Regeling van de Minister van Economische Zaken, Landbouw en Innovatie van 24 november 2010, nr. WJZ/10172228, tot wijziging van de Regeling vertrouwenslijst ter implementatie van het besluit nr. 2010/425/EU van de Europese Commissie van 28 juli 2010 tot wijziging van Beschikking 2009/767/EG wat betreft het opstellen, bijwerken en publiceren van vertrouwenslijsten van certificatiedienstverleners die onder toezicht staan of zijn geaccrediteerd in een lidstaat

In de Regeling vertrouwenslijst is de beschikking nr. 2009/767/EG van de Europese Commissie van 16 oktober 2009 inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het ‘één-loket’ in het kader van Richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PBEU L 274/36) (hierna: de beschikking één-loket) geïmplementeerd. In deze regeling is voorgeschreven hoe het college van de Onafhankelijke post-en telecommunicatieautoriteit (hierna: het college) de vertrouwenslijst opstelt en beheert, en welke gegevens het college in de vertrouwenslijst moet opnemen. Voorts wordt in deze regeling bepaald op welke wijze gegevens en bescheiden door de certificatiedienstverleners moeten worden overlegd aan het college. Doel van de vertrouwenslijst is dat bij grensoverschrijdend gebruik van elektronische handtekeningen de ontvangende partij in staat is om buitenlandse elektronische handtekeningen op betrouwbaarheid te beoordelen. De vertrouwenslijst bevat daartoe informatie over de uitgever van de digitale gekwalificeerde certificaten waarop elektronische handtekeningen zijn gebaseerd en informatie over de handtekening zelf, zoals of de handtekening is aangemaakt met een zogeheten ‘veilig middel’.

De beschikking één-loket verplichtte de lidstaten om met ingang van 1 januari 2010 een menselijk leesbare versie van hun vertrouwenslijst in te stellen. Nadat de lidstaten hun vertrouwenslijsten hadden opgesteld, is uit testen gebleken dat het gebruik van de menselijk leesbare versie van de vertrouwenslijsten ingewikkeld en tijdrovend kan zijn, met name indien een lidstaat een groot aantal certificatiedienstverleners heeft, zoals in Spanje (ongeveer 15 certificatiedienstverleners). Voorts is uit deze testen gebleken dat een aantal technische specificaties in de beschikking één-loket gewijzigd moeten worden om tot goed functionerende en koppelbare vertrouwenslijsten te komen. Vanuit de gedachte om aan te sluiten bij de ‘laatste stand van de techniek’ ontstond voorts de wens dat de machinaal verwerkbare versie van de vertrouwenslijst elektronisch ondertekend moet worden. Derhalve is besloten tot wijziging van de beschikking één-loket middels het besluit nr. 2010/425/EU van de Europese Commissie van 28 juli 2010 tot wijziging van Beschikking 2009/767/EG wat betreft het opstellen, bijwerken en publiceren van vertrouwenslijsten van certificatiedienstverleners die onder toezicht staan of zijn geaccrediteerd in een lidstaat (PBEU L 199/30) (hierna: besluit nr. 2010/425/EU). Ingevolge het besluit nr. 2010/425/EU zijn de lidstaten verplicht om met ingang van 1 december 2010 ook een machinaal verwerkbare versie van de vertrouwenslijst voor het publiek beschikbaar te stellen en om deze versie elektronisch te ondertekenen. Tenslotte worden een aantal technische specificaties waaraan een vertrouwenslijst moet voldoen, gewijzigd. Met deze regeling worden deze wijzigingen van de beschikking één-loket geïmplementeerd in de Regeling vertrouwenslijst.

De introductie van een machinaal verwerkbare versie van de vertrouwenslijst brengt beperkte nieuwe administratieve lasten voor certificatiedienstverleners mee. Voor publicatie van de machinaal verwerkbare versie van de vertrouwenslijst heeft het college naast de gegevens die nodig zijn voor de menselijk leesbare versie van de vertrouwenslijst, deze gegevens van de certificatiedienstverleners nodig in een specifieke vorm. Het college kan de reeds geregistreerde certificatieverleners vragen om (een deel van) de gegevens te verstrekken in een digitale versie, of in een andere elektronische vorm. Zo kan het college vragen om aanlevering van een digitaal certificaat in plaats van de uitgeschreven tekst van de inhoud van dat certificaat. Aanlevering van een dergelijk certificaat is voor certificatiedienstverleners eenvoudiger dan aanlevering van een tekstversie van de inhoud van een certificaat. De aanlevering van digitale gegevens die nodig zijn voor het opstellen van een machinaal verwerkbare versie van de vertrouwenslijst levert een geringe extra administratieve last voor certificatiedienstverleners op. De elektronische aanlevering zal certificatiedienstverleners maximaal eenmalig één uur werk opleveren. Uitgaande van een uurtarief van 50 Euro en het huidige aantal van zeven certificatiedienstverleners, bedraagt de totale administratieve last aldus 350 Euro.

Zoals is uiteengezet in de toelichting van de Regeling vertrouwenslijst zijn de eenmalige administratieve lasten die samenhangen met het opstellen van de menselijk leesbare versie van vertrouwenslijst becijferd op 2.400 Euro voor de huidige certificatiedienstverleners gezamenlijk. Dit betreft de lasten van aanmelding. Daarbij brengt de introductie van een machinaal verwerkbare versie van de vertrouwenslijst een last van 350 Euro mee vanwege de aanlevering van aanvullende gegevens die nodig zijn voor het opstellen van die machinaal verwerkbare versie. De structurele lasten van de vertrouwenslijst blijven ongewijzigd en bedragen in totaal minder dan 3.000 Euro per jaar. De structurele administratieve lasten ontstaan doordat certificatiedienstverleners wijzigingen moeten doorgeven aan het college en door periodieke controle door het college van de juistheid van de gegevens. In de toelichting op de Regeling vertrouwenslijst is reeds uiteengezet dat alle administratieve lasten voortvloeien uit de implementatie van de beschikking één-loket.

In de uitvoeringstoets concludeert het college over de uitvoerbaarheid van deze regeling dat hij voor het beschikbaar stellen van de machinaal verwerkbare versie van de vertrouwenslijst wijzigingen in zijn bedrijfsvoering moet doorvoeren en daarvoor aanvullende middelen nodig heeft. De door het college gevraagde middelen worden in overweging genomen en worden beoordeeld in het licht van de concrete beschikbaarheid van een systeem voor het opstellen en beheren van een machinaal verwerkbare versie van de vertrouwenslijst.

Voorts maakt het college een aantal opmerkingen ter verbetering en vervolmaking van deze regeling:

Ten eerste stelt het college voor om voor de ondertekening van de vertrouwenslijst gebruik te mogen maken van een zogenoemd ‘self signed’ certificaat. Aangezien de beschikking één-loket enhet besluit nr. 2010/425/EU de ruimte bieden voor een dergelijk certificaat, geeft ook artikel 5, derde lid, het college de ruimte om te kiezen voor een self signed certificaat.Ten tweede geeft het college aan dat hij nadere gegevens nodig heeft van de certificatiedienstverleners, zoals een rootcertificaat, om de machinaal verwerkbare versie van de vertrouwenslijst op te kunnen stellen, alsmede dat deze gegevens digitaal verstrekt zouden moeten worden. Aan deze punten is tegemoet gekomen door aanvulling van artikel 10 van de Regeling vertrouwenslijst. Ten derde is tegemoet gekomen aan de opmerkingen van het college over de norm ETSI 101 733 en over de bewaartermijn van 10 jaar. Dit heeft geleid tot aanpassing van artikel 1, eerste lid, onderdeel g, en de artikelen 4 en 9.

Tenslotte is geen aanpassing nodig in verband met de opmerking van het college dat in de Regeling vertrouwenslijst de certificatiedienstverleners verplicht moeten worden om wijzigingen van gegevens onverwijld aan hem door te geven, aangezien een dergelijke verplichting reeds is opgenomen in artikel 10, derde lid.

In de beschikking één-loket wordt zowel statisch als dynamisch verwezen naar de ETSI TS standaarden die het college moet volgen bij het opstellen van de vertrouwenslijst. Daardoor was onduidelijk of de lidstaten verplicht waren tot een dynamische of een statische verwijzing. In overleg met de Europese Commissie en de andere lidstaten is afgesproken dat de beschikking één-loket zo moet worden gelezen dat deze beschikking de lidstaten in beginsel verplicht tot een statische verwijzing naar de ETSI TS standaarden. Voor de standaard ETSI TS 102 231hebben de lidstaten afgesproken dat uitsluitend versie v3.1.2 (2009-12) gevolgd mag worden. Voor de standaarden ETSI TS 101 733 en ETSI TS 101 903 hebben de lidstaten afgesproken dat versievernieuwingen binnen de reeks (bijvoorbeeld v1.0.0) worden aangehouden. Dit betekent bijvoorbeeld dat voor ETSI TS 101 733 in eerste instantie versie v1.8.1 (2009-11) moet worden aangehouden, en vervolgens versie v1.8.2 of v1.9.1 zodra door ETSI een versie is bijgesteld en gepubliceerd (artikel 1, tweede lid, Regeling vertrouwenslijst). Derhalve moet in een aantal onderdelen een verwijzing worden toegevoegd naar een versie dan wel een serie-aanduiding van de betrokken ETSI TS standaarden.

In artikel 1, onderdeel d, van de Regeling vertrouwenslijst werd het nummer van de beschikking één-loket abusievelijk niet genoemd. Dit wordt hersteld door het beschikkingnummer toe te voegen met artikel I, onderdeel A, sub a.

De nieuwe tekst van artikel 5 ziet op de implementatie van een aantal wijzigingen dat voortvloeit uit besluit nr. 2010/425/EU.

Ten eerste wordt in het eerste lid, onderdeel a, van artikel 5 de verplichting geïmplementeerd om gebruik te maken van de specificaties van ETSI TS 102 778 indien het college ervoor kiest om de menselijk leesbare versie van de vertrouwenslijst elektronisch te ondertekenen. In besluit nr. 2010/425/EU wordt hierbij zowel verwezen naar ETSI TS 102 778-2 (part 2) als ETSI TS 102 778-3 (part 3). Echter, technische implementatie conform ETSI TS 102 778-3 is op dit moment geen vanzelfsprekendheid in de markt, en het is afhankelijk van de marktontwikkelingen op welke termijn dat wel het geval zal zijn. Gelet hierop wordt middels de definitie van deze standaard (zie artikel 1, eerste lid, onderdeel i, van de Regeling vertrouwenslijst) het college de keuze gegeven om ETSI TS 102 778-2 of ETSI TS 102 778-3 als standaard aan te houden. Uit oogpunt van het waarborgen van de authenticiteit en integriteit van de vertrouwenslijst is het wenselijk dat het college ETSI TS 102 778-3 als standaard hanteert zodra deze standaard wordt toegepast door de leveranciers van producten waarmee PDF-documenten kunnen worden aangemaakt.

Ten tweede wordt het college in artikel 5, tweede lid, verplicht om de machinaal verwerkbare versie van de vertrouwenslijst te ondertekenen met een elektronische handtekening en daarbij ETSI TS 101 903 als standaard te gebruiken.

Ten derde wordt het college in artikel 5, vierde lid, verplicht om het publieke sleutelcertificaat te overleggen dat het college gebruikt om de vertrouwenslijst te publiceren (op een beveiligde website) of om de vertrouwenslijst te ondertekenen. Hiermee wordt gewaarborgd dat kan worden voldaan aan de verplichting voor de lidstaten om deze informatie te overleggen aan de Europese Commissie (artikel 1, onderdeel c, sub b tot en met e). De verplichting in artikel 5, vierde lid, houdt in dat het college steeds het publieke sleutelcertificaat ter beschikking stelt dat het college op enig moment daadwerkelijk gebruikt. Zodra het publieke sleutelcertificaat wordt gewijzigd, overlegt het college aldus het nieuwe publieke sleutelcertificaat aan de Minister van Economische Zaken, en overlegt de Nederlandse staat dit certificaat vervolgens aan de Europese Commissie. Vervolgens is de Europese Commissie (zie artikel 1, onder 1, sub d, van besluit nr. 2010/425/EU) verplicht om deze informatie beschikbaar te stellen aan alle lidstaten.

Ten vierde wordt het college in artikel 5, vijfde lid, verplicht om de vingerafdruk van het TLS certificaat in de Staatscourant te publiceren en om op de website van het college de vindplaats van de vingerafdruk te vermelden.

In het derde lid van artikel 5, is tenslotte geregeld dat zowel het certificaat waarop de elektronische handtekening is gebaseerd als het certificaat waarop de beveiliging is gebaseerd van de website waarop de vertrouwenslijst wordt aangeboden van een hoog betrouwbaarheidsniveau niveau is en voorts afkomstig zijn van een certificatiedienstverlener die niet is opgenomen op de Nederlandse vertrouwenslijst. Het vereisen van een certificaat van een hoog betrouwbaarheidsniveau is uit oogpunt van volledige implementatie noodzakelijk om te waarborgen dat de informatie op de vertrouwenslijst daadwerkelijk afkomstig is van het college. Voor de invulling van deze eis kan worden aangesloten bij de eisen die in artikel 15a, tweede lid, van boek 3 van het Burgerlijk Wetboek zijn geformuleerd ter invulling van ‘voldoende betrouwbaar’. Dit betekent bijvoorbeeld dat het certificaat waarvan het college gebruik maakt volgens een gedegen proces moet zijn uitgegeven, waarbij goede validatie plaatsvindt van de identiteit van de organisatie die het certificaat aanvraagt. Het certificaat moet voorts relatief eenvoudig verifieerbaar zijn. Een voorbeeld van een certificaat dat aan deze eis voldoet, is een certificaat dat voldoet aan ETSI TS 102 042 ‘NCP’ (Normalized Certificate Policy) of ETSI TS 102 042 ‘NCP⁺’, of een certificaat ‘klasse 3’.

Reden voor de eis dat het certificaat afkomstig is van een certificatiedienstverlener die niet op de Nederlandse vertrouwenslijst staat, is om te voorkomen dat de indruk ontstaat dat de certificatiedienstverlener waar het college het certificaat afneemt, betrouwbaarder zou zijn dan de andere op de Nederlandse lijst vermelde certificatiedienstverleners. Het college kan een keuze maken uit aanbieders die op een andere Europese vertrouwenslijst staan, of kiezen voor een certificatiedienstverlener die actief is buiten Europa.

Met artikel 10, eerste tot en met derde lid, is reeds gewaarborgd dat bij de aanvraag alle gegevens worden verstrekt die op grond van de beschikking één-loket opgenomen moeten zijn in de menselijk leesbare versie of de machinaal verwerkbare versie van de vertrouwenslijst. Het is mogelijk dat een wijziging van de beschikking één-loket met zich meebrengt dat het college in aanvulling op de bij de aanvraag tot registratie verstrekte gegevens op enig moment andere (nieuwe) gegevens over een dienstverlener moet opnemen in de vertrouwenslijst dan deze beschikking voorschreef op het moment dat de registratie plaats vond. Derhalve wordt aan artikel 10 een vierde lid toegevoegd. Op grond van dit vierde lid is gewaarborgd dat het college te allen tijde over alle gegevens kan beschikken die op grond van de beschikking één-loket in de vertrouwenslijst opgenomen moeten zijn. Grondslag voor de in het vierde lid opgenomen verplichting wordt gevormd door artikel 14, vierde lid, van de Dienstenwet.

Gelet op de verplichting voor het college om met ingang van 1 december a.s. ook een machinaal verwerkbare versie van de vertrouwenslijst op te stellen en te beheren, wordt in artikel 10, vijfde lid, bepaald dat de certificatiedienstverlener alle gegevens elektronisch verstrekt. Gelet op hoofdstuk 2.3 van de Algemene wet bestuursrecht wordt onder elektronisch onder meer verstaan email, sms, fax, en mogelijk ook het toezenden van een cd-rom.

Dit artikel vloeit voort uit de paragraaf ‘VVD-informatie’, alinea ‘URI van VVD-informatie’ (clausule 5.4.4.) van de beschikking één-loket. Onlangs is uit contacten met de Europese Commissie gebleken dat met deze alinea beoogd is dat de certificatiedienstverleners op een website Engelstalige verwijzingen opnemen waarmee de gebruiker van de vertrouwenslijst informatie kan vinden over o.a. het klantenservicebeleid van die certificatiedienstverlener en zijn praktijken. Met de term ‘zijn praktijken’ wordt naar verwachting gedoeld op de zogenoemde policy documenten van een certificatiedienstverlener.

Het college is verantwoordelijk voor het in de vertrouwenslijst opnemen van de verwijzing naar de website. De certificatiedienstverlener dient die verwijzing aan het college te melden en het college onverwijld te informeren als de verwijzing wijzigt.