Regeling van de Staatssecretaris van Economische Zaken van 18 december 2009, nr. WJZ/9230119, tot vaststelling van de inhoudelijke -en vormvereisten aan de lijst tot verificatie van certificatiedienstverleners die gekwalificeerde certificaten aan het publiek aanbieden of afgeven, alsmede tot wijziging van de Dienstenregeling centraal loket en interne markt informatiesysteem (Regeling vertrouwenslijst)

De Staatssecretaris van Economische Zaken,

Gelet op richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad van de Europese Unie van 12 december 2006 betreffende diensten op de interne markt (PBEU L 376/6), de beschikking nr. 2009/767/EG van de Europese Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het ‘één-loket’ in het kader van richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad van de Europese Unie betreffende diensten op de interne markt (PBEU L 274/36), artikel 14, vierde lid, van de Dienstenwet en de artikelen 2.1, vijfde lid, onderdeel b, en 2.3, derde en vierde lid, van de Telecommunicatiewet;

Besluit:

§ 1. Begripsbepalingen

Artikel 1

In deze regeling wordt verstaan onder:

a. college:

het college, bedoeld in artikel 1.1., onderdeel c, van de Telecommunicatiewet;

b. certificatiedienstverlener:

een certificatiedienstverlener als bedoeld in artikel 1.1., onderdeel uu, van de Telecommunicatiewet die gekwalificeerde certificaten als bedoeld in artikel 1.1., onderdeel tt, van de Telecommunicatiewet afgeeft of aanbiedt aan het publiek;

c. vertrouwenslijst:

het register, bedoeld in artikel 2.3, vijfde lid, van de Telecommunicatiewet, dat betrekking heeft op certificatiedienstverleners die overeenkomstig artikel 18.15 van de Telecommunicatiewet gekwalificeerde certificaten aan het publiek aanbieden of afgeven, waaruit blijkt of die certificatiedienstverleners certificaten afgeven of aanbieden waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel;

d. beschikking één-loket:

de beschikking van de Europese Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het ‘één-loket’ in het kader van Richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PBEU L 274/36);

e. PDF-bestand:

Portable Document Format-bestand dat is opgesteld overeenkomstig ISO 3200 en is geformatteerd volgens het PDF/A-profiel (ISO 19005);

f. ETSI TS 102 231:

de technische specificatie ‘Electronic Signatures and Infrastructures (ESI), Provision of harmonised Trust-service status information’, opgesteld door het European Telecommunications Standards Institute (ETSI);

g. ETSI TS 101 733:

de technische specificatie ‘Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)’, opgesteld door het European Telecommunications Standards Institute (ETSI);

h. ETSI TS 101 903:

de technische specificatie ‘XML Advanced Electronic Signatures (XAdES)’, opgesteld door het European Telecommunications Standards Institute (ETSI).

§ 2. De vertrouwenslijst

Artikel 2

  • 1. Het college stelt de vertrouwenslijst op overeenkomstig de instructies in hoofdstuk 1 en hoofdstuk IV van de bijlage bij de beschikking één-loket.

  • 2. Het college treft maatregelen die ertoe strekken te waarborgen dat de in de vertrouwenslijst opgenomen gegevens:

    • a. voor een ieder beschikbaar zijn,

    • b. beveiligd zijn, en

    • c. voldoendebetrouwbaar en actueel zijn.

Artikel 3

  • 1. De gegevens in de vertrouwenslijst zijn:

    • a. gesteld in de Nederlandse en de Engelse taal, en

    • b. geformuleerd overeenkomstig de termen en definities die worden gehanteerd in hoofdstuk 1 van de bijlage bij de beschikking één-loket en in ETSI TS 102 231, met dien verstande dat in het geval van afwijkingen tussen de bijlage bij de beschikking één-loket en ETSI TS 102 231 geldt hetgeen in de bijlage bij de beschikking één-loket is bepaald.

  • 2. In afwijking van het eerste lid, onderdeel a, zijn de door de certificatiedienstverlener verstrekte documenten gesteld in de Nederlandse taal of de Engelse taal.

  • 3. Het college codeert Udi-velden volgens hoofdstuk III van de bijlage bij de beschikking één-loket.

Artikel 4

  • 1. Een wijziging van hetgeen in de vertrouwenslijst is opgenomen, wordt door het college opgenomen met vermelding van de datum waarop de wijziging is ingegaan.

  • 2. Als een gegeven wordt gewijzigd, blijft het oorspronkelijke gegeven gedurende 10 jaar na de datum waarop de wijziging is ingegaan, vermeld in de vertrouwenslijst.

Artikel 5

Het college waarborgt de authenticiteit en integriteit van de vertrouwenslijst door:

  • a. ofwel de lijst te ondertekenen met een elektronische handtekening overeenkomstig het formaat:

    • 1°. CAdES -BES/-EPES voor ASN.1-implementaties overeenkomstig de specificaties van ETSI TS 101 733, of

    • 2°. XAdES -BES/-EPES voor XML-implementaties overeenkomstig de specificaties van ETSI TS 101 903,

  • b. ofwel de lijst aan te bieden vanaf een website die met een server (TLS/SSL) certificaat is beveiligd.

Artikel 6

  • 1. Het college maakt de vertrouwenslijst op elektronische wijze voor een ieder beschikbaar en toegankelijk als een PDF-bestand met ingang van de dag van inwerkingtreding van deze regeling.

  • 2. Het college maakt de vertrouwenslijst voorts opnieuw beschikbaar en toegankelijk op de in het eerste lid bepaalde wijze:

    • a. na iedere wijziging van hetgeen in de vertrouwenslijst is opgenomen, of

    • b. indien geen wijzigingen worden gemeld: ten minste een keer in de zes maanden.

  • 3. Het college waarborgt dat het PDF-bestand, bedoeld in het eerste lid, door een ieder kan worden afgedrukt.

  • 4. Indien het college de vertrouwenslijst geautomatiseerd raadpleegbaar maakt, doet zij dit overeenkomstig Hoofdstuk II van de bijlage bij de beschikking één-loket.

§ 3. Inhoud van de vertrouwenslijst

Artikel 7

In de vertrouwenslijst neemt het college in ieder geval de gegevens op die corresponderen met de onderwerpen die volgens hoofdstuk 1 en IV van de bijlage bij de beschikking één-loket verplicht onderdeel uitmaken van de vertrouwenslijst, overeenkomstig de instructies in hoofdstuk 1 en hoofdstuk IV van de bijlage bij de beschikking één-loket en in ETSI TS 102 231. In het geval van afwijkingen tussen hoofdstuk 1 van de bijlage bij de beschikking één-loket en ETSI TS 102 231 geldt hetgeen in hoofdstuk 1 van de bijlage bij de beschikking één-loket is bepaald.

Artikel 8

  • 1. Het college neemt in de vertrouwenslijst in ieder geval de gemeenschappelijke teksten en specifieke URI op zoals die zijn vastgesteld in hoofdstuk 1 van de bijlage bij de beschikking één-loket.

  • 2. In de vertrouwenslijst neemt het college voorts een beschrijving op van:

    • a. het toezichtsysteem,

    • b. de procedures van toetsing, bedoeld in artikel 18.16, eerste lid, van de Telecommunicatiewet,

    • c. de procedures van beoordeling, bedoeld in artikel 18.17, van de Telecommunicatiewet, en de criteria die in de procedures, bedoeld in de onderdelen b en c, worden gehanteerd om vast te stellen of een certificatiedienstverlener gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft overeenkomstig artikel 18.15 van de Telecommunicatiewet en of een certificatiedienstverlener tevens certificaten afgeeft of aanbiedt waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel.

Artikel 9

  • 1. Het college neemt in de vertrouwenslijst in ieder geval de gegevens op die noodzakelijk zijn om vast te stellen of een certificatiedienstverlener gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft overeenkomstig artikel 18.15 van de Telecommunicatiewet, met dien verstande dat uit de lijst ten minste duidelijk moet zijn of een certificatiedienstverlener:

    • a. getoetst is overeenkomstig artikel 18.16 van de Telecommunicatiewet, alsmede wat het resultaat en de actuele status is van die toetsing;

    • b. voornemens is om de dienstverlening te beëindigen;

    • c. op grond van artikel 2.2., vierde lid, onderdelen a tot en met d, van de Telecommunicatiewet door het college niet langer wordt aangemerkt als een certificatiedienstverlener die gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft.

  • 2. Het college neemt in de vertrouwenslijst voorts in ieder geval de gegevens op die noodzakelijk zijn om vast te stellen of een certificatiedienstverlener als bedoeld in het eerste lid, certificaten afgeeft of aanbiedt waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel.

§ 4. De aanvraag ten behoeve van opname op de vertrouwenslijst

Artikel 10

  • 1. De certificatiedienstverlener verstrekt in de aanvraag ten behoeve van opname op de vertrouwenslijst de door het college gevraagde gegevens in de Nederlandse en de Engelse taal, en formuleert de gegevens overeenkomstig de termen en definities die worden gehanteerd in hoofdstuk 1 van de bijlage bij de beschikking één-loket en ETSI TS 102 231. In het geval van afwijkingen tussen de bijlage bij de beschikking één-loket en ETSI TS 102 231 geldt hetgeen in de bijlage bij de beschikking één-loket is bepaald.

  • 2. De certificatiedienstverlener overlegt voorts bij de aanvraag de door het college gevraagde documenten in de Nederlandse of de Engelse taal.

  • 3. De certificatiedienstverlener geeft een wijziging van de gegevens en documenten, bedoeld in het eerste en tweede lid, op met vermelding van de datum waarop de wijziging is ingegaan. Het eerste en het tweede lid zijn van overeenkomstige toepassing op een melding tot wijziging van gegevens en documenten.

§ 5. Wijziging van de Dienstenregeling centraal loket en interne markt informatiesysteem

Artikel 11

Na artikel 20 van de Dienstenregeling centraal loket en interne markt informatiesysteem wordt een paragraaf ingevoegd, luidende:

§ 3a. Het gebruik van elektronische handtekeningen
Artikel 20a
  • 1. Voor de toepassing van artikel 14, vijfde lid, van de Dienstenwet zijn de genoemde elektronische handtekeningen, bedoeld in de aanhef van dat artikellid de elektronische handtekeningen, die:

    • a. ten aanzien van de gebruikte methode voor authentificatie voldoen aan de eisen, bedoeld in artikel van 15a, tweede lid, van Boek 3 van het Burgerlijk Wetboek,

    • b. ten aanzien van de gebruikte methode voor authentificatie voldoen aan de eisen, bedoeld in artikel van 15a, tweede lid, van Boek 3 van het Burgerlijk Wetboek, met uitzondering van het tweede lid, onderdeel f, of

    • c. een met elektronische middelen aangemaakte kopie zijn van een van oorsprong handgeschreven handtekening, die met behulp van elektronische middelen op eenvoudige wijze langs elektronische weg toegankelijk is voor de ontvanger er van.

  • 2. Voor de toepassing van artikel 14, vijfde lid, van de Dienstenwet is de elektronische handtekening met het laagste niveau van betrouwbaarheid, bedoeld in onderdeel b van dat artikellid, de elektronische handtekening, bedoeld in het eerste lid, onderdeel c.

  • 3. Het eerste lid is niet van toepassing op een elektronische handtekening, bedoeld in het eerste lid, onderdeel a of b, indien daarbij gebruik is gemaakt van een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel tt, van de Telecommunicatiewet, waarbij de naam van de ondertekenaar die in dat certificaat staat vermeld een als zodanig geïdentificeerd pseudoniem betreft.

§ 6. Slotbepalingen

Artikel 12

Deze regeling treedt in werking op het tijdstip waarop de Aanpassingswet dienstenrichtlijn in werking treedt.

Artikel 13

Deze regeling wordt aangehaald als: Regeling vertrouwenslijst.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

Den Haag, 18 december 2009

De Staatssecretaris van Economische Zaken,

F. Heemskerk.

TOELICHTING

I Algemeen

1. Inleiding

De onderhavige regeling dient ter implementatie van de beschikking nr. 2009/767/EG van de Europese Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het ‘één-loket’ in het kader van Richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PBEU L 274/36) (hierna: de beschikking één-loket) alsmede ter vervolmaking van de implementatie van richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PBEU L 376/6) (hierna: de dienstenrichtlijn).

Artikel 1 van de beschikking één-loket heeft betrekking op het gebruik en de aanvaarding van elektronische handtekeningen. Artikel 2 van de beschikking één-loket strekt ertoe dat iedere lidstaat een zogenoemde vertrouwenslijst (Trusted List) opstelt en bijhoudt. Aan de hand van deze vertrouwenslijst kan verificatie plaatsvinden van de betrouwbaarheid van de (in artikel 1, tweede lid, van de beschikking één-loket genoemde) elektronische handtekeningen die de lidstaten in beginsel moeten aanvaarden voor het afwikkelen van de procedures en formaliteiten via de één-loketten.

In artikel 2.1 van de Telecommunicatiewet (hierna: de wet) wordt het opstellen en bijhouden van de Nederlandse vertrouwenslijst opgedragen aan het college van de Onafhankelijke post- en telecommunicatieautoriteit (hierna: het college). Voorts worden de certificatiedienstverleners verplicht om zich te registreren bij het college en om de door het college gevraagde gegevens te verstrekken. In de onderhavige regeling wordt nader bepaald hoe het register is opgebouwd, welke gegevens het college in de vertrouwenslijst moet opnemen en in welke taal de gegevens in de lijst zijn gesteld. Voorts wordt in deze regeling bepaald op welke wijze (o.a. in welke taal) gegevens en bescheiden door de certificatiedienstverleners moeten worden overlegd aan het college. Ten slotte bevat deze regeling een wijziging van de Dienstenregeling centraal loket en interne markt informatiesysteem, die betrekking heeft op de acceptatie door bevoegde instanties van procedureberichten die ondertekend zijn met een bepaalde elektronische handtekening en die via het centraal loket, bedoeld in de Dienstenwet, zijn verzonden.

2. De elektronische handtekening

In de begintijd was internet vooral een vindplaats van informatie. Na verloop van tijd werd tweezijdige communicatie via internet steeds meer gebruikelijk. Zo werd het mogelijk om via internet transacties te verrichten en overeenkomsten aan te gaan. Hierbij moest het aspect van de juridische geldigheid worden opgelost. Zoals een overeenkomst op papier wordt bekrachtigd met een handgeschreven handtekening, moest dit ook voor digitale overeenkomsten kunnen gelden. De oplossing voor dit vraagstuk was de elektronische handtekening. Een elektronische handtekening is een softwarebestand met een cryptografische sleutel die uniek verbonden is aan de ondertekenaar. De richtlijn elektronische handtekeningen uit 1999 (richtlijn nr. 1999/93/EG van het Europees Parlement en de Raad van de Europese Unie van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen, PbEG L 13) bood binnen de EU harmonisatie van de eisen aan een elektronische handtekening. In Nederland werd deze richtlijn vertaald in de Wet elektronische handtekeningen. In deze wet staat beschreven aan welke eisen elektronische handtekeningen moeten voldoen.

Sinds de introductie van de elektronische handtekening werd deze vooral voor transacties binnen de landsgrenzen gebruikt. De dienstenrichtlijn brengt hier verandering in. De dienstenrichtlijn moet het voor bedrijven in de dienstverlenende sector makkelijker maken om activiteiten in andere EU-lidstaten te ontplooien. Iedere lidstaat heeft een digitaal loket ingericht. Dit loket stelt ondernemers in staat om digitaal met ‘bevoegde instanties’ in het thuisland en de andere lidstaten te communiceren. Dergelijke communicatie kan bijvoorbeeld de aanvraag van een vergunning zijn die is ondertekend met een elektronische handtekening.

3. Doel en werking van de vertrouwenslijst

Door het digitaal loket zal het grensoverschrijdend gebruik van elektronische handtekeningen toenemen. De ontvangende partij zal in staat moeten zijn om buitenlandse elektronische handtekeningen op betrouwbaarheid te beoordelen. Doordat de elektronische handtekeningen er in iedere lidstaat anders uitzien, is beoordeling door de ontvanger niet eenvoudig. Als hulpmiddel voor de beoordeling van de betrouwbaarheid van elektronische handtekeningen dient iedere lidstaat een vertrouwenslijst op te stellen overeenkomstig de specificaties in de bijlage van de beschikking één-loket. Deze vertrouwenslijst bevat informatie over de uitgever van de digitale gekwalificeerde certificaten waarop elektronische handtekeningen zijn gebaseerd en informatie over de handtekening zelf, zoals of de handtekening is aangemaakt met een zogeheten ‘veilig middel’. Deze informatie is nodig om de mate van betrouwbaarheid van de elektronische handtekening te kunnen beoordelen. De vertrouwenslijst is daarmee een hulpmiddel om de erkenning van bepaalde elektronische handtekeningen tussen lidstaten onderling te bevorderen.

De lidstaten stellen de lijst met detailinformatie beschikbaar voor de certificatiedienstverleners op hun grondgebied. Er is dus geen sprake van één lijst waarop alle informatie te vinden is. De Europese Commissie publiceert een lijst met verwijzingen naar de nationale vertrouwenslijsten. Wanneer een Poolse autoriteit een document met een Nederlandse handtekening (die is gebaseerd op een gekwalificeerd certificaat) ontvangt en hij wil nagaan in hoeverre deze handtekening betrouwbaar is, gaat hij eerst naar de lijst van de Europese Commissie om de Nederlandse lijst te vinden. Daar vindt hij het webadres van het college. Daarna kan hij naar de site van het college om de detailinformatie over de Nederlandse uitgever en de handtekening zelf te bekijken. Met deze informatie is hij in staat om de elektronische handtekening op betrouwbaarheid te controleren.

4. Administratieve lasten

In de artikelen 2.1 tot en met 2.3 van de Telecommunicatiewet is bepaald dat certificatiedienstverleners die gekwalificeerde certificaten aanbieden of afgeven aan het publiek zich moeten registreren bij het college. Voorts is in deze artikelen bepaald dat zij bij de aanvraag tot registratie bepaalde gegevens en documenten moeten overleggen aan het college, alsmede dat zij wijzigingen van deze gegevens aan het college moeten doorgeven.

Een aantal gegevens wordt specifiek genoemd in voornoemde artikelen, zoals naam en adresgegevens, en de gegevens en documenten waaruit blijkt dat de certificatiedienstverlener voldoet aan de in artikel 18.15 gestelde eisen voor het afgeven of aanbieden van gekwalificeerde certificaten. Tenslotte is het college bevoegd om te bepalen welke andere gegevens bij de aanvraag van een registratie moeten worden overgelegd.

In aanvulling op de hiervoor bedoelde gegevens die op dit moment reeds moeten worden overgelegd, worden in onderhavige regeling nadere gegevens benoemd waarover het college ten behoeve van de vertrouwenslijst moet beschikken. De informatieverplichting die hierdoor (met ingang van 28 december 2009) ontstaat, gaat aldus verder dan de oorspronkelijke registratie- en informatieplicht van certificatiedienstverleners. Dit betekent dat de administratieve lasten als gevolg van de onderhavige regeling enigszins zullen stijgen. De noodzaak om in de onderhavige regeling nadere gegevens te benoemen die door de certificatiedienstverlener moeten worden verstrekt, komt voort uit de beschikking één-loket. Alle informatieverplichtingen in de onderhavige regeling vloeien aldus voort uit de beschikking één-loket.

De stijging van administratieve lasten bestaat uit drie componenten.

Ten eerste moeten de certificatiedienstverleners de voor de vertrouwenslijst relevante gegevens doorgeven aan het college. Het verstrekken van die aanvullende gegevens zal ongeveer 8 uur in beslag nemen. Deze gegevensverstrekking kan door een medewerker van de certificatiedienstverlener (vijftig euro per uur) worden verricht. De additionele lasten van de regeling komen voor een certificatiedienstverlener neer op een bedrag van vierhonderd euro (€ 400,00). Het gaat hier om éénmalige administratieve lasten. Voor de zes huidige certificatiedienstverleners bij elkaar gaat het om € 2.400,00 (tweeduizendenvierhonderd euro)

Ten tweede moet een certificatiedienstverlener wijzigingen die relevant zijn voor de vertrouwenslijst, doorgeven aan het college. Deze verplichting bestaat reeds op grond van artikel 2.3 van de Telecommunicatiewet. Het aantal gegevens dat een certificatiedienstverlener moet verstrekken, neemt door de onderhavige regeling toe. Wijziging van een of meerdere gegevens zal zich naar verwachting niet vaker voordoen dan een keer per jaar. Een wijziging kan door een interne medewerker van de certificatiedienstverlener worden voorbereid en doorgegeven. Aangenomen dat deze medewerker vijftig euro per uur kost en dat een wijziging ten hoogste 5 uur in beslag neemt, zal de lastenverzwaring per wijziging per bedrijf ten hoogste tweehonderdenvijftig Euro (€ 250,00) bedragen. Wanneer iedere certificatiedienstverlener één wijziging per jaar doorvoert, bedragen de administratieve lasten van deze verplichting voor het huidige aantal certificatiedienstverleners (6) samen ten hoogste vijftienhonderd euro (€ 1.500,00).

Ten derde worden de certificatiedienstverleners mogelijkerwijze geconfronteerd met administratieve lasten die voortvloeien uit de wijze waarop het college de juistheid van de vertrouwenslijst gaat controleren. Een steekproef per certificatiedienstverlener van eens in de twee jaar met een belasting van één dag, zou neerkomen op ordergrootte van een halve dag per jaar. De lasten hiervan bedragen dan (4 uren x € 50,00 =) tweehonderd euro (€ 200,00) per certificatiedienstverlener. De totale last van de steekproef zou voor de zes huidige certificatiedienstverleners dan neerkomen op een bedrag van twaalfhonderd euro (€ 1.200,00).

De afgelopen jaren is de markt voor elektronische handtekeningen vrij stabiel geweest waardoor er zeer incidenteel toe- of uittreders waren die met genoemde kosten geconfronteerd zouden worden. Als gevolg van de één-loketten zou het aantal toetreders tot deze markt met enkele certificatiedienstverleners kunnen toenemen. Verwacht wordt dat het hier hooguit om enkele bedrijven over een periode van meerdere jaren zal gaan.

Aldus veroorzaakt deze regeling ter implementatie van de beschikking één-loket, additionele administratieve lasten ten opzichte van de huidige situatie. Deze worden veroorzaakt door aanmelding voor de vertrouwenslijst (eenmalig), het doorgeven van wijzigingen die relevant zijn(structureel) en controles door de beheerder om de juistheid actualiteit van de vertrouwenslijst vast te stellen (eveneens structureel). De eenmalige lasten van aanmelding voor de vertrouwenslijst bedragen voor de huidige certificatiedienstverleners gezamenlijk (6x € 400,00) tweeduizendenvierhonderd euro (€ 2.400,00). Na de eerste registratie op de vertrouwenslijst zullen de structurele lasten van de regeling op jaarbasis per certificatiedienstverlener ten hoogste (€ 200,00 plus € 250,00) vierhonderdenvijftig euro (€ 450,00) bedragen. Deze lasten betreffen het doorgeven van wijzigingen door de certificatiedienstverleners (ad € 250,00) alsmede het controleren van de juistheid van de gegevens op de vertrouwenslijst (ad € 200,00). Uitgaande van het huidige aantal van 6 certificatiedienstverleners bedraagt de structurele lastenverzwaring in totaal ten hoogste drieduizend euro (€ 3.000,00) per jaar.

Deze regeling bevat alleen verplichtingen die voortvloeien uit de beschikking. Uitgangspunt bij de implementatie van de beschikking één-loket is aldus dat de lasten voor de certificatiedienstverlener zoveel mogelijk beperkt worden. Verder is er gelet op de gedetailleerde voorschriften in de EC-beschikking geen ruimte voor alternatieven die tot reductie van administratieve lasten zullen leiden.

II Artikelsgewijs

Artikel 1

Sinds 2003 registreert het college de certificatiedienstverleners die voldoen aan de in artikel 18.15 gestelde eisen. Dit register (hierna: basisregister) heeft slechts tot doel op eenvoudige wijze inzichtelijk te maken welke certificatiedienstverleners bevoegd zijn om gekwalificeerde certificaten aan het publiek aan te bieden of af te geven (zie artikel 18.18 van de wet). De gegevens in dit register zijn derhalve beperkt tot de naam, plaats van vestiging, en het postadres. Het register is te raadplegen op de website van het college.

De vertrouwenslijst heeft een breder doel dan het basisregister, namelijk de verificatie van de betrouwbaarheid van de (in artikel 1, tweede lid, van de beschikking één-loket genoemde) elektronische handtekeningen die de lidstaten in beginsel moeten aanvaarden voor het afwikkelen van de procedures en formaliteiten via de één-loketten. Gelet hierop bevat dit register veel meer gegevens dan het basisregister.

De onderdelen f tot en met h, van artikel 1 van de onderhavige regeling definiëren de drie ETSI TS standaarden waarnaar in deze regeling wordt verwezen. In de beschikking één-loket wordt soms via een dynamische verwijzing en soms via een statische verwijzing naar deze standaarden verwezen. Daardoor is onduidelijk of de lidstaten verplicht zijn tot een dynamische of een statische verwijzing. De praktijk van deze standaarden in de afgelopen jaren wijst uit dat deze standaarden een aantal keren per jaar wijzigen. Die wijzigingen komen meestal voort uit technische problemen bij het gebruik van de standaarden. Teneinde te voorkomen dat de Nederlandse vertrouwenslijst door een technische probleem in de standaarden niet (geheel) raadpleegbaar is of niet actueel is, wordt in de onderhavige regeling gekozen voor een dynamische verwijzing naar deze standaarden.

Artikel 2

In artikel 2, tweede lid, wordt het college verplicht om voldoende maatregelen te treffen om te waarborgen dat de gegevens in de vertrouwenslijst beveiligd, betrouwbaar, beschikbaar en actueel zijn. De beschikking één-loket vereist van de lidstaten dat zij een betrouwbare vertrouwenslijst opstellen die een weergave geeft van de actuele stand van zaken. Het betreft hier een zorgverplichting voor het college, wat onder meer betekent dat het college alle redelijke maatregelen moet treffen om aan deze zorgverplichting te voldoen. Daarentegen wordt hiermee niet beoogd dat het college aansprakelijk gesteld kan worden voor iedere onjuistheid op de vertrouwenslijst. Het college is immers grotendeels afhankelijk van de informatie die wordt aangeleverd door de certificatiedienstverleners. Het college kan de betrouwbaarheid van de vertrouwenslijst waarborgen door bepaalde informatie periodiek te controleren (bijvoorbeeld via het handelsregister) en door periodiek bij de ingeschreven certificatiedienstverleners te verifiëren of alle gegevens op de vertrouwenslijst nog kloppen.

Artikel 3

Het college dient de gegevens in de vertrouwenslijst zowel in de Nederlandse taal als in de Engelse taal beschikbaar te maken. De eis om de gegevens ook in de Engelse taal beschikbaar te maken volgt uit de beschikking één-loket. Deze beschikking vereist namelijk dat er bij raadpleging van de vertrouwenslijst minstens taalondersteuning in Engelse taal beschikbaar is. De vertrouwenslijst zal naar verwachting gebruikt worden door zowel Nederlandse overheden als door overheden uit de andere lidstaten. Gelet hierop zal het college de vertrouwenslijst opzetten als een tweetalige lijst waarin alle gegevens zowel in de Nederlandse als de Engelse taal beschikbaar zijn.

De beschikking één-loket stelt geen eis aan de taal waarin de documenten zijn opgesteld die de certificatiedienstverleners moeten overleggen ten behoeve van de verificatie van de door hen verstrekte gegevens. Op dit moment leveren de in Nederland geregistreerde certificatiedienstverleners deze documentatie aan in de Nederlandse taal óf in de Engelse taal. In deze regeling wordt aangesloten op deze praktijk door beide mogelijkheden toe te staan (zie de artikelen 3, tweede lid, en 10, tweede lid, van de onderhavige regeling).

Artikel 5

In de beschikking één-loket worden (limitatief) twee alternatieven gegeven waarmee de authenticiteit en integriteit van de vertrouwenslijst door lidstaten gewaarborgd kan worden, namelijk:

  • (1) door de vertrouwenslijst te ondertekenen met een elektronische handtekening (overeenkomstig een in de beschikking voorgeschreven formaat), of

  • (2) door de lijst aan te bieden vanaf een zogenoemde beveiligde website.

In technische zin is bij het tweede alternatief (het aanbieden van de lijst vanaf een beveiligde website) geen sprake van het waarborgen van de authenticiteit en integriteit van de vertrouwenslijst. Een beveiligde website betekent immers uitsluitend dat de uitwisseling van gegevens ‘veilig’ heeft plaatsgevonden. Het betekent echter in technische zin niet dat de authenticiteit en integriteit van de bron (het PDF-bestand waarin de vertrouwenslijst wordt weergegeven) zeker gesteld is.

Doordat het in de meeste lidstaten op korte termijn niet mogelijk is om de vertrouwenslijst te ondertekenen met een elektronische handtekening stelt de beschikking één-loket dat de authenticiteit en integriteit van de vertrouwenslijst juridisch gezien ook gewaarborgd wordt indien de lijst wordt aangeboden vanaf een beveiligde website. Het college beschikt op dit moment niet over de mogelijkheid om de vertrouwenslijst te ondertekenen met een elektronische handtekening, en zal daarom vooralsnog de lijst aanbieden vanaf een beveiligde website.

Indien het college in de toekomst alsnog overgaat tot ondertekening van de lijst, moet zij dit doen conform de in onderdeel a genoemde specificaties. Voorts dienen in dat geval de gegevens die corresponderen met de onderwerpen die worden opgesomd onder ‘Signed TSL/Ondertekende SLV’ bekend gemaakt te worden door het college. De beschikking één-loket lijkt overigens te bepalen dat deze gegevens in de menselijk leesbare vorm van de lijst zelf (het PDF-bestand) moeten worden opgenomen, maar dat is technisch gezien op dit moment niet uitvoerbaar. Het is wel mogelijk om deze gegevens in een apart bestand op te nemen die als bijlage bij de lijst wordt gepubliceerd. Op die manier wordt voldaan aan de kerneis in de beschikking één-loket om deze gegevens te publiceren, opdat de betrouwbaarheid van de menselijk leesbare vorm van de vertrouwenslijst kan worden vastgesteld door degene die deze lijst raadpleegt.

Artikel 6

De vertrouwenslijst wordt gepubliceerd op de website van het college en is daardoor op ieder tijdstip van de dag door een ieder in te zien. Publicatie zal voor de eerste keer plaatsvinden op de dag van inwerkingtreding van deze regeling. Vervolgens vindt steeds publicatie plaats indien een gegeven op de lijst is gewijzigd. Indien de gegevens in de lijst ongewijzigd blijven, vindt in ieder geval iedere 6 maanden opnieuw publicatie van de lijst plaats.

Artikelen 7 tot en met 9

In deze artikelen wordt aangegeven welke gegevens het college in ieder geval in de vertrouwenslijst moet opnemen. Het betreft hier drie categoriën van gegevens:

  • (a) De specifieke gegevens per certificatiedienstverlener en per dienst die corresponderen met velden die in hoofdstuk 1 en hoofdstuk IV van de bijlage bij de beschikking één-loket worden aangemerkt als zogenoemde verplichte velden, zoals het veld ‘Digitale dienstidentiteit’. Aandachtspunt hierbij is dat sommige velden in hoofdstuk 1 in eerste instantie worden aangemerkt als ‘optioneel’, doch bij nadere lezing (in de praktijk) een verplicht veld zijn (zie bijvoorbeeld het veld ‘Uitbreidingen dienstinformatie’). Artikel 7 ziet op deze categorie van gegevens.

  • (b) Algemene informatie omtrent de werking en het doel van de vertrouwenslijst, het toezichtsysteem en de procedures van toetsing en beoordeling van de certificatiedienstverleners. Deze informatie betreft onder meer een beschrijving door het college van het toezichtsysteem, zoals dat op grond van de Telecommunicatiewet is ingericht. Het betreft voorts een aantal gemeenschappelijke teksten en specifieke URI die gelijk is voor de vertrouwenslijsten in alle lidstaten (zie bijvoorbeeld in hoofdstuk 1 van de bijlage bij de beschikking één-loket de gemeenschappelijke tekst onder het veld ‘URI met informatie over de regeling’). Artikel 8 van de onderhavige regeling ziet op deze informatie.

    Ten slotte verplicht artikel 8, tweede lid, onderdelen b en c, het college tot het in de vertrouwenslijst opnemen van een beschrijving van de procedures van toetsing en beoordeling (inclusief de criteria) van de organisaties en instellingen die op grond van de artikelen 18.16 en 18.17a van de Telecommunicatiewet zijn aangewezen. De informatie waaruit deze beschrijving bestaat verwerft het college aldus van die aangewezen organisaties en instellingen.

  • (c) De specifieke gegevens per certificatiedienstverlener en per dienst aan de hand waarvan op enig moment en ten aanzien van een concreet moment (in het heden of het verleden) kan worden geverifieerd:

    • in hoeverre een certificatiedienstverlener die gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft dat doet overeenkomstig artikel 18.15, van de wet , alsmede

    • in hoeverre een certificatiedienstverlener die overeenkomstig artikel 18.15 van de wet gekwalificeerde certificaten aanbiedt of afgeeft aan het publiek, certificaten afgeeft of aanbiedt waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel. Op deze informatie ziet artikel 9 van de onderhavige regeling.

Het is van belang dat uit deze gegevens steeds zowel de actuele status van de certificatiedienstverlener blijkt, alsook zijn status op een specifiek moment in het verleden. Ten aanzien van de status van een certificatiedienstverlener moet worden bedacht dat de vertrouwenslijst geen gegevens bevat over de status van certificatiedienstverleners voorafgaand aan de inwerkingtreding van deze regeling.

Het college mag in aanvulling op bovenstaande drie categoriën nadere gegevens opnemen op de lijst. Als zij hiertoe overgaat, bepaalt de beschikking één-loket overigens dat ook in dat geval de structuur, formulering, etc. moet plaatsvinden overeenkomstig het bepaalde in hoofdstuk 1 en IV van de bijlage bij de beschikking één-loket en ETSI TS 102 231.

Artikel 10

Artikel 2.1, zevende lid, van de wet geeft een ruime bevoegdheid aan het college om gegevens en documenten op te vragen bij de certificatiedienstverlener ten behoeve van de basisregistratie (zie onder artikel 1) en van de opname in de vertrouwenslijst. Het college heeft ten behoeve van de basisregistratie een formulier vastgesteld waarin het college aangeeft welke gegevens en documenten de certificatiedienstverlener moet verstrekken voor die registratie (en toetsing aan de eisen van artikel 18.15 van de wet).

Voor zover de informatie die ten behoeve van deze basisregistratie door een certificatiedienstverlener is verstrekt niet volledig voorziet in de gegevens die nodig zijn voor opname in de vertrouwenslijst, zal het college iedere certificatiedienstverlener die in het basisregister is opgenomen, schriftelijk melden welke nadere gegevens hij nog moet overleggen ten behoeve van de opname in de vertrouwenslijst.

Bij het aanleveren van deze nadere gegevens gelden ingevolge de beschikking één-loket een aantal uitgangspunten, zoals de taal waarin de nadere gegevens en bescheiden gesteld moeten (dan welk mogen) worden, de formulering van de gegevens, etc.. Ten behoeve van de rechtszekerheid van de certificatiedienstverlener is het van belang om deze uitgangspunten vast te leggen in de onderhavige regeling. Het gaat hier immers om rechten en plichten van de certificatiedienstverleners.

Een van de uitgangspunten is dat de certificatiedienstverleners verplicht zijn om de nadere gegevens die nodig zijn voor de vertrouwenslijst in zowel de Nederlandse als de Engelse taal aan te leveren (artikel 10, eerste lid). Hiervoor is gekozen omwille van actualiteitswaarde van de vertrouwenslijst en ter beperking van vragen omtrent de aansprakelijkheid van onjuiste gegevens in de vertrouwenslijst. Zouden de certificatiedienstverleners bijvoorbeeld alleen in de Nederlandse taal de gegevens mogen verstrekken, dan zou het college de Engelse vertaling van die gegevens toch moeten voorleggen aan de betrokken certificatiedienstverlener om zeker te stellen dat in de vertaalslag geen informatie is verloren gegaan of is gewijzigd. Gegevens zouden in die werkwijze aldus op een later moment in de vertrouwenslijst opgenomen worden dan het geval is wanneer de certificatiedienstverleners de gegevens in twee talen verstrekken.

De documenten of bescheiden die de certificatiedienstverlener moet overleggen kunnen in ofwel de Nederlandse taal ofwel de Engelse taal worden overlegd. De beschikking één-loket vergt namelijk niet dat deze documenten in de Engelse taal beschikbaar zijn. Hiermee wordt voorts aangesloten bij de huidige praktijk van de certificatiedienstverleners (zie de laatste alinea van de toelichting op artikel 3).

Een ander uitgangspunt is dat de gegevens in de aanvraag geformuleerd moeten worden overeenkomstig de termen en definities die worden gehanteerd in hoofdstuk 1 van de bijlage bij de beschikking één-loket en ETSI TS 102 231. Voornoemde ETSI-standaard is kosteloos te downloaden (in PDF-vorm) op de website www.etsi.org. Voorts is deze norm 102 231 vertaald en te vinden op de website van EZ/OPTA.

Artikel 11

In artikel 11 wordt de Dienstenregeling centraal loket en interne markt informatiesysteem gewijzigd. Dit artikel ziet aldus niet op de vertrouwenslijst.

Artikel 14, vijfde lid, van de Dienstenwet heeft betrekking op het door bevoegde instanties accepteren van procedureberichten die met een elektronische handtekening zijn ondertekend en via het centraal loket zijn verzonden. Het gaat om gevallen waarin een procedurebericht is ondertekend met een elektronische handtekening die afwijkt van een elektronische handtekening die bij of krachtens wettelijk voorschrift is voorgeschreven of door een bevoegde instantie wordt geëist. Behoudens enkele uitzonderingen, geldt in die gevallen dat een bevoegde instantie het via het centraal loket ontvangen procedurebericht toch niet om die reden mag weigeren, indien de ontvangen elektronische handtekening er één betreft die wordt genoemd in een op grondslag van artikel 14, vierde lid, van de Dienstenwet vastgestelde ministeriële regeling. Artikel 20a, eerste lid, geeft daaraan invulling door deze elektronische handtekeningen te noemen. Dit betreffen achtereenvolgens:

  • de geavanceerde elektronische handtekening, die is gebaseerd op een gekwalificeerd certificaat en aangemaakt met een veilig middel (ook wel aangeduid als de ‘gekwalificeerde elektronische handtekening’) (zie onderdeel a);

  • de geavanceerde elektronische handtekening, die is gebaseerd op een gekwalificeerd certificaat, maar aangemaakt zonder een veilig middel (zie onderdeel b);

  • de elektronische handtekening bestaande uit een met elektronische middelen aangemaakte kopie van een van oorsprong handgeschreven handtekening, die met behulp van elektronische middelen op eenvoudige wijze langs elektronische weg toegankelijk is voor de ontvanger er van (hierna: de ingescande elektronische handtekening) (zie onderdeel c).

De elektronische handtekeningen, bedoeld in de onderdelen a en b, worden genoemd in de beschikking één-loketmet het oog op de wederzijdse erkenning van deze elektronische handtekeningen tussen lidstaten in het kader van het gebruik van het één-loket. De ingescande elektronische handtekening wordt eveneens genoemd, aangezien die voor dienstverrichters uit buiten- en binnenland op eenvoudige wijze is te gebruiken. Dit laatste betekent niet dat een met een ingescande elektronische handtekening ondertekend bericht om reden van de lage betrouwbaarheid van die handtekening nooit door een bevoegde instantie geweigerd mag worden. Op grond van artikel 14, vijfde lid, aanhef en onderdeel a, van de Dienstenwet hoeft een bevoegde instantie een dergelijke elektronische handtekening immers niet te accepteren, indien er bij of krachtens wettelijk voorschrift een elektronische handtekening wordt voorgeschreven of geëist met een hoger betrouwbaarheidsniveau. Hiervan te onderscheiden is het gebruik van een ingescande elektronische handtekening die juist wel is voorgeschreven of wordt geëist. In dat geval is een bevoegde instantie niet verplicht om tevens de beide handtekeningen, bedoeld in artikel 20a, eerste lid, onderdelen a en b, te accepteren. Dienstverrichters uit andere lidstaten beschikken in dat geval over een laagdrempelige mogelijkheid tot ondertekening. Door in het tweede lid te bepalen dat de ingescande elektronische handtekening wordt aangemerkt als de elektronische handtekening met het laagste niveau van betrouwbaarheid, wordt deze beperking in de acceptatieplicht in samenhang met artikel 14, vijfde lid, aanhef en onderdeel b, van de Dienstenwet, bereikt.

Het derde lid van artikel 20a verklaart ten slotte het eerste lid niet van toepassing op de gevallen waarin een gekwalificeerd certificaat wordt gebruikt, waarbij de naam van de ondertekenaar die daarin staat vermeld een als zodanig geïdentificeerd pseudoniem betreft. Deze uitzondering is gewenst, om voor bevoegde instanties te waarborgen dat zij waar noodzakelijk en proportioneel de identiteit van een dienstverrichter voldoende betrouwbaar langs elektronische weg kunnen blijven vaststellen met behulp van gekwalificeerde certificaten.

Artikel 12

De beschikking één-loket is in werking getreden op 19 oktober 2009 en van toepassing met ingang van 28 december 2009. De onderhavige regeling die uitvoering geeft aan deze regeling maakt onderdeel uit van een groter pakket aan regelgeving ter implementatie van de dienstenrichtlijn. De implementatietermijn van de dienstenrichtlijn eindigt op 28 december 2009. In het wetsvoorstel voor de Aanpassingswet dienstenrichtlijn (Aanpassing van diverse wetten ter implementatie van richtlijn 2006/123/EG van het Europees parlement en de Raad van de Europese Unie van 12 december 2006 betreffende diensten op de interne markt, Kamerstukken II, 31 859, nr. 2) is de grondslag voor de onderhavige regeling neergelegd. Gelet hierop is de inwerkingtredingsdatum van de onderhavige regeling afhankelijk van de inwerkingtreding van deze wet.

De beoogde inwerkingtredingsdatum van de Aanpassingswet dienstenrichtlijn is 28 december 2009. Indien de Aanpassingwet dienstenrichtlijn na 27 december wordt gepubliceerd, treedt deze wet (alsmede de onderhavige regeling) in werking met ingang van de dag na de dag van publicatie van de Aanpassingswet dienstenrichtlijn in het Staatsblad.

III Transponeringstabel

Beschikking één-loket

Geïmplementeerd in

Artikel 1

Artikelen 14, vijfde lid, Dienstenwet en 20a Dienstenregeling centraal loket en interne markt informatiesysteem

Artikel 2, eerste lid

Artikelen 1, onderdeel c, 2, eerste lid, 6, eerste en tweede lid, 8, 9 en 10 van de Regeling vertrouwenslijst

Artikel 2, tweede lid

Artikelen 2, eerste lid, 6, eerste tot en met derde lid, 8, 9 en 10 van de Regeling vertrouwenslijst

Artikel 2, derde lid

Behoeft geen implementatie

Bijlage, Woord vooraf

Behoeft geen implementatie (toelichting)

Bijlage, Hoofdstuk 1

Artikelen 1 tot en met 10 van de Regeling vertrouwenslijst

Bijlage, Hoofdstuk II

Artikel 6, vierde lid, van de Regeling vertrouwenslijst

Bijlage, Hoofdstuk III

Artikel 3, derde lid, van de Regeling vertrouwenslijst

Bijlage, Hoofdstuk IV

Artikelen 2, eerste lid, 3, eerste lid, 6, eerste lid, 7

De Staatssecretaris van Economische Zaken,

F. Heemskerk.

Naar boven