Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 maart 2019

Op 11 maart jl. heeft Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, vastgesteld dat certificaten die voor digitale dienstverlening van de Nederlandse overheid worden gebruikt, vervangen moeten worden. Met deze brief informeer ik u over de aanleiding daarvan en de wijze waarop de vervanging georganiseerd wordt.

Aanleiding vervanging digitale certificaten

Overheidsdiensten maken voor hun digitale dienstverlening gebruik van certificaten die de veiligheid en betrouwbaarheid van een dienst waarborgen. Burgers kunnen bijvoorbeeld aan de hand van zo’n certificaat in hun internetbrowser zien dat zij met een authentieke website van de overheid te maken hebben; dit is te herkennen aan het slotje in de adresbalk.

Deze certificaten worden op drie niveaus uitgegeven binnen het zogenaamde stelsel «Public Key Infrastructure» (PKIoverheid): een stamcertificaat, tussenliggende certificaten en eindgebruikerscertificaten. Eindgebruikerscertificaten zijn onderverdeeld in servercertificaten en persoonsgebonden certificaten. De uitgifte van certificaten binnen het stelsel vindt plaats onder de verantwoordelijkheid van de Nederlandse overheid. Logius geeft namens de Staat der Nederlanden het stamcertificaat uit, en als toezichthouder op het stelsel de tussenliggende certificaten. Zowel het stamcertificaat als de tussenliggende certificaten zijn bij Logius in beheer. Eindgebruikerscertificaten worden geleverd door publieke en private certificaatverstrekkers1.

Het niet voldoen aan deze strengere uitleg betekent overigens niet dat het gebruik van bijvoorbeeld een website met zo’n certificaat onveilig is. Er is geen sprake van een beveiligingsprobleem. Om het vertrouwen in de Nederlandse certificaten internationaal te behouden, moeten deze wel aan die strenger uitgelegde eis gaan voldoen. Daartoe moeten deze vervangen worden.

Te nemen stappen

De verstrekkers van de te vervangen certificaten zijn door Logius als toezichthouder geïnformeerd over het niet voldoen aan de strenger uitgelegde eis. Op dit moment werkt Logius een plan voor deze vervanging uit. Logius heeft aangekondigd dat maximaal 14 tussenliggende certificaten en maximaal 22.000 daaronder vallende servercertificaten vervangen moeten worden. Belangrijke uitgangspunten bij de vervanging zijn het borgen van vertrouwen in de certificaten en continue beschikbaarheid van onze online diensten. De vervanging wordt gefaseerd uitgevoerd, waarmee de uitvoerbaarheid en zorgvuldigheid worden gewaarborgd.

Logius streeft ernaar binnen 14 maanden de certificaten te laten vervangen. Deze tijd is nodig vanwege het grote aantal nieuw uit te geven certificaten en de zorgvuldige procedure die voor de uitgifte van certificaten geldt. De certificaatverstrekkers informeren de organisaties waarvan de certificaten daadwerkelijk vervangen moeten worden.

Voor het vervangingsplan en de termijn wordt ook in internationaal verband draagvlak gezocht. Het kunnen uitvoeren van het beoogde vervangingsplan is namelijk afhankelijk van acceptatie door de internationale gemeenschap. Dit volgt uit de wijze waarop dit stelsel is georganiseerd, zoals ik eerder in deze brief heb toegelicht.

Tot slot

Ik benadruk dat de veiligheid van de huidige certificaten niet in het geding is. Burgers kunnen veilig digitaal zaken met de overheid doen. Met het vervangen van de certificaten die niet aan de strenger uitgelegde eis voldoen, blijft het vertrouwen in de digitale diensten van de Nederlandse overheid ook in de toekomst gewaarborgd. Ik zal uw Kamer nader informeren over de uitvoering van het vervangingsplan.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops