Verordening tot wijziging van de Verordening op de administratie en de financiële integriteit

Om tot de keuze van de certificatiedienstverlener te komen, is bezien of hiertoe een aanbestedingsprocedure zou moeten worden gevolgd. Volgens extern ingewonnen juridisch advies is de Orde naar de huidige stand van de jurisprudentie geen aanbestedende dienst.

Tot de keuze van de certificatiedienstverlener is gekomen na overleg met een drietal potentiële leveranciers, waarvan er één niet voldeed aan de door de Orde gestelde eisen en een tweede onvoldoende geëquipeerd bleek te zijn om uitvoering te kunnen geven aan het gehele proces.

In verband met het beleid van de Algemene Raad te dereguleren waar mogelijk, is de keuze gemaakt aansluiting te zoeken bij een bestaande verordening. In eerste instantie was de idee om na artikel 4 van de Verordening op de vakbekwaamheid enkele bepalingen in te voegen. Daar genoemde verordening niet ziet op stagiaires zou noodzakelijkerwijs ook de Stageverordening 2005 overeenkomstige aanpassing behoeven.

Anders dan de twee genoemde verordeningen is de Vafi op alle in Nederland ingeschreven advocaten, alsmede de advocaat bedoeld in artikel 16h van de Advocatenwet, van toepassing.

De Vafi bevat bepalingen betreffende een behoorlijke inrichting van de administratie van de praktijkvoering. Voorts dient de advocaat volgens deze verordening te beschikken over een Stichting derdengelden en dient hij verzekerd te zijn tegen beroepsaansprakelijkheid. Daarnaast ziet de verordening op verplichtingen omtrent het betalingsverkeer, alsmede op verplichtingen die betrekking hebben op de naleving van de Wet ter voorkoming van witwassen en financieren van terrorisme.

Tevens is in de Vafi de verplichting opgenomen dat de advocaat desgevraagd informatie verschaft ten aanzien van de in de Vafi opgenomen verplichtingen en de verplichting desgewenst een beschrijving te geven van de wijze waarop aan die verplichting wordt voldaan.

Gelet op de reikwijdte en de aard van de Vafi heeft de Algemene Raad besloten om overeenkomstig het advies van de Adviescommissie Regelgeving de bepalingen betreffende het authenticatiemiddel op te nemen in de Vafi.

Een authenticatiemethode beschrijft de uitgifte van het authenticatiemiddel, het authenticatiemiddel zelf en de methode om met dit middel een authenticatie uit te voeren.

Er is sprake van authenticatie als wordt gecontroleerd of een gebruiker van een elektronisch netwerk, die zich aanmeldt bij dat netwerk, ook werkelijk degene is die hij zegt te zijn. Authenticatie gaat vaak samen met autorisatie bij het controleren van toegang tot systemen.

De meest gebruikte authenticatiemethode is de gebruikersnaam/wachtwoordcombinatie. Een veiliger manier om vast te stellen of de juiste persoon toegang krijgt tot een systeem is bijvoorbeeld het gebruik van een digitaal certificaat waarmee ook een geautoriseerde digitale handtekening kan worden gegenereerd.

Naast gebruikersnaam en wachtwoord kan gebruik worden gemaakt van bijvoorbeeld pinpasnummers, smartcards of vingerafdrukken.

De gegevens van advocaten, neergelegd in BAR (Beheer Advocaten Registratie) kunnen ten dienste gesteld worden aan het door of namens de Algemene Raad te voeren identitymanagement.

De secretaris is ingevolge artikel 8 van de Advocatenwet verantwoordelijk – in de zin van de Wet bescherming persoonsgegevens – voor de gegevensverwerking tot het moment van verstrekking van die gegevens aan de leverancier. De leverancier is verantwoordelijk voor het beheer van de gegevens vanaf het moment dat deze de gegevens ontvangt. Dit laat evenwel de zorgplicht van de Orde voor de goede gang van zaken betreffende de gegevensverwerking door de certificatiedienstverlener onverlet.

De gegevensverwerking is bij meldingsformulier van 24 april 2012 gemeld aan het College bescherming persoonsgegevens.

Doel van de gegevensverzameling en verwerking is een beveiligde internetomgeving ter bescherming van de kernwaarde van de vertrouwelijkheid. Dit draagt tevens bij aan het goed functioneren van de advocatuur als geheel en daarmee aan een goede rechtsbedeling.

Daar de regelgeving van de Orde zich slechts kan richten tot de advocaat, dient ook via de advocaat de koppeling gelegd te worden naar de personen, niet zijnde advocaat, die de advocaat wil betrekken bij de uitoefening van de praktijk.

