de afwikkeling
  • Deel uw bevinding niet met anderen totdat het probleem is opgelost
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Door bijvoorbeeld:
    • Niet meer data op te halen dan nodig is om het lek aan te tonen 
    • Geen gegevens in te kijken, te verwijderen of aan te passen
    • De toegang niet te delen met anderen of
    • Geen eigen ‘back-door’ in het systeem te plaatsen
  • Wis alle gegevens die u via het beveiligingsprobleem heeft opgehaald, zo snel mogelijk
  • Zet geen aanvallen in op
    • fysieke beveiliging
    • social engineering
    • plaatsen van malware
    • distributed denial of service
    • spam
    • applicaties van derden enzovoort

Dit beloven wij

  • Wij nemen geen juridische stappen als u zich houdt aan bovenstaande verzoeken
  • Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing
  • Wij behandelen uw melding vertrouwelijk
  • Wij delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Tenzij dat noodzakelijk is om een wettelijke verplichting na te komen
  • Wij lossen het probleem zo snel mogelijk op
  • Wij houden u op de hoogte van de voortgang van de oplossing
  • Wij bepalen in overleg met u of en op welke manier over het probleem wordt gecommuniceerd
  • Wij vermelden, als u dit wilt, uw naam als ontdekker in de berichtgeving over het gemelde probleem

Leidraad Nationaal Cyber Security Centrum

Wilt u zwakke plekken in IT-systemen melden? Het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie heeft hierover een leidraad gemaakt.

De gemeente Nijmegen wil graag de volgende mensen bedanken die beveiligingskwesties in onze website(s) hebben ontdekt. Zij hebben dit op de juiste wijze aan ons gemeld. 

  • John Jacobs (2023)
  • Koen van de Lest en Casper van Strien (2023)
  • Umesh Jore (2020) 
  • Erik van Oosbree (2016)

English

The Municipality of Nijmegen would like to thank the following people who have discovered and responsibly disclosed vulnerabilities in our websites: