27 743
Aanpassing van Boek 3 en Boek 6 van het Burgerlijk Wetboek, de Telecommunicatiewet en de Wet op de economische delicten inzake elektronische handtekeningen ter uitvoering van richtlijn nr. 1999/93/EG van het Europees Parlement en de Raad van de Europese Unie van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PbEG L 13) (Wet elektronische handtekeningen)

nr. 5
VERSLAG

De vaste commissie voor Justitie1, belast met het voorbereidend onderzoek van dit wetsvoorstel, brengt als volgt verslag uit van haar bevindingen. Onder het voorbehoud dat de regering de gestelde vragen tijdig zal hebben beantwoord, acht de commissie de openbare behandeling van dit wetsvoorstel voldoende voorbereid.

1. Inleiding

De leden van de PvdA-fractie zijn van mening dat de invoering van een elektronische handtekening kan bijdragen aan de ontwikkeling van Nederland tot een kenniseconomie. Toch staan zij kritisch ten opzichte van het voorliggende wetsvoorstel.

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel elektronische handtekeningen. Zij onderschrijven het doel van de wettelijke erkenning van de elektronische handtekening en de gedachte dat te veel regels op dit gebied ten behoeve van de ontwikkeling van het internationale (elektronische) rechtsverkeer niet wenselijk zijn. Het wetsvoorstel geeft de leden van de VVD-fractie aanleiding tot een aantal vragen.

De leden van de D66-fractie hebben met grote belangstelling kennisgenomen van het voorliggende wetsvoorstel. Dit wetsvoorstel strekt tot uitvoering van de richtlijn 99/93/EG dat een gemeenschappelijk kader voor elektronische handtekeningen beoogt. De leden van deze fractie zijn verheugd dat dit wetsvoorstel nu eindelijk ter bespreking voorligt. Een gemeenschappelijk wettelijk kader voor elektronische handtekeningen zal naar de verwachting van deze leden het gebruik van de elektronische handtekening vergemakkelijken. Op deze wijze wordt de rechtszekerheid over de juridische status van de elektronische handtekening vergroot waardoor het vertrouwen in en daarmee het gebruik van elektronische diensten zal toenemen. Ook hopen deze leden dat door de implementatie van de richtlijn in de diverse lidstaten de verschillen in wet- en regelgeving kunnen worden teruggebracht. (Te) uiteenlopende regels voor de wettelijke erkenning van elektronische handtekeningen en voor de accreditatie van certificatiedienstverleners kunnen belemmeringen opwerpen voor het vrije verkeer van elektronische diensten.

Hoewel de leden van de D66-fractie de strekking van het wetsvoorstel onderschrijven, hebben zij nog wel enige vragen en opmerkingen. Deze leden hechten eraan te wijzen op het grote belang dat zij toekennen aan het waarborgen van privacy en het beschermen van persoonsgegevens. Dit dient dan ook in dit wetsvoorstel voldoende te zijn geregeld.

2. De richtlijn en de uitvoering

2.1 Verschillende soorten elektronische handtekeningen

In het wetsvoorstel wordt onderscheid gemaakt tussen een «gewone» elektronische handtekening en een «geavanceerde» elektronische handtekening die met meer waarborgen is omkleed. Kunnen voorbeelden worden gegeven wanneer een gewone elektronische handtekening volstaat en wanneer deze met meer waarborgen moet zijn omkleed, zo vragen de leden van de D66-fractie. Wie bepaalt de «status» van de handtekening? Wordt deze vastgelegd in de contractuele relatie tussen de partijen?

