Verordening tot wijziging van de Verordening op de administratie en de financiële integriteit

Het College van Afgevaardigden van de Nederlandse Orde van Advocaten,

Overwegende,

  • dat gebleken is dat de internetomgevingen waarvan de advocaat gebruik maakte, onvoldoende beveiligd waren;

  • dat het gewenst is aan de Verordening op de administratie en de financiële integriteit bepalingen toe te voegen betreffende de wijze waarop de advocaat zich in persoon kan legitimeren als advocaat en ten behoeve van de toegang tot beveiligde internetomgevingen elektronisch zijn identiteit en zijn hoedanigheid van advocaat kan aantonen;

  • dat het in het belang is van een behoorlijke praktijkuitoefening dat de advocaat beschikt over het authenticatiemiddel met het daarbij behorende beschermingsniveau;

Gelet op artikel 26 en 28 Advocatenwet;

Gezien het ontwerp met toelichting van de Algemene Raad;

Gelet op de adviezen van de Adviescommissie Regelgeving en de Raad van Advies;

Stelt de navolgende verordening vast:

ARTIKEL I

Noot (1), na de tekst ‘Adv.bl.2009, nr. 16’ vervalt het leesteken punt, alsmede de woorden ‘Laatstelijk gewijzigd’ en wordt toegevoegd het woord ‘respectievelijk’.

Als laatste volzin aan de noot wordt toegevoegd ‘Laatstelijk gewijzigd bij verordening van 27 juni 2012, inwerkingtreding 1 juli 2012, Stcrt. 2012, ...’.

ARTIKEL II

Hoofdstuk I Begripsbepaling, na artikel 1, aanhef en onderdeel f, worden de volgende begripsbepalingen toegevoegd:

g. College van Afgevaardigden:

het College van Afgevaardigden bedoeld in artikel 19 van de Advocatenwet;

h. Authenticatiemiddel:

het door de Algemene Raad vastgestelde en in persoon uit te reiken middel waarmee

  • a. de advocaat zich fysiek kan legitimeren en ten behoeve van communicatie binnen beveiligde internetomgevingen zijn hoedanigheid van advocaat en identiteit langs elektronische weg kan aantonen;

  • b. de door de advocaat gemachtigde kantoormedewerker en contactpersoon hun identiteit langs elektronische weg kunnen aantonen om ten behoeve van de advocaat toegang te hebben tot door de advocaat aan te wijzen beveiligde internetomgevingen;

i. Leverancier:

de onderneming die door de Algemene Raad is belast met het vervaardigen van het authenticatiemiddel en certificaten, alsmede met de afhandeling van de aanvraag daarvan;

j. Certificaat:

de op het authenticatiemiddel opgeslagen elektronische bevestiging die gegevens voor het verifiëren van een elektronische handtekening verbindt met een bepaalde persoon en de identiteit van die persoon bevestigt;

k. Kantoormedewerker:

degene die door de advocaat gemachtigd is het authenticatiemiddel aan te vragen en daarvan gebruik te maken ten behoeve van die advocaat;

l. Contactpersoon:
  • de advocaat die,

    of

  • degene die door de advocaat, belast is met gegevensverstrekking aan de secretaris met gebruikmaking van het authenticatiemiddel;

De onderdelen g tot en met k worden verletterd van: m tot en met p.

ARTIKEL III

Na Hoofdstuk II Administratie wordt ingevoegd Hoofdstuk IIa Authenticatiemiddel.

ARTIKEL IV

Artikel 2a komt te luiden:

Artikel 2a

  • 1. De advocaat beschikt over een door de Algemene Raad vast te stellen authenticatiemiddel met het daarbij behorende beschermingsniveau en is verantwoordelijk voor het gebruik daarvan.

  • 2. De advocaat kan een kantoormedewerker of de contactpersoon, niet zijnde advocaat, machtigen het authenticatiemiddel aan te vragen.

  • 3. Ten behoeve van het authenticatiemiddel heeft de advocaat een persoonlijk e-mailadres en draagt er zorg voor dat de personen bedoeld in het tweede lid eveneens een persoonlijk e-mailadres hebben.

  • 4. De advocaat deelt aan de secretaris mede wie hij heeft gemachtigd het authenticatiemiddel aan te vragen en te gebruiken.

  • 5. Bij de aanvraag van het authenticatiemiddel verstrekt de advocaat respectievelijk de kantoormedewerker en de contactpersoon, niet zijnde advocaat, de secretaris de nader door de Algemene Raad te bepalen gegevens.

