KPN Lokale Overheid Certification Practice Statement

Transcriptie

1 KPN Lokale Overheid Certification Practice Statement Versie 2.0 Den Haag, december 2015

2 Inhoudsopgave Lijst met afkortingen... 5 Begrippenlijst Inleiding Overzicht Certificaat klassen Certificaat typen Opbouw CPS Geldigheid CPS Identificatie Unieke document identificatoren Gebruikersgemeenschap en toepassingsgebied Certificatie Autoriteiten Registratie Autoriteiten Eindgebruikers of eind entiteiten Toepassingsgebied Contact informatie Informatie met betrekking tot de organisatie Contact persoon Vaststelling toepasbaarheid CPS op CP Normenkader Algemene bepalingen Verplichtingen Verplichtingen van de CA Verplichtingen van de RA Verplichtingen van de LRA Verplichtingen van de Certificaathouder Verplichtingen van de Vertrouwende Partij Aansprakelijkheid Aanvaarding van aansprakelijkheid Aansprakelijkheid voor onjuiste gegevens, onjuiste identificatie ondertekenaar en niet-functionerende software Ontbreken van in redelijkheid vertrouwen Uitsluiting aansprakelijkheid Financiële verantwoordelijkheid Vrijwaring door vertrouwende partijen Interpretatie en handhaving Toepasselijk recht Partiële geldigheid, aanvulling, kennisgeving Geschilbeslechting Tarieven Certificaat uitgifte en heruitgifte tarieven Certificaat toegangstarieven Revocatie of status informatie toegangstarieven Tarieven voor andere diensten zoals informatie omtrent policies Restitutie beleid Publicatie en elektronische opslagplaats Publicatie van CSP informatie Publicatie frequentie Toegang tot gepubliceerde informatie Elektronische opslagplaats Conformiteitsbeoordeling Vertrouwelijkheid Vertrouwelijke informatie Niet-vertrouwelijke informatie

3 2.8.3 Openbaarmaking van certificaat intrekkinginformatie Verstrekking aan opsporingsambtenaren Verstrekking in verband met privaatrechtelijke bewijsvoering Verstrekking op verzoek van de eigenaar Andere omstandigheden die kunnen leiden tot informatieverstrekking Intellectuele eigendom Identificatie en authenticatie Initiële registratie Type namen Noodzaak van betekenisvolle naamgeving Regels voor interpretatie van verschillende wijze van naamgeving Uniciteit van namen Naamgeving geschil beslechting Erkenning, authenticatie en de rol van merknamen Methode om bezit van private sleutel aan te tonen Authenticatie van organisatorische identiteit Authenticatie en identificatie van de aanvrager Routinematige sleutel herverstrekking Vernieuwing van sleutels na intrekking van het certificaat Verzoeken tot intrekking Operationele voorwaarden en vereisten Certificaataanvraag Uitgifte van certificaten Acceptatie van certificaten Intrekking van certificaten Omstandigheden die leiden tot intrekking Wie mag een verzoek tot intrekking doen? Procedure voor een verzoek tot intrekking Intrekkingsverzoek respijt periode Omstandigheden die leiden tot schorsing Vereisten m.b.t. checken van CRL Beschikbaarheid van de mogelijkheid online intrekking/status te checken Limiet aan schorsingsperiode Frequentie CRL aanpassing Security Audit Procedures Vastlegging van gebeurtenissen Bewaartermijn audit-log Audit-log back-up procedure Archivering van documenten Wijziging sleutel Compromittering en calamiteit herstel CSP beëindiging Fysieke, Procedurele en Personele Beveiligings Middelen Fysieke en omgevings beveiliging Fysieke Beveiligingsmiddelen Procedurele beveiligings middelen Personele beveiligingsmiddelen Technische beveiligingsmiddelen Genereren van sleutelparen en installatie Genereren van sleutelparen Overdracht van private sleutel aan eindgebruiker Beschikbaarheid publieke sleutels Overdracht van de publieke sleutel van CSP aan eindgebruikers Sleutellengtes Genereren van publieke sleutel parameters Kwaliteits check parameters

4 6.1.8 Genereren van sleutels in hardware/software Doeleinden sleutel gebruik (volgens het X.509 v3 key usage veld) Bescherming van de private sleutel Standaarden voor cryptografische module Multi-persoons (n uit m) controle op private sleutel Private sleutel escrow Backup private sleutel Private sleutel archivering Toegang tot private sleutels in cryptografische module Activering van de private sleutels Deactivering van de private sleutels Methode voor het vernietigen van de private sleutels Andere aspecten van sleutelpaar management Archiveren van publieke sleutels Gebruiksduur voor de publieke en private sleutels Activeringsgegevens Genereren en installeren van activeringsgegevens Activeringsgegevens bescherming Computer beveiligingsbeheer Specifieke technische vereisten ten aanzien van de computerbeveiliging Computer beveiligingsclassificatie Technische middelen m.b.t. levenscyclus Netwerk beveiligingsmiddelen Beveiliging bij ontwikkeling van cryptografische onderdelen Certificaat en CRL Profielen Certificaat Profiel CRL Profiel Specificatie Beheer Specificatie procedure wijziging CPS

5 Lijst met afkortingen Afkorting CA CEN CP CPS CRL CSP EESSI ETSI FIPS ITSEC LDAP LRA NOREA OCSP OID PKI RA Richtlijn EH RSA SSCD VPN Wbp Betekenis Certificatie Autoriteit (Certification Authority) Centre Européene de Normalisation Certificate Policy Certification Practice Statement Certificaten Revocatie Lijst Certification Service Provider ofwel certificatiedienstverlener European Electronic Signature Standardization Initiative European Telecommunication Standardisation Institute Federal Information Processing Standards Information Technology Security Lightweight Directory Access Protocol Lokale Registratie Autoriteit Nederlandse Orde van Register EDP Auditors Online Certificate Status Protocol Object Identifier Public Key Infrastructure Registratie Autoriteit (Registration Authority) Europese richtlijn elektronische handtekeningen Rivest, Shamir en Adelman Secure Signature Creation Device Virtual Private Network Wet bescherming persoonsgegevens 5