Een toereikende identiteitscontrole bij de toekenning van een elektronische handtekening achten de leden van de D66-fractie van groot belang. De Raad van State wijst erop dat de richtlijn wel algemene voorwaarden stelt maar geen waarborgen biedt voor de kwaliteit van een toekenningscontrole zoals die bijvoorbeeld kan worden bereikt met biometrische methoden. Natuurlijk is het zo dat dergelijke methoden vooral worden gebruikt als aan de ondertekening van bepaalde akten bijzondere eisen worden gesteld. Met de Raad van State zijn deze leden van mening dat de deugdelijkheid van certificering in belangrijke mate afhankelijk is van de kwaliteit van de toekenningscontrole, die met daarop gerichte voorschriften kan worden bevorderd. In de memorie van toelichting zou nog kunnen worden vermeld of (op termijn), en zo ja hoe zal worden voorzien in de bedoelde toekenningscontrole?

2.2 Verschillende soorten certificaten

De leden van de VVD-fractie vragen waarom de richtlijn een onderscheid maakt tussen gewone certificaten en gekwalificeerde certificaten. In hoeverre is een gewoon certificaat met voldoende waarborgen omkleed, zo vragen de leden van deze fractie.

De leden van de VVD-fractie constateren met de regering dat de bijlagen inzake de gekwalificeerde certificaten vrij algemene doelstellingen bevatten. Deze leden willen weten of de precisering van de technische normen door ETSI en CEN hierin verandering zullen brengen.

Een gekwalificeerd certificaat voldoet aan de eisen van bijlage I van de richtlijn en is afgegeven door een certificatiedienstverlener die voldoet aan de eisen van bijlage II van de richtlijn. Zo heeft een certificatiedienstverlener onder meer een bewaarplicht; gedurende een gepaste periode dient alle relevante informatie met betrekking tot een gekwalificeerd certificaat vastgelegd te worden, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen dient elektronisch plaats te vinden, zo staat in bijlage II van de richtlijn. Wat wordt verstaan onder een «gepaste periode» en wat is «alle relevante informatie», zo vragen de leden van de D66-fractie. Kan dit per certificaat, per contract maar ook per lidstaat verschillen?

Overigens is in Engeland, weliswaar in een ander verband, wel eens gesproken over zogenoemde «datapakhuizen». Hoe staat de regering hier tegenover?

Een certificatiedienstverlener dient daarnaast de identiteit van de persoon voor wie een gekwalificeerd certificaat wordt afgegeven, te controleren en op verifieerbare wijze vast te leggen. Op welke wijze gebeurt dat? Voor de leden van de D66-fractie moet de privacy en bescherming van persoonsgegevens voldoende zijn gewaarborgd.

2.3 Rechtsgevolgen van elektronische handtekeningen

De leden van de VVD-fractie vragen de regering of zij kan aangeven onder welke omstandigheden er bij onbevoegd gebruik van de elektronische handtekening sprake kan zijn van valsheid in geschrifte.

Een elektronische handtekening heeft, indien aan een aantal nader omschreven voorwaarden is voldaan, dezelfde rechtsgevolgen als een handgeschreven handtekening.

Een elektronische handtekeningencode kan deels uit een private en deels uit een publieke code (sleutel) bestaan waarop de certificaatdienstverlener mogelijk ook rechten zou kunnen doen gelden. De vraag doet zich voor of de persoon die zich van de elektronische handtekening bedient in geval van onrechtmatig gebruik van zijn elektronische handtekening door een ander daartegen alleen of uitsluitend samen met de certificaatsdienstverlener in rechte kan optreden. Kan de regering hier een nadere toelichting over geven, zo vragen de leden van de fracties van VVD en D66. In de memorie van toelichting wordt opgemerkt dat dit afhankelijk is van de contractuele relatie tussen de gebruiker van een elektronische handtekening en een certificatiedienstverlener, die voor beiden rechten en verplichtingen zal meebrengen. De leden van de D66-fractie vragen waarom dit punt louter afhankelijk van de contractuele relatie wordt gesteld. Deze leden lijkt het een goede zaak als iemand die zijn elektronische handtekening gebruikt ook alleen in rechte zou kunnen optreden.

De Raad van State wijst erop dat onjuist of onbevoegd gebruik van de elektronische handtekening ten nadele van anderen zich kan voordoen in situaties waarin de certificaatdienstverlener geen verwijt kan worden gemaakt, maar waarin hij van dat gebruik in het kader van de dienstverlening wel op de hoogte raakt. De vraag doet zich dan voor over welke technische mogelijkheden en bevoegdheden de certificaatdienstverlener al dan niet in overleg met het OM zal beschikken om zulk misbruik te voorkomen en tegen te gaan. Dit is naar de mening van de leden van de D66-fractie een relevante vraag waarop nader in zou moeten worden gegaan. Deze leden begrijpen dat het lastig is hierover in zijn algemeenheid uitspraken te doen; veel zal afhangen van met name de concrete inhoud van de contract-relatie. Desalniettemin menen de leden van de D66-fractie dat een nadere toelichting danwel uitwerking met betrekking tot dit punt gewenst is. Wanneer bijvoorbeeld zijn toestemmingsvereisten aan de orde en aan welke andere mechanismen wordt gedacht?

2.4 Aansprakelijkheid van certificatiedienstverleners

De leden van de D66-fractie kunnen instemmen met de wijze waarop de (schuld)aansprakelijkheid, met omgekeerde bewijslast van (gekwalificeerde) certificatiedienstverleners is geregeld.

2.5 Toezicht op certificatiedienstverleners die gekwalificeerde certificaten aan het publiek aanbieden of afgeven

De leden van de PvdA-fractie zijn van mening dat de rol van de toezichthouder met onvoldoende waarborgen is omkleed. Zij zouden de regering dan ook willen voorleggen om in overweging te nemen om de rol van de toezichthouder ook vooraf met waarborgen te omkleden. Daarbij tekenen zij aan dat ook uit de evaluatie van de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) blijkt dat toezicht vooraf in de toekomst steeds meer gewenst zal zijn. Ook zouden zij de regering in overweging willen geven dat er wel degelijk van een vergunningverlening sprake moet zijn, juist om de veiligheid en de controle van het economische verkeer op het internet zowel juridisch als anderszins beter te waarborgen. Deze leden vragen welke extra middelen de OPTA ter beschikking zullen worden gesteld om deze werkzaamheden te verrichten.

Daarnaast zouden de leden van de PvdA-fractie graag willen weten welke expertise er momenteel naar aanleiding van pilots, bijvoorbeeld bij een Haarlems notariskantoor, wordt ontwikkeld bij politie en Openbaar Ministerie om fraude met elektronische handtekeningen op te sporen en tegen te gaan. Ook willen deze leden weten hoe gebruik wordt gemaakt van de ervaringen van de belastingdienst.

De leden van de VVD-fractie zien graag verduidelijkt waarom de minister, voorafgaand aan de registratie door de OPTA, instellingen kan aanwijzen die op verzoek van de certificatiedienstverleners deze dienstverleners toetsen op de eisen van de Telecommunicatiewet. Biedt zelfregulering hier geen uitkomst, zo willen de leden van deze fractie weten.

In artikel 3, derde lid, wordt geregeld dat elke lidstaat moet zorgdragen voor een passend systeem van toezicht op de op zijn grondgebied gevestigde certificatiedienstverleners die gekwalificeerde certificaten aan het publiek afgeven. Nederland heeft ervoor gekozen aan te sluiten bij het toezicht zoals geregeld in de Telecommunicatiewet, wat de leden van de D66-fractie op zich een logische keuze vinden. Deze leden vragen wel of de voorgestane wijze van toezicht, initieel alleen registratie, niet wat mager is.

