Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 december 2012

In antwoord op uw brief d.d. 20 november 2012 aan de minister van Binnenlandse Zaken en Koninkrijksrelaties met daarin de vraag van het lid Voortman (GroenLinks), gesteld tijdens de regeling d.d. 20 november 2012 (Handelingen II, 2012/2013, nr. 24, item 8, blz. 15–25), doe ik u het volgende antwoord toekomen.

Het lid Voortman heeft gevraagd om een brief van het kabinet, waarin het kabinet werd gevraagd naar de rol van OPTA, naar aanleiding van een bericht dat een zwaar verouderde website van DigiNotar de oorzaak was van de hack bij DigiNotar. Het betreffende bericht gaf aan dat er 30 updates waren gemist en dat de poging tot hacken bovendien is verzwegen. Tevens wilde het lid Voortman weten wat het kabinet daarvan vindt.

Al eerder is uit diverse onderzoeken1 gebleken dat er bij het systeem van toezicht destijds te veel waarde is gehecht aan de eigen verantwoordelijkheid van de partijen. Het toezicht werd in de vorm van jaarlijkse audits bij certificatiedienstverleners door onafhankelijke gespecialiseerde auditors uitgevoerd, waarop OPTA vervolgens weer toezicht uitoefende. In dit systeem was er tot 2012 onvoldoende aandacht voor de IT-gevaren, waarbij de updates van software een rol kunnen spelen.

Het kabinet heeft de conclusies uit de genoemde onderzoeken overgenomen. Zie hiervoor ook de brief van 14 maart 2012 van de minister van Binnenlandse Zaken en Koninkrijksrelaties aan uw Kamer (kamerstuk 26 643, nr. 230). Inmiddels zijn er veel verbeteringen doorgevoerd. Een deel van de betrokken bedrijven verstrekt PKIoverheidscertificaten en valt uit dien hoofde onder toezicht van Logius. Inmiddels is de samenwerking tussen OPTA, Logius en de auditors verbeterd. In een tweemaandelijks overleg wordt de stand van zaken bij de certificatiedienstverleners besproken. Verder hebben OPTA en Logius een samenwerkingsconvenant ondertekend waardoor het toezicht wordt versterkt. Zo leggen Logius en OPTA samen bedrijfsbezoeken af.

OPTA heeft meer capaciteit gekregen om het toezicht op gekwalificeerde certificaten te intensiveren. OPTA maakt momenteel voor alle certificatiedienstverleners een risicoanalyse op grond waarvan gericht toezicht wordt gehouden op de onderdelen van dienstverlening waarvan de risico’s het grootst zijn. OPTA gebruikt daarbij ook de auditrapporten. Dit levert een startpunt voor de bedrijfsbezoeken bij de certificatiedienstverleners, die minstens één keer per jaar plaatsvinden, en tussentijdse correspondentie. Daarnaast heeft OPTA alle certificatiedienstverleners een brief gestuurd waarin zij worden opgeroepen om beveiligingsincidenten te melden; deze boodschap is ook tijdens de bedrijfsbezoeken door OPTA afgegeven. (Zie ook de brief van de minister van Binnenlandse Zaken en Koninkrijksrelaties aan de Onderzoeksraad voor Veiligheid van 12 november 2012, waarvan een kopie aan uw Kamer is gestuurd; kamerstuk 26 643, nr. 257).

Daarnaast is het toezicht aangescherpt zowel in de vorm van strengere eisen en normen ten aanzien van de uitgifte en het beheer van certificaten door certificatiedienstverleners in het kader van PKIoverheid en eHerkenning, waarop vanaf 2012 door auditors jaarlijks wordt getoetst.

Tenslotte wordt er gewerkt aan een wettelijke meldplicht voor veiligheidsincidenten rond onder andere gekwalificeerde certificaten. Dit wordt gedaan in samenwerking met het Ministerie van Veiligheid en Justitie (zie de brief van de minister van Veiligheid en Justitie aan uw Kamer van 6 juli 2012; kamerstuk 26 643 nr. 246).

De minister van Economische Zaken, H.G.J. Kamp