  • 6. De advocaat is verantwoordelijk voor het gebruik van het authenticatiemiddel door de door hem gemachtigde kantoormedewerker respectievelijk de contactpersoon, niet zijnde advocaat.

ARTIKEL V

Artikel 2b komt te luiden:

Artikel 2b

  • 1. Het authenticatiemiddel heeft een geldigheidsduur van maximaal drie jaren, te rekenen vanaf de datum van afgifte.

  • 2. Het College van Afgevaardigden stelt de vergoeding voor het authenticatiemiddel vast voor de in het eerste lid genoemde periode.

  • 3. De vergoeding voor het authenticatiemiddel wordt in rekening gebracht aan de advocaat

    • a. aan wie het authenticatiemiddel beschikbaar wordt gesteld;

    • b. die een kantoormedewerker of de contactpersoon, niet zijnde advocaat, heeft gemachtigd tot de aanvraag en het gebruik van het authenticatiemiddel.

  • 4. Geen restitutie vindt plaats voor een korter gebruik van het authenticatiemiddel dan de geldigheidsduur daarvan.

ARTIKEL VI

Artikel 2c komt te luiden:

Artikel 2c

  • 1. De advocaat doet onverwijld mededeling aan de secretaris van feiten die de geldigheid van het authenticatiemiddel betreffen en in elk geval bij

    • a. ernstige beschadiging, verlies of diefstal van zijn authenticatiemiddel;

    • b. ernstige beschadiging, verlies of diefstal van het authenticatiemiddel van een door hem gemachtigde kantoormedewerker of de contactpersoon, niet zijnde advocaat;

    • c. intrekking van de bevoegdheid gebruik te maken van het authenticatiemiddel door een daartoe gemachtigde kantoormedewerker of de contactpersoon, niet zijnde advocaat.

  • 2. De secretaris geeft de leverancier onverwijld opdracht het authenticatiemiddel zo spoedig mogelijk in te trekken:

    • a. in de gevallen genoemd in het eerste lid;

    • b. bij verlies van de hoedanigheid van advocaat;

    • c. bij schorsing van de advocaat;

    • d. bij opschorting van de stage.

  • 3. Beschikbaarstelling van een nieuw authenticatiemiddel vindt plaats tegen de vergoeding bedoeld in artikel 2b, tweede lid.

ARTIKEL VII

Artikel 2d komt te luiden:

Artikel 2d

De Algemene Raad

  • 1. vergewist zich ervan dat de leverancier voldoet aan de vereisten geldend voor certificatiedienstverleners als bedoeld in de Telecommunicatiewet, in het bijzonder Hoofdstuk 2;

  • 2. draagt zorg voor de verwerking van de aanvrage en ter beschikkingstelling van het authenticatiemiddel door de leverancier met alle daarbij behorende taken, waarbij verificatie van de identiteit van de aanvrager voorop staat;

  • 3. brengt ten minste twee keer per jaar verslag uit aan het College van Afgevaardigden over de bevindingen met het authenticatiemiddel.

ARTIKEL VIII

Artikel 2e komt te luiden:

Artikel 2e

  • 1. De advocaat gebruikt het authenticatiemiddel

    • a. in bij of krachtens enige wet verplicht gestelde legitimatie als advocaat;

    • b. ter verkrijging van de toegang tot voor de praktijkuitoefening relevante door de Algemene Raad aangewezen beveiligde internetomgevingen;

    • c. overeenkomstig het door de Algemene Raad bij nadere regeling bepaalde.

  • 2. De advocaat draagt er zorg voor dat een kantoormedewerker en de contactpersoon, niet zijnde advocaat, het authenticatiemiddel gebruiken conform diens schriftelijke opdracht en met inachtneming van het in dit hoofdstuk bepaalde.

ARTIKEL IX

Artikel 2f komt te luiden:

Artikel 2f

  • 1. De advocaat beschikt uiterlijk per 1 januari 2013 over het authenticatiemiddel bedoeld in artikel 2a.

  • 2. De geldigheid van de Advocatenpas expireert op het moment dat de advocaat beschikt over het authenticatiemiddel bedoeld in artikel 2a, doch uiterlijk op 31 december 2012.

ARTIKEL X

Artikel 2g komt te luiden:

Artikel 2g

  • 1. Uiterlijk twee jaar na de inwerkingtreding van dit hoofdstuk vindt een evaluatie van de toepassing van het authenticatiemiddel plaats door de Algemene Raad.

  • 2. De uitkomsten van de evaluatie bedoeld in het eerste lid worden uiterlijk zes maanden voor het verstrijken van de termijn bedoeld in artikel 2b, eerste lid, ter kennis gebracht van het College van Afgevaardigden.

TOELICHTING

Aanleiding, strekking en verplichting Naar aanleiding van de problemen in de zomer van 2011 met de toenmalige certificatiedienstverlener voor elektronische identificatie heeft de Algemene Raad het vertrouwen opgezegd in deze leverancier. Naar later is gebleken hebben ook andere instanties zich gedistantieerd van de desbetreffende certificatiedienstverlener met als gevolg het faillissement van deze leverancier. (Mede) als gevolg daarvan moest worden omgezien naar een andere certificatiedienstverlener.

Met de verplichting voor de advocaat om te beschikken over een door de Algemene Raad aan te wijzen authenticatiemiddel met een minimaal door de Algemene Raad vast te stellen beschermingsniveau teneinde veilig te kunnen communiceren met de Nederlandse Orde van Advocaten, de plaatselijke Orde(n) van Advocaten, de roljournaals van de rechtspraak, de Raad voor Rechtsbijstand en nog nader door de Algemene Raad aan te wijzen beveiligde internetomgevingen, geeft de Algemene Raad gevolg aan het bepaalde in artikel 26 van de Advocatenwet. Met het authenticatiemiddel kan de advocaat zich zowel in persoon als langs elektronische weg legitimeren, in het laatste geval om zijn hoedanigheid van advocaat en identiteit aan te tonen om toegang te verkrijgen tot beveiligde internetomgevingen.

Behalve het digitale verkeer van de advocaat, dan wel van een kantoorgenoot, niet zijnde advocaat, maar wel werkend onder de verantwoordelijkheid van die advocaat, binnen beveiligde netwerken ten behoeve van de cliënt, maar niet primair met de cliënt, is het authenticatiemiddel dus ook de vervanger van de advocatenpas.

Om tot de keuze van de certificatiedienstverlener te komen, is bezien of hiertoe een aanbestedingsprocedure zou moeten worden gevolgd. Volgens extern ingewonnen juridisch advies is de Orde naar de huidige stand van de jurisprudentie geen aanbestedende dienst.

Tot de keuze van de certificatiedienstverlener is gekomen na overleg met een drietal potentiële leveranciers, waarvan er één niet voldeed aan de door de Orde gestelde eisen en een tweede onvoldoende geëquipeerd bleek te zijn om uitvoering te kunnen geven aan het gehele proces.

Ingevolge het bepaalde in artikel 12, eerste lid, van de Verordening op de administratie en de financiële integriteit (Vafi) en artikel 5 van de Verordening op de vakbekwaamheid is de advocaat verplicht de deken of de namens de deken optredende secretaris te informeren of hij voldaan heeft aan de hem in die verordeningen opgelegde verplichtingen. Voor het aanleveren van die informatie zal de deken of de secretaris legitimatie verlangen door middel van het authenticatiemiddel.

In verband met het beleid van de Algemene Raad te dereguleren waar mogelijk, is de keuze gemaakt aansluiting te zoeken bij een bestaande verordening. In eerste instantie was de idee om na artikel 4 van de Verordening op de vakbekwaamheid enkele bepalingen in te voegen. Daar genoemde verordening niet ziet op stagiaires zou noodzakelijkerwijs ook de Stageverordening 2005 overeenkomstige aanpassing behoeven.

Anders dan de twee genoemde verordeningen is de Vafi op alle in Nederland ingeschreven advocaten, alsmede de advocaat bedoeld in artikel 16h van de Advocatenwet, van toepassing.

De Vafi bevat bepalingen betreffende een behoorlijke inrichting van de administratie van de praktijkvoering. Voorts dient de advocaat volgens deze verordening te beschikken over een Stichting derdengelden en dient hij verzekerd te zijn tegen beroepsaansprakelijkheid. Daarnaast ziet de verordening op verplichtingen omtrent het betalingsverkeer, alsmede op verplichtingen die betrekking hebben op de naleving van de Wet ter voorkoming van witwassen en financieren van terrorisme.

Tevens is in de Vafi de verplichting opgenomen dat de advocaat desgevraagd informatie verschaft ten aanzien van de in de Vafi opgenomen verplichtingen en de verplichting desgewenst een beschrijving te geven van de wijze waarop aan die verplichting wordt voldaan.

Gelet op de reikwijdte en de aard van de Vafi heeft de Algemene Raad besloten om overeenkomstig het advies van de Adviescommissie Regelgeving de bepalingen betreffende het authenticatiemiddel op te nemen in de Vafi.

Registratie, aanmelding en vertrouwelijkheid

In artikel 2.1.5 van de Telecommunicatiewet is bepaald dat voor het aanbieden of afgeven van gekwalificeerde certificaten aan het publiek – lees in casu: de advocaat- registratie door de OPTA vereist is van de certificatiedienstverlener die in Nederland een vestiging heeft. Te dezen is de certificatiedienstverlener de leverancier bedoeld in artikel 1, aanhef en onderdeel i, van deze verordening. De leverancier ontwikkelt in opdracht en voor rekening van de Algemene Raad het authenticatiemiddel dat de advocaat in staat stelt zich te legitimeren- en in die zin de voormalige advocatenpas vervangt- en hem voorts in staat stelt langs elektronische weg zijn identiteit en hoedanigheid van advocaat aan te tonen ten behoeve van zijn communicatie met derden via door de Algemene Raad als zodanig aangewezen beveiligde internetomgevingen.

Een authenticatiemethode beschrijft de uitgifte van het authenticatiemiddel, het authenticatiemiddel zelf en de methode om met dit middel een authenticatie uit te voeren.

Er is sprake van authenticatie als wordt gecontroleerd of een gebruiker van een elektronisch netwerk, die zich aanmeldt bij dat netwerk, ook werkelijk degene is die hij zegt te zijn. Authenticatie gaat vaak samen met autorisatie bij het controleren van toegang tot systemen.

De meest gebruikte authenticatiemethode is de gebruikersnaam/wachtwoordcombinatie. Een veiliger manier om vast te stellen of de juiste persoon toegang krijgt tot een systeem is bijvoorbeeld het gebruik van een digitaal certificaat waarmee ook een geautoriseerde digitale handtekening kan worden gegenereerd.

Naast gebruikersnaam en wachtwoord kan gebruik worden gemaakt van bijvoorbeeld pinpasnummers, smartcards of vingerafdrukken.

De gegevens van advocaten, neergelegd in BAR (Beheer Advocaten Registratie) kunnen ten dienste gesteld worden aan het door of namens de Algemene Raad te voeren identitymanagement.

De secretaris is ingevolge artikel 8 van de Advocatenwet verantwoordelijk – in de zin van de Wet bescherming persoonsgegevens – voor de gegevensverwerking tot het moment van verstrekking van die gegevens aan de leverancier. De leverancier is verantwoordelijk voor het beheer van de gegevens vanaf het moment dat deze de gegevens ontvangt. Dit laat evenwel de zorgplicht van de Orde voor de goede gang van zaken betreffende de gegevensverwerking door de certificatiedienstverlener onverlet.

De gegevensverwerking is bij meldingsformulier van 24 april 2012 gemeld aan het College bescherming persoonsgegevens.

Doel van de gegevensverzameling en verwerking is een beveiligde internetomgeving ter bescherming van de kernwaarde van de vertrouwelijkheid. Dit draagt tevens bij aan het goed functioneren van de advocatuur als geheel en daarmee aan een goede rechtsbedeling.

Daar de regelgeving van de Orde zich slechts kan richten tot de advocaat, dient ook via de advocaat de koppeling gelegd te worden naar de personen, niet zijnde advocaat, die de advocaat wil betrekken bij de uitoefening van de praktijk.

Zo is te denken aan de secretaresse die via de advocaat in de gelegenheid wordt gesteld het authenticatiemiddel aan te vragen om toegang tot de rol te krijgen. Een andere figuur is degene die door de advocaat wordt opgedragen zorg te dragen voor de kantooropgave CCV.

De desbetreffende advocaat kan een eenmanskantoor zijn, maar hij kan ook deel uitmaken van een samenwerkingsverband.

De mate van zekerheid die nodig is bij elektronische identiteitverificatie, het vereiste authenticatieniveau, kan worden aangeduid met een zogenoemd STORK-niveau. Dit niveau is van belang om misbruik van een systeem zoveel als mogelijk tegen te kunnen gaan. Het gebruik van een bepaald niveau van authenticatie biedt nog niet de zekerheid dat de applicatie afdoende is beveiligd of dat er geen toegang door onbevoegden verkregen kan worden. Daarvoor moeten op diverse fronten extra maatregelen worden genomen, zoals flankerende systemen, fysieke toegangsbeveiliging, procedures en training van gebruikers.

De kans op misbruik van een systeem is vooral afhankelijk van het belang dat kwaadwillenden bij ongeautoriseerde toegang tot het systeem hebben.

Hoe groter de kans op misbruik en de impact daarvan hoe groter het risico. Een groter risico noopt tot een hoger beveiligingsniveau. Analyse van de onderscheiden risico’s heeft de Algemene Raad tot het besluit gebracht dat de communicatie tussen advocaten en websites beter beveiligd dient te worden. Daarbij is bijvoorbeeld te denken aan het voor het publiek afgeschermde gedeelte van de Orde-website (www.advocatenorde.nl) met daarop de uitslagen van door stagiaires afgelegde toetsen, het digitaal loket en nummerherkenning.

De vereisten die daartoe moeten worden gesteld, zijn:

  • De identiteit bij registratie wordt met een hoog niveau van zekerheid vastgesteld.

    • Naam, geboortedatum is gecontroleerd tegen een geldig ID-bewijs;

    • Authenticatiemiddel moet in persoon zijn uitgereikt;

    • De uitgever(s) van het authenticatiemiddel staat/staan onder toezicht van de overheid.

  • De authenticatie vindt plaats met een smartcard, al dan niet voorzien van een certificaat, en een one-time password (OTP).

Op basis van, mede door gekwalificeerde, onafhankelijke derde partijen, uitgevoerde risicoanalyses heeft de Algemene Raad vastgesteld dat communicatie op een aanvaardbaar beveiligingsniveau mogelijk is, indien er sprake is van minimaal het beveiligingsniveau STORK-3, een beveiligingsniveau dat ook door de ketenpartners van de Orde wordt aangehouden. Dit niveau omvat het gebruik van het authenticatiemiddel op een wijze die vergelijkbaar is met elektronisch bankieren. Aan het authenticatiemiddel wordt een persoonlijke gebruikersnaam en wachtwoord gekoppeld met welk gebruik een one-time password (OTP) wordt gegenereerd. Daarmee staat vast van wie het e-mailbericht afkomstig is.

Alleen een pas, via een chip voorzien van een gekwalificeerd certificaat, biedt de hoogst mogelijke beveiligingsgraad, STORK-4. Een dergelijk beveiligingsniveau heeft alleen dan het gewenste effect als ook degene met wie gecommuniceerd wordt, werkt op STORK-4 niveau.

Het wordt aan de individuele advocaat overgelaten om voor dit beveiligingsniveau te opteren. Uitgangspunt is dat de advocaat te allen tijde zelf verantwoordelijk is voor de communicatie met zijn cliënt via een beveiligde netwerkomgeving.

De Algemene Raad onderzoekt nog of het hogere beveiligingsniveau 4 op een later moment verplicht wordt gesteld. De Adviescommissie Regelgeving geeft daarbij de Algemene Raad in overweging om te gelegener tijd te bezien of volstaan kan worden met het verplicht stellen van het beveiligingsniveau, onafhankelijk van de vraag welke leverancier het certificaat verstrekt.

In de aanloop naar de keuze van het authenticatiemiddel en de certificatiedienstverlener is de Algemene Raad zowel in juridische als in technische zin begeleid en geadviseerd door deskundigen.

Inwerkingtreding

De effectuering van de wijziging van de Vafi is voorzien op 1 juli 2012.

Het zal echter duidelijk zijn dat op dat moment niet alle advocaten dan wel hun gemachtigden tot de aanvraag en het gebruik van het authenticatiemiddel, in het bezit van dat middel zullen zijn.

Zoals ook in de toelichting op artikel 2d is opgenomen, is nog niet geheel duidelijk of de Algemene Raad zelf zorg draagt voor de gehele uitrol van het authenticatiemiddel of dat – ook – de Raden van Toezicht hierin een rol krijgen.

De bepalingen betreffende het authenticatiemiddel kunnen pas van toepassing zijn zodra betrokkene in het bezit is van het authenticatiemiddel. Om te voorkomen dat de advocaat het authenticatiemiddel niet aanvraagt dan wel daarmee draalt en op die wijze handhaving van de regelgeving al dan niet bewust frustreert, is in artikel 2f opgenomen dat de advocaat uiterlijk per 1 januari 2013 beschikt over het authenticatiemiddel. Op het authenticatiemiddel staat de validatietermijn vermeld.

Financiële paragraaf

De prijs van het authenticatiemiddel is afhankelijk van het beschermingsniveau, STORK-3 of STORK-4. Als richtprijs kan worden aangehouden € 85 voor STORK-3 en € 208 voor STORK-4. Deze bedragen worden, afhankelijk van het gewenste beschermingsniveau, eenmalig in rekening gebracht aan de advocaat. De hoogte van het bedrag voor het authenticatiemiddel is gekoppeld aan het beveiligingsniveau. Geen verschil wordt gemaakt voor het aan de advocaat uit te reiken middel en het door de advocaat aan diens gemachtigde uit te reiken authenticatiemiddel.

Na de evaluatie van de toepassing van het authenticatiemiddel wordt bezien of het gebruik van een authenticatiemiddel wordt voortgezet, in welke beschouwing in elk geval zal worden betrokken het voortschrijdend inzicht in het vereiste beschermingsniveau, de stand der techniek en het prijsindexcijfer.

Indien wordt besloten tot continuering van het gebruik van het authenticatiemiddel zal ook een nieuwe prijs worden vastgesteld voor de aanschaf van het authenticatiemiddel.

Artikelgewijs

Artikel 2a

In dit artikel is de verplichting voor de advocaat opgenomen dat hij beschikt over het authenticatiemiddel met een adequaat beschermingsniveau.

De beveiligde internetomgevingen waartoe de advocaat met zijn authenticatiemiddel toegang heeft, worden in de praktijk ook bezocht door kantoormedewerkers, die geen advocaat zijn.

Daarbij is te denken aan bijvoorbeeld secretaresses, de chef de bureau of de kantoordirecteur. Gelet op wat hiervoor reeds is opgemerkt over beveiligingsniveaus, moet worden geconcludeerd dat ook een kantoormedewerker van de advocaat over een middel met STORK-3 moet kunnen beschikken. Daar advocatuurlijke regelgeving steeds de advocaat als adressaat heeft, wordt de advocaat ten behoeve van zijn praktijkuitoefening in de gelegenheid gesteld een kantoormedewerker als voornoemd schriftelijk te machtigen tot het aanvragen van het authenticatiemiddel. Nadat de kantoormedewerker gemachtigd is door de advocaat tot het aanvragen van het authenticatiemiddel kan deze kantoormedewerker gebruik maken van het authenticatiemiddel overeenkomstig het daartoe bestemde gebruik. Een kantoormedewerker kan door verschillende advocaten worden gemachtigd tot het gebruik van het authenticatiemiddel. De advocaat is verantwoordelijk voor het gebruik van het authenticatiemiddel door een kantoormedewerker of de contactpersoon voor zover deze laatste geen advocaat is.

Het authenticatiemiddel is voorzien van een kaartlezer waarmee, indien de gebruikersnaam en het wachtwoord worden ingegeven, een vijftal cijfers zichtbaar wordt dat als OTP de mogelijkheid geeft in te loggen op een beveiligde netwerkomgeving. Via de op elk authenticatiemiddel aanwezige chip is het tevens mogelijk een certificaat te laden, waarmee een STORK-4 niveau wordt bereikt. Alsdan is digitale encryptie mogelijk en kunnen documenten worden voorzien van een geautoriseerde digitale handtekening.

Het authenticatiemiddel kan voorts worden gebruikt voor kantoorspecifieke doeleinden. Waar die specifieke doeleinden bijvoorbeeld betreffen de elektronische CCV-opgave door één aan te wijzen contactpersoon, niet zijnde advocaat, kan ook deze contactpersoon worden gemachtigd het authenticatiemiddel aan te vragen en daarvan ten behoeve van zijn taakuitoefening als contactpersoon gepast gebruik maken.

Waar de advocaat geen deel uitmaakt van een samenwerkingsverband – het eenmanskantoor – kan de advocaat zelf de contactpersoon zijn als hiervoor bedoeld. Als advocaat beschikt hij reeds over een eigen authenticatiemiddel. In een dergelijke situatie kan evenwel ook een kantoormedewerker de contactpersoon zijn.

Voor het inzicht aan wie het authenticatiemiddel wordt of is uitgereikt, vindt registratie daarvan door de secretaris plaats in het One Direct-bestand dat, voor zover het de advocaat betreft, is afgeleid van het BAR. De secretaris is ingevolge artikel 8 van de Advocatenwet degene die wijzigingen verwerkt op het tableau – lees door het BAR.

Betrokkenen dienen daartoe bepaalde gegevens te verstrekken, zoals een eigen e-mailadres.

De Algemene Raad bepaalt welke gegevens van de advocaat, van een kantoormedewerker en van de contactpersoon overgelegd moeten worden ter verwerking in het One Direct-bestand waarvan een bewerking door de Algemene Raad ter beschikking wordt gesteld van de leverancier die daarmee de aanvrager c.q. de gemachtigde kan identificeren en de aanvraag tot het beschikbaar stellen van het authenticatiemiddel kan afhandelen. Als gevolg van deze gegevensverwerking heeft aanmelding bij het College bescherming persoonsgegevens plaatsgevonden.

Artikel 2b

De ontwikkelkosten van het authenticatiemiddel komen voor rekening van de Nederlandse Orde van Advocaten. De kosten voor het authenticatiemiddel zelf worden echter aan de advocaat in rekening gebracht. Dit geldt ook voor het authenticatiemiddel dat aan een kantoormedewerker of een contactpersoon ter beschikking is gesteld. Voorafgaand aan de afgifte aan de advocaat van het authenticatiemiddel voor de periode van de geldingsduur van het authenticatiemiddel wordt het authenticatiemiddel aan de advocaat in rekening gebracht. Aan de advocaat worden in voorkomend geval tevens de kosten in rekening gebracht voor het authenticatiemiddel van een kantoorgenoot of de contactpersoon, niet zijnde advocaat, die hij heeft gemachtigd het authenticatiemiddel aan te vragen en te gebruiken. Bij een, om welke reden dan ook, korter gebruik dan de geldigheidsduur van het authenticatiemiddel vindt geen (gedeeltelijke) restitutie plaats van het bedrag dat betaald is voor het authenticatiemiddel.

De hoogte van de vergoeding van het authenticatiemiddel wordt door het College van Afgevaardigden vastgesteld als onderdeel van de begroting en jaarrekening.

Artikel 2c

Het authenticatiemiddel is gekoppeld aan de advocaat dan wel aan een kantoormedewerker van de advocaat of één aan te wijzen contactpersoon, niet zijnde advocaat. Zodra de grondslag aan die koppeling komt te ontvallen, mag het authenticatiemiddel niet meer worden gebruikt door de desbetreffende persoon. Teneinde dit te bewerkstelligen, moet de secretaris daarvan onverwijld op de hoogte worden gesteld opdat de secretaris de desbetreffende wijziging kan doorvoeren in het one direct-bestand en daarmee de leverancier opdracht geeft tot intrekking van het authenticatiemiddel.

Nu alleen de advocaat in de verordening de adressaat kan zijn, dient de advocaat ervoor zorg te dragen dat niet slechts in geval van beschadiging, leidend tot onbruikbaarheid van het middel, verlies of diefstal van zijn eigen authenticatiemiddel zo spoedig mogelijk melding wordt gedaan aan de secretaris, maar ook in het geval waar het betreft het authenticatiemiddel van een kantoormedewerker of de contactpersoon die door hem gemachtigd werd(en) het authenticatiemiddel aan te vragen en te gebruiken. Bij verlies of diefstal van het authenticatiemiddel ligt het voor de hand dat de advocaat daarvan aangifte bij de politie doet. Omdat de secretaris slechts op de hoogte is van het feit dat een kantoormedewerker of de contactpersoon, niet zijnde een advocaat, gemachtigd werd(en) tot het aanvragen en gebruiken van een authenticatiemiddel, maar uit eigen bevindingen niet bekend kan zijn met het feit dat de advocaat betrokkene(n) niet langer toestaat gebruik te maken van het authenticatiemiddel, dient de advocaat ook daarvan mededeling te doen aan de secretaris.

Behalve bij verlies van de hoedanigheid van advocaat dient het authenticatiemiddel ook te worden ingetrokken als de advocaat is geschorst dan wel de stage is opgeschort ingevolge het daartoe bepaalde in de Stageverordening 2005.

