Responsible Disclosure

Bij gemeente Alkmaar vinden we de veiligheid van onze systemen en gegevens van groot belang. Toch kan het gebeuren dat er een zwakke plek in onze systemen over het hoofd wordt gezien. Mocht je een kwetsbaarheid ontdekken, dan vragen wij je dit zo snel mogelijk aan ons te melden zodat we passende maatregelen kunnen nemen.

Hoe meld je een kwetsbaarheid?

  • Stuur je bevindingen naar: whatthehack@alkmaar.nl.
  • Geef voldoende details zodat wij het probleem kunnen reproduceren en onderzoeken.
  • Vermeld minimaal: het doelwit (bijv. URL of IP), een beschrijving van de kwetsbaarheid, en bewijs (screenshots, PoC).

Wat verwachten wij van jou?

  • Handel verantwoordelijk en zorgvuldig; voer geen acties die verder gaan dan noodzakelijk om het lek aan te tonen.
  • Deel je bevindingen niet met anderen totdat het probleem is opgelost.
  • Maak geen misbruik van de kwetsbaarheid en pas geen wijzigingen toe op gegevens of systemen.
  • Geef ons voldoende tijd om het probleem op te lossen.

Wat mag je níet rapporteren?

We ontvangen uitsluitend meldingen van echte, nieuwe kwetsbaarheden met substantiële impact. De volgende zaken vallen niet onder Responsible Disclosure:

  • Meldingen van bekende CVE’s (Common Vulnerabilities and Exposures) waarvoor patches beschikbaar zijn.
  • Fouten veroorzaakt door standaard- of testconfiguraties, zoals standaard mailheaders of serverbanners.
  • Rapportages van configuratie- of beveiligingsinstellingen zonder directe veiligheidsimpact (“laaghangend fruit”).
  • Meldingen over afwezigheid van DNSSEC, SPF, DKIM of DMARC (tenzij aantoonbaar misbruikt).
  • Meldingen van brute force-mogelijkheden zonder bewijs van accounts die daadwerkelijk kwetsbaar zijn.

Wat mag je van ons verwachten?

  • Binnen 5 werkdagen ontvang je een ontvangstbevestiging.
  • We streven ernaar om binnen 60 dagen een inhoudelijke reactie en oplossing te bieden.
  • Wij zullen geen juridische stappen ondernemen tegen melders die zich aan deze regels houden.

Geen beloningen in geld

  • Als gemeente werken wij met publieke middelen. Daarom kunnen wij geen geldbedragen of ‘bug bounties’ toekennen als beloning voor meldingen. Wij hopen op je begrip en waarderen je bijdrage aan de veiligheid van onze systemen.

Let op: Dit Responsible Disclosure-beleid is geen uitnodiging om ons netwerk actief aan te vallen, maar bedoeld om op een veilige en verantwoorde manier bij te dragen aan onze beveiliging.