Zo is te denken aan de secretaresse die via de advocaat in de gelegenheid wordt gesteld het authenticatiemiddel aan te vragen om toegang tot de rol te krijgen. Een andere figuur is degene die door de advocaat wordt opgedragen zorg te dragen voor de kantooropgave CCV.

De desbetreffende advocaat kan een eenmanskantoor zijn, maar hij kan ook deel uitmaken van een samenwerkingsverband.

De mate van zekerheid die nodig is bij elektronische identiteitverificatie, het vereiste authenticatieniveau, kan worden aangeduid met een zogenoemd STORK-niveau. Dit niveau is van belang om misbruik van een systeem zoveel als mogelijk tegen te kunnen gaan. Het gebruik van een bepaald niveau van authenticatie biedt nog niet de zekerheid dat de applicatie afdoende is beveiligd of dat er geen toegang door onbevoegden verkregen kan worden. Daarvoor moeten op diverse fronten extra maatregelen worden genomen, zoals flankerende systemen, fysieke toegangsbeveiliging, procedures en training van gebruikers.

De kans op misbruik van een systeem is vooral afhankelijk van het belang dat kwaadwillenden bij ongeautoriseerde toegang tot het systeem hebben.

Hoe groter de kans op misbruik en de impact daarvan hoe groter het risico. Een groter risico noopt tot een hoger beveiligingsniveau. Analyse van de onderscheiden risico’s heeft de Algemene Raad tot het besluit gebracht dat de communicatie tussen advocaten en websites beter beveiligd dient te worden. Daarbij is bijvoorbeeld te denken aan het voor het publiek afgeschermde gedeelte van de Orde-website (www.advocatenorde.nl) met daarop de uitslagen van door stagiaires afgelegde toetsen, het digitaal loket en nummerherkenning.

De vereisten die daartoe moeten worden gesteld, zijn:

• – De identiteit bij registratie wordt met een hoog niveau van zekerheid vastgesteld.

  • • Naam, geboortedatum is gecontroleerd tegen een geldig ID-bewijs;

  • • Authenticatiemiddel moet in persoon zijn uitgereikt;

  • • De uitgever(s) van het authenticatiemiddel staat/staan onder toezicht van de overheid.

• – De authenticatie vindt plaats met een smartcard, al dan niet voorzien van een certificaat, en een one-time password (OTP).

Op basis van, mede door gekwalificeerde, onafhankelijke derde partijen, uitgevoerde risicoanalyses heeft de Algemene Raad vastgesteld dat communicatie op een aanvaardbaar beveiligingsniveau mogelijk is, indien er sprake is van minimaal het beveiligingsniveau STORK-3, een beveiligingsniveau dat ook door de ketenpartners van de Orde wordt aangehouden. Dit niveau omvat het gebruik van het authenticatiemiddel op een wijze die vergelijkbaar is met elektronisch bankieren. Aan het authenticatiemiddel wordt een persoonlijke gebruikersnaam en wachtwoord gekoppeld met welk gebruik een one-time password (OTP) wordt gegenereerd. Daarmee staat vast van wie het e-mailbericht afkomstig is.

Alleen een pas, via een chip voorzien van een gekwalificeerd certificaat, biedt de hoogst mogelijke beveiligingsgraad, STORK-4. Een dergelijk beveiligingsniveau heeft alleen dan het gewenste effect als ook degene met wie gecommuniceerd wordt, werkt op STORK-4 niveau.

Het wordt aan de individuele advocaat overgelaten om voor dit beveiligingsniveau te opteren. Uitgangspunt is dat de advocaat te allen tijde zelf verantwoordelijk is voor de communicatie met zijn cliënt via een beveiligde netwerkomgeving.

De Algemene Raad onderzoekt nog of het hogere beveiligingsniveau 4 op een later moment verplicht wordt gesteld. De Adviescommissie Regelgeving geeft daarbij de Algemene Raad in overweging om te gelegener tijd te bezien of volstaan kan worden met het verplicht stellen van het beveiligingsniveau, onafhankelijk van de vraag welke leverancier het certificaat verstrekt.

In de aanloop naar de keuze van het authenticatiemiddel en de certificatiedienstverlener is de Algemene Raad zowel in juridische als in technische zin begeleid en geadviseerd door deskundigen.

De effectuering van de wijziging van de Vafi is voorzien op 1 juli 2012.

Het zal echter duidelijk zijn dat op dat moment niet alle advocaten dan wel hun gemachtigden tot de aanvraag en het gebruik van het authenticatiemiddel, in het bezit van dat middel zullen zijn.

Zoals ook in de toelichting op artikel 2d is opgenomen, is nog niet geheel duidelijk of de Algemene Raad zelf zorg draagt voor de gehele uitrol van het authenticatiemiddel of dat – ook – de Raden van Toezicht hierin een rol krijgen.

De bepalingen betreffende het authenticatiemiddel kunnen pas van toepassing zijn zodra betrokkene in het bezit is van het authenticatiemiddel. Om te voorkomen dat de advocaat het authenticatiemiddel niet aanvraagt dan wel daarmee draalt en op die wijze handhaving van de regelgeving al dan niet bewust frustreert, is in artikel 2f opgenomen dat de advocaat uiterlijk per 1 januari 2013 beschikt over het authenticatiemiddel. Op het authenticatiemiddel staat de validatietermijn vermeld.

De prijs van het authenticatiemiddel is afhankelijk van het beschermingsniveau, STORK-3 of STORK-4. Als richtprijs kan worden aangehouden € 85 voor STORK-3 en € 208 voor STORK-4. Deze bedragen worden, afhankelijk van het gewenste beschermingsniveau, eenmalig in rekening gebracht aan de advocaat. De hoogte van het bedrag voor het authenticatiemiddel is gekoppeld aan het beveiligingsniveau. Geen verschil wordt gemaakt voor het aan de advocaat uit te reiken middel en het door de advocaat aan diens gemachtigde uit te reiken authenticatiemiddel.

Na de evaluatie van de toepassing van het authenticatiemiddel wordt bezien of het gebruik van een authenticatiemiddel wordt voortgezet, in welke beschouwing in elk geval zal worden betrokken het voortschrijdend inzicht in het vereiste beschermingsniveau, de stand der techniek en het prijsindexcijfer.

Indien wordt besloten tot continuering van het gebruik van het authenticatiemiddel zal ook een nieuwe prijs worden vastgesteld voor de aanschaf van het authenticatiemiddel.

In dit artikel is de verplichting voor de advocaat opgenomen dat hij beschikt over het authenticatiemiddel met een adequaat beschermingsniveau.

De beveiligde internetomgevingen waartoe de advocaat met zijn authenticatiemiddel toegang heeft, worden in de praktijk ook bezocht door kantoormedewerkers, die geen advocaat zijn.

Daarbij is te denken aan bijvoorbeeld secretaresses, de chef de bureau of de kantoordirecteur. Gelet op wat hiervoor reeds is opgemerkt over beveiligingsniveaus, moet worden geconcludeerd dat ook een kantoormedewerker van de advocaat over een middel met STORK-3 moet kunnen beschikken. Daar advocatuurlijke regelgeving steeds de advocaat als adressaat heeft, wordt de advocaat ten behoeve van zijn praktijkuitoefening in de gelegenheid gesteld een kantoormedewerker als voornoemd schriftelijk te machtigen tot het aanvragen van het authenticatiemiddel. Nadat de kantoormedewerker gemachtigd is door de advocaat tot het aanvragen van het authenticatiemiddel kan deze kantoormedewerker gebruik maken van het authenticatiemiddel overeenkomstig het daartoe bestemde gebruik. Een kantoormedewerker kan door verschillende advocaten worden gemachtigd tot het gebruik van het authenticatiemiddel. De advocaat is verantwoordelijk voor het gebruik van het authenticatiemiddel door een kantoormedewerker of de contactpersoon voor zover deze laatste geen advocaat is.

Het authenticatiemiddel is voorzien van een kaartlezer waarmee, indien de gebruikersnaam en het wachtwoord worden ingegeven, een vijftal cijfers zichtbaar wordt dat als OTP de mogelijkheid geeft in te loggen op een beveiligde netwerkomgeving. Via de op elk authenticatiemiddel aanwezige chip is het tevens mogelijk een certificaat te laden, waarmee een STORK-4 niveau wordt bereikt. Alsdan is digitale encryptie mogelijk en kunnen documenten worden voorzien van een geautoriseerde digitale handtekening.

Het authenticatiemiddel kan voorts worden gebruikt voor kantoorspecifieke doeleinden. Waar die specifieke doeleinden bijvoorbeeld betreffen de elektronische CCV-opgave door één aan te wijzen contactpersoon, niet zijnde advocaat, kan ook deze contactpersoon worden gemachtigd het authenticatiemiddel aan te vragen en daarvan ten behoeve van zijn taakuitoefening als contactpersoon gepast gebruik maken.

Waar de advocaat geen deel uitmaakt van een samenwerkingsverband – het eenmanskantoor – kan de advocaat zelf de contactpersoon zijn als hiervoor bedoeld. Als advocaat beschikt hij reeds over een eigen authenticatiemiddel. In een dergelijke situatie kan evenwel ook een kantoormedewerker de contactpersoon zijn.

Voor het inzicht aan wie het authenticatiemiddel wordt of is uitgereikt, vindt registratie daarvan door de secretaris plaats in het One Direct-bestand dat, voor zover het de advocaat betreft, is afgeleid van het BAR. De secretaris is ingevolge artikel 8 van de Advocatenwet degene die wijzigingen verwerkt op het tableau – lees door het BAR.

Betrokkenen dienen daartoe bepaalde gegevens te verstrekken, zoals een eigen e-mailadres.

De Algemene Raad bepaalt welke gegevens van de advocaat, van een kantoormedewerker en van de contactpersoon overgelegd moeten worden ter verwerking in het One Direct-bestand waarvan een bewerking door de Algemene Raad ter beschikking wordt gesteld van de leverancier die daarmee de aanvrager c.q. de gemachtigde kan identificeren en de aanvraag tot het beschikbaar stellen van het authenticatiemiddel kan afhandelen. Als gevolg van deze gegevensverwerking heeft aanmelding bij het College bescherming persoonsgegevens plaatsgevonden.

Het authenticatiemiddel is gekoppeld aan de advocaat dan wel aan een kantoormedewerker van de advocaat of één aan te wijzen contactpersoon, niet zijnde advocaat. Zodra de grondslag aan die koppeling komt te ontvallen, mag het authenticatiemiddel niet meer worden gebruikt door de desbetreffende persoon. Teneinde dit te bewerkstelligen, moet de secretaris daarvan onverwijld op de hoogte worden gesteld opdat de secretaris de desbetreffende wijziging kan doorvoeren in het one direct-bestand en daarmee de leverancier opdracht geeft tot intrekking van het authenticatiemiddel.

Nu alleen de advocaat in de verordening de adressaat kan zijn, dient de advocaat ervoor zorg te dragen dat niet slechts in geval van beschadiging, leidend tot onbruikbaarheid van het middel, verlies of diefstal van zijn eigen authenticatiemiddel zo spoedig mogelijk melding wordt gedaan aan de secretaris, maar ook in het geval waar het betreft het authenticatiemiddel van een kantoormedewerker of de contactpersoon die door hem gemachtigd werd(en) het authenticatiemiddel aan te vragen en te gebruiken. Bij verlies of diefstal van het authenticatiemiddel ligt het voor de hand dat de advocaat daarvan aangifte bij de politie doet. Omdat de secretaris slechts op de hoogte is van het feit dat een kantoormedewerker of de contactpersoon, niet zijnde een advocaat, gemachtigd werd(en) tot het aanvragen en gebruiken van een authenticatiemiddel, maar uit eigen bevindingen niet bekend kan zijn met het feit dat de advocaat betrokkene(n) niet langer toestaat gebruik te maken van het authenticatiemiddel, dient de advocaat ook daarvan mededeling te doen aan de secretaris.

Behalve bij verlies van de hoedanigheid van advocaat dient het authenticatiemiddel ook te worden ingetrokken als de advocaat is geschorst dan wel de stage is opgeschort ingevolge het daartoe bepaalde in de Stageverordening 2005.

De advocaat kan een kantoormedewerker of de contactpersoon, niet zijnde advocaat, machtigen het authenticatiemiddel aan te vragen en te gebruiken. Zodra de aanvraag voor het authenticatiemiddel door een kantoormedewerker of de contactpersoon, niet zijnde advocaat, bij de secretaris is ingediend en deze opdracht aan de leverancier heeft gegeven het authenticatiemiddel aan betrokkene(n) te verstrekken, dient de advocaat er zorg voor te dragen dat de desbetreffende personen schriftelijk wordt bericht welk gebruik zij mogen maken van het authenticatiemiddel.

Zo zal het gebruik van het authenticatiemiddel door de contactpersoon, niet zijnde advocaat, beperkt blijven tot de toegang tot de beveiligde netwerkomgeving van de Orde ten behoeve van bijvoorbeeld de CCV-opgave, terwijl de kantoormedewerker juist toegang tot het roljournaal dient te krijgen.

Teneinde de mogelijkheid te hebben om bijvoorbeeld het beschermingsniveau van het authenticatiemiddel tussentijds aan te passen zonder dat de verordening daartoe moet worden gewijzigd, is in artikel 2e, eerste lid, onder c, opgenomen dat de Algemene Raad nadere regels kan stellen betreffende het gebruik van het authenticatiemiddel.