Artikel 2d

Gelet op de aanleiding voor de totstandkoming van de bepalingen betreffende het authenticatiemiddel hecht de Algemene Raad eraan dat een van overheidswege geregistreerde leverancier zorg draagt voor de ontwikkeling van het authenticatiemiddel, alsmede voor de aanvraag en de afhandeling van de aanvraag van het authenticatiemiddel en daartoe alles in het werk stelt ter verzekering van het feit dat het persoonsgebonden middel ook daadwerkelijk in het bezit komt van de desbetreffende persoon. De Algemene Raad acht het niet uitgesloten dat besloten wordt tot een nadere regeling waarin de mogelijkheid wordt opgenomen dat de Raden van Toezicht met de verwerking van de aanvrage en uitgifte van het authenticatiemiddel worden belast. Hiertoe bestaat ingevolge artikel 2e, eerste lid, onder c, de mogelijkheid. Vooralsnog acht de Algemene Raad het wenselijk de procedure centraal te houden en aan de hand van door de leverancier uit te brengen rapportages te bezien wat de ervaring is met zowel de leverancier zelf als met de procedure van (afhandeling van) de aanvraag. Afhankelijk van de uitkomsten van bedoelde rapportages zal worden besloten in hoeverre het (financieel) wenselijk is de procedure bij de plaatselijke Orden onder te brengen. De Algemene Raad informeert het College van Afgevaardigden periodiek over de ervaringen met het authenticatiemiddel.

Artikel 2e

De advocaat kan een kantoormedewerker of de contactpersoon, niet zijnde advocaat, machtigen het authenticatiemiddel aan te vragen en te gebruiken. Zodra de aanvraag voor het authenticatiemiddel door een kantoormedewerker of de contactpersoon, niet zijnde advocaat, bij de secretaris is ingediend en deze opdracht aan de leverancier heeft gegeven het authenticatiemiddel aan betrokkene(n) te verstrekken, dient de advocaat er zorg voor te dragen dat de desbetreffende personen schriftelijk wordt bericht welk gebruik zij mogen maken van het authenticatiemiddel.

Zo zal het gebruik van het authenticatiemiddel door de contactpersoon, niet zijnde advocaat, beperkt blijven tot de toegang tot de beveiligde netwerkomgeving van de Orde ten behoeve van bijvoorbeeld de CCV-opgave, terwijl de kantoormedewerker juist toegang tot het roljournaal dient te krijgen.

Teneinde de mogelijkheid te hebben om bijvoorbeeld het beschermingsniveau van het authenticatiemiddel tussentijds aan te passen zonder dat de verordening daartoe moet worden gewijzigd, is in artikel 2e, eerste lid, onder c, opgenomen dat de Algemene Raad nadere regels kan stellen betreffende het gebruik van het authenticatiemiddel.

Artikel 2f

De bepalingen van dit Hoofdstuk treden per 1 juli 2012 inwerking. Met ingang van laatstgenoemde datum is elke advocaat verplicht het authenticatiemiddel aan te vragen en medewerking te verlenen aan het in persoon in ontvangst nemen van het authenticatiemiddel. In de praktijk betekent dit dat niet iedereen op hetzelfde tijdstip zal beschikken over het authenticatiemiddel. In verband met het toezicht op de naleving van de regelgeving is een overgangstermijn opgenomen die bepaalt op welk moment de advocaat uiterlijk over een authenticatiemiddel dient te beschikken. Dit betekent niet dat van toezicht eerst sprake is per 1 januari 2013, maar vanaf het tijdstip dat de advocaat beschikt dan wel realiter kan beschikken over het authenticatiemiddel. Omdat op de advocatenpas een geldigheidsdatum is opgenomen, die kan zijn gesteld op een datum na 1 januari 2013, is de bepaling opgenomen dat de advocatenpas zijn geldigheid verliest zodra de advocaat beschikt dan wel dient te beschikken over het authenticatiemiddel.

Artikel 2g

De geldigheidsduur van het authenticatiemiddel is op maximaal drie jaar gesteld, te rekenen vanaf het moment van uitgifte. Gedurende deze periode vindt monitoring en tussentijdse evaluatie plaats. Afhankelijk van de uitkomst van die evaluatie zal worden bezien of aan de toepassing van het authenticatiemiddel een vervolg wordt gegeven, waarbij verdere digitalisering van procedures enerzijds en anderzijds de high trust-gedachte die de Algemene Raad de advocaat toekent waar het betreft de juistheid van de gegevens, een rol zal spelen. Voorts zal in de evaluatie worden betrokken de vraag in hoeverre een hoger beveiligingsniveau wenselijk is en hoe de geldigheidsduur op het fysieke authenticatiemiddel tot uitdrukking wordt gebracht. Bewust is voor een termijn van twee jaar gekozen om de uitkomst van de door de Algemene Raad uit te voeren evaluatie tijdig aan het College van Afgevaardigden kenbaar te kunnen maken, opdat spoedig inzicht bestaat over de ervaringen met het authenticatiemiddel en welke stappen vervolgens moeten worden genomen.

Naar boven