Toezicht op certificatiedienstverleners wordt slechts gehouden om te waarborgen dat certificaten die als gekwalificeerde certificaten worden aangeboden of afgegeven aan de eisen voor deze certificaten voldoen. In Nederland gevestigde certificatiedienstverleners die gekwalificeerde certificaten aan het publiek aanbieden, moeten geregistreerd staan bij de OPTA. De certificatiedienstverlener dient bij de aanvraag informatie te overleggen waaruit blijkt dat zij voldoen aan de eisen die bij of krachtens AmvB zijn gesteld (eisen I en II bijlage richtlijn). Na registratie beoordeelt de OPTA of deze informatie volledig is. Op welke wijze precies wordt door het college de overlegde informatie getoetst? De leden van de D66-fractie zien graag een nadere uitleg over de wijze waarop preventieve handhaving gestalte krijgt. De passage in de memorie van toelichting vinden deze leden enigszins vaag; «in een voorkomend geval» kan de OPTA, op basis van de verkregen informatie, controleren of aan de eisen van de AmvB is voldaan. Waarom, zo vragen deze leden, controleert de OPTA niet in alle gevallen. Waarom wordt er niet voor gekozen meer waarborgen vooraf in te bouwen?

De OPTA is toezichthouder op certificatiedienstverleners, maar moet eerst informatie inwinnen bij de accreditatie-organisatie, deze laatste wordt door de minister van Verkeer en Waterstaat aangewezen. Door wie worden dergelijke accreditatie-organisaties op hun beurt gecontroleerd en aan wie zijn zij verantwoording schuldig, zo vragen de leden van de D66-fractie. Kan tevens een nadere toelichting worden gegeven op de «borgende rol» die deze organisaties spelen bij de invulling van het toezicht?

Vrijwillige accreditatieregelingen zijn regelingen waarbij een geautoriseerde onafhankelijke instantie erkent dat een certificatiedienstverlener aan bepaalde eisen voldoet. Lezen de leden van de D66-fractie deze zinsnede zo dat een andere dan de OPTA deze eisen kan toetsen? Aan wat voor soort instantie wordt gedacht?

Repressieve handhaving is aan de orde als in strijd met de regels is gehandeld. De wet biedt hiervoor zowel bestuursrechtelijke als strafrechtelijke handhavingsinstrumenten. Voor handhaving registratieplicht en de verplichting aan de eisen van de bijlagen in de richtlijn te voldoen, is de bestuursrechtelijke handhaving van toepassing. De OPTA is bevoegd om de registratie te beëindigen indien de certificatiedienstverlener niet, of niet geheel voldoet aan de bij AmvB gestelde eisen. Om na te gaan of deze laatste situatie zich voordoet, kán het college onderzoeken of een ingeschreven certificatiedienstverlener aan deze eisen voldoet. Waarom niet «moet» het college onderzoeken? In de memorie van toelichting staat dat dit beperkt zal blijven tot die gevallen waar een redelijk vermoeden bestaat dat niet aan de eisen wordt voldaan. Waarom wordt er niet voor gekozen strenger vooraf te toetsen?

Uit artikel 3 lid 1 van de richtlijn blijkt dat er geen voorafgaande vergunning of andere maatregelen mogen worden opgelegd die de dienstverlening belemmeren. Het is niet de bedoeling, aldus de memorie van toelichting, om mogelijk te maken dat de OPTA vooraf inhoudelijk toetst of de certificatiedienstverlener aan alle eisen voldoet. Waarom is dat uitdrukkelijk niet de bedoeling, zo vragen de leden van de D66-fractie. Wel moet de OPTA een beeld hebben van de aanvrager, zo vervolgt de memorie van toelichting. Deze leden vinden dit laatste nogal vaag gesteld. De OPTA voert periodiek onderzoeken uit, die veelal uit een schriftelijke vragenlijst bestaat die moet worden ingevuld en geretourneerd. Ook deze periodieke toetsing en de wijze waarop deze wordt uitgevoerd, lijkt deze leden aan de magere kant. Deze leden zien op dit punt graag een nadere toelichting.

Een goede samenwerking tussen de instellingen en de OPTA is onontbeerlijk voor een goed toezicht; de leden van de D66-fractie vragen hoe deze goede samenwerking wordt bewerkstelligd.

2.6 De OPTA als toezichthouder op certificatiedienstverleners die gekwalificeerde certificaten aanbieden aan het publiek

De leden van de VVD-fractie vragen om een toelichting op de keuze voor de OPTA als onafhankelijk toezichthouder op certificatiedienstverleners in plaats van een TTP-Kamer. Waarom zijn de bevoegdheden van de toezichthouder te kwalificeren als de uitoefening van openbaar gezag, zo willen deze leden weten. Ook vragen de leden van de VVD-fractie of de OPTA kwalitatief en kwantitatief voldoende is toegesneden op deze nieuwe toezichtstaak.

De OPTA heeft in zijn advies aangedrongen op een (uitdrukkelijke) verbodsbepaling, zo merken de leden van de D66-fractie op. Artikel 18.18 (Telecommunicatiewet) kan daarvoor een basis bieden. Stel dat een aanbieder, wiens registratie door de OPTA is ingetrokken omdat niet aan de eisen werd voldaan, toch doorgaat met zijn activiteiten. Volgens artikel 18.18 geldt het verbod zolang de aanbieder niet opnieuw is geregistreerd. Is de regering van mening dat een aanbieder de verbodsbepaling kan ontlopen door zich opnieuw snel bij de OPTA te laten registreren? In de memorie van toelichting staat dat het «gewenst» is om in een dergelijke situatie registratie te weigeren. In hoeverre heeft de OPTA de wettelijke bevoegdheden om in dat geval registratie te weigeren, zo vragen de leden van de D66-fractie.

Registratiekosten zouden kunnen werken als een drempel om zich te laten registreren. In de memorie van toelichting wordt erop gezinspeeld dat wellicht andere uitgangspunten voor kostentoerekening aan de orde kunnen zijn als er marktbelemmeringen optreden. Kan worden aangegeven boven welk bedrag per aanbieder dergelijke marktbelemmeringen kunnen ontstaan?

2.7 Overeenstemming veilige middelen met bijlage III

Het toezicht op de naleving van de regels voor veilige middelen voor het aanmaken van elektronische handtekeningen wordt niet aan de OPTA opgedragen, maar aan een nog aan te wijzen instantie. Is al bekend aan welke instantie hierbij wordt gedacht, zo vragen de leden van de D66-fractie.

2.8 Gegevensbescherming

Waarom is gekozen voor een striktere bepaling omtrent het verkrijgen van persoonsgegevens en het verder verwerken van deze gegevens dan in de Wet bescherming persoonsgegevens het geval is, zo willen de leden van de VVD-fractie weten. Is de regering het niet met de leden van de VVD-fractie eens dat het adagium offline=online ook hier zou moeten gelden?

De leden van de D66-fractie zijn zeer verheugd dat het advies van de Registratiekamer is overgenomen waardoor, via artikel 8, lid 2, er extra waarborgen zijn ingebouwd met betrekking tot de door deze leden zeer gewenste voldoende bescherming van persoonsgegevens.

Deze leden plaatsen toch nog een kanttekening omdat zij de wettekst enigszins onduidelijk vinden met betrekking tot de uitzondering die wordt gemaakt op het punt van fraudebestrijding. Voor opsporingsinstanties kan het van belang zijn dat zij in bepaalde gevallen informatie kunnen krijgen over de persoon die aan een bepaalde elektronische handtekening is verbonden. In welke gevallen is dat aan de orde? En op welke wijze wordt die informatie verkregen? En om wat voor fraude gaat het dan, of heeft het betrekking op fraude in het algemeen? Deze leden zien hierop graag een nadere toelichting.

2.9 Adviezen

De leden van de VVD-fractie zien het voorziene tariferingssysteem voor registratie en toezicht en de mogelijke knelpunten daarbij graag toegelicht.

ARTIKELEN

ARTIKEL I

A

Artikel 15c

Met betrekking tot de mogelijkheden voor de strafrechtelijke handhaving wordt aangegeven dat zal worden bezien of de bestaande bevoegdheden neergelegd in het Wetboek van Strafvordering een toereikende basis bieden. De leden van de VVD-fractie vragen welke voorwaarden daarbij meegenomen worden, welke stappen daar precies verwacht worden en hoe deze zich verhouden tot onderhavig wetsvoorstel.

De leden van de VVD-fractie vragen in dat kader hoe deze nadere beschouwing zich verhoudt dat tot hetgeen gesteld is in art. 11.5 lid 3 van het wetsvoorstel, en hoe – meer in het algemeen – de risico's worden ingeschat zonder dat duidelijk is wat de strafrechtelijke handhaafbaarheid van een en ander is.

ARTIKEL II

A

Artikel 1.1

Een certificatiedienstverlener kan nog andere diensten leveren die betrekking hebben op bijvoorbeeld het beheer van certificaten, het genereren, opslaan en verstrekken van cryptografisch sleutelmateriaal (sleutelbeheer). Welke privacy-waarborgen zijn op dit beheer van toepassing, zo vragen de leden van de D66-fractie.

B

Artikel 2.1

De OPTA onderzoekt slechts of daadwerkelijk aan de aan de certificatiedienstverlener gestelde eisen is voldaan indien het college een redelijk vermoeden heeft dat het tegendeel het geval is. Het lijkt de leden van de D66-fractie wenselijk om niet slechts te toetsen bij dergelijke vermoedens.

E

Artikel 15.1

Het is de leden van de VVD-fractie niet duidelijk hoe het toezicht op de accreditatieorganisaties met betrekking tot de naleving van de aangewezen accreditatieregelingen is geregeld. Volgens artikel 15.1 is het toezicht niet aan de OPTA (het college), terwijl op bladzijde 23 staat dat «het voor de hand ligt» dat klachten over certificatiedienstverlener met het college worden afgestemd. Kan de regering dat nader toelichten?

F

Artikel 18.17

Op grond van artikel 18.17 kan een instantie worden aangewezen aan wie het toezicht op de naleving van veilige middelen voor het aanmaken van elektronische handtekeningen wordt opgedragen. De leden van de VVD-fractie vragen, nu de regering voornemens is deze taak, afhankelijk van de ontwikkeling van de markt, niet aan de OPTA op te dragen, aan welk soort instantie daarbij wordt gedacht. Hoe verhoudt een dergelijke instantie zich tot de opmerkingen in de memorie van toelichting onder paragraaf 2.1 dat in de definitie van de elektronische handtekening bewust geen melding wordt gemaakt van een bepaalde techniek om de voortschrijdende technologische ontwikkeling niet te remmen?

De overeenstemming van de zogenoemde veilige middelen met de vereisten van bijlage III van de richtlijn wordt door een door de minister van Verkeer en Waterstaat aangewezen onafhankelijke instelling vastgesteld. Deze instelling moet voldoen aan de door de EC vastgestelde (minimum)criteria (zoals neergelegd in de beschikking van 6 november 2000). Zo moet onder meer de onafhankelijkheid (ook financieel) van deze instelling gewaarborgd zijn en moet de beoordeling van de overeenstemming door de instantie op transparante en non-discriminatoire wijze plaatsvinden. Het is de leden van de D66-fractie niet geheel duidelijk wie deze instelling controleert. Deze leden nemen aan dat de desbetreffende instelling verantwoording aflegt aan de minister door wie hij is ingesteld? Of is ook de OPTA in deze toezichthouder? Graag zien zij op dit punt een nadere toelichting.

Daarnaast is degene die de veilige middelen op de markt brengt verantwoordelijk voor de naleving van de in artikel 18.17 bedoelde producteisen. De leden van de D66-fractie gaan ervan uit dat dit door de aangewezen onafhankelijke instelling zoals bedoeld in Artikel 18.17 wordt gecontroleerd. En welke bevoegdheden, danwel sanctiemogelijkheden staan deze instelling ter beschikking indien er toch producten op de markt worden gebracht die niet aan de veiligheidseisen voldoen?