6 Begrippenlijst Aanvrager: Een natuurlijke of rechtspersoon die een aanvraag tot uitgifte van een certificaat indient bij een Registratie Autoriteit. In het kader van de PKI voor de overheid: De aanvrager hoeft niet dezelfde partij te zijn als de abonnee of de certificaathouder, maar is wel één van de twee. In de domeinen Overheid-Overheid en Overheid-Bedrijven is het bijvoorbeeld goed denkbaar dat de aanvrager iemand van Personeelszaken is, terwijl de abonnee het bedrijf of de instelling is en de certificaathouder een medewerker van dat bedrijf of die instelling. Abonnee: een natuurlijke of rechtspersoon die zich aanmeldt bij een Registratie Autoriteit om een publieke sleutel en identiteit te laten certificeren in een publieke sleutel certificaat voor een door de abonnee vertegenwoordigde certificaathouder. De abonnee gaat hiervoor een contractuele relatie aan met de bij de Registratie Autoriteit behorende CSP. Certificaat: een door KPN Lokale Overheid uitgegeven elektronische bevestiging die gegevens voor het verifiëren van een handtekening aan een bepaalde persoon verbindt en de identiteit van die persoon bevestigt. Certificaathouder: een natuurlijke of rechtspersoon, ten behoeve van wie een certificaat is uitgegeven, wiens identiteit kan worden vastgesteld met behulp van het certificaat en die het certificaat daadwerkelijk en exclusief gebruikt. Certificate Policy (CP): een benoemde verzameling regels die de toepasbaarheid van een certificaat aangeeft voor een bepaalde gemeenschap en/of toepassingsklasse met gemeenschappelijke beveiligingseisen. Met behulp van een CP kunnen eindgebruikers en vertrouwende partijen bepalen hoeveel vertrouwen zij kunnen stellen in het verband tussen de publieke sleutel en de identiteit van de houder van de publieke sleutel. Certificaten revocatie lijst (CRL): een openbaar toegankelijke en te raadplegen lijst (databank) van ingetrokken certificaten, beschikbaar gesteld, ondertekend en onder verantwoordelijkheid vallend van KPN Lokale Overheid. Certificatie Autoriteit (CA): een entiteit die door één of meer eindgebruikers wordt vertrouwd om certificaten te maken en toe te wijzen. Optioneel kan een CA de sleutels voor eindgebruikers aanmaken. In het kader van de PKI voor de overheid: Een organisatie die feitelijk certificaten genereert en intrekt. Het functioneren als CA is een deelactiviteit die onder de verantwoordelijkheid van de CSP wordt uitgevoerd. Certificatiediensten: het afgeven, beheren en intrekken van certificaten door certificatiedienstverleners. Certification Practice Statement (CPS): een document dat de door een CSP gevolgde procedures en getroffen maatregelen ten aanzien van alle aspecten van de dienstverlening beschrijft. Het CPS beschrijft daarmee op welke wijze de CSP voldoet aan de eisen zoals gesteld in de van toepassing zijnde Certificate Policy. Certificatiedienstverlener: zie Certification Service Provider. 6

7 Certification Service Provider (CSP): een dienst of een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen verleent. Digitale handtekening: zie Geavanceerde elektronische handtekening. Eindgebruiker: een natuurlijke of rechtspersoon die binnen de PKI voor de overheid één of meer van de volgende rollen vervult: certificaathouder, abonnee of vertrouwende partij. Elektronische handtekening: elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie; Elektronische opslagplaats: locatie waar relevante informatie ten aanzien van de dienstverlening van KPN Lokale Overheid te vinden is. Geavanceerde elektronische handtekening: een elektronische handtekening die voldoet aan de volgende eisen: a) Zij is op unieke wijze aan de ondertekenaar verbonden; b) Zij maakt het mogelijk de ondertekenaar te identificeren; c) Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; d) Zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord; Gekwalificeerd certificaat: certificaat dat voldoet aan de eisen die zijn omschreven in bijlage I van de Europese Richtlijn Elektronische handtekeningen en wordt uitgegeven door een certificatiedienstverlener die voldoet aan de eisen die zijn beschreven in bijlage II van die Richtlijn. Gegevens voor het vervaardigen van handtekeningen: unieke gegevens, zoals codes of private cryptografische sleutels, die door de ondertekenaar worden gebruikt om een elektronische handtekening te maken. In gekwalificeerde certificaten die berusten op publieke sleutel codering, zoals behandeld in dit document, bestaan de gegevens voor het vervaardigen van handtekeningen bijvoorbeeld uit een private sleutel. Derhalve wordt in dit document de term private sleutel gebruikt voor de gegevens voor het vervaardigen van handtekeningen. Handtekeningverificatie gegevens: gegevens, zoals codes of publieke cryptografische sleutels, die worden gebruikt teneinde een elektronische handtekening te verifiëren. In gekwalificeerde certificaten die berusten op publieke sleutel codering, zoals behandeld in dit document, bestaan de gegevens voor het verifiëren van handtekeningen bijvoorbeeld uit een publieke sleutel. Derhalve wordt in dit document de term publieke sleutel gebruikt voor de gegevens voor het verifiëren van handtekeningen. KPN Lokale Overheid: handelsnaam van Gemnet B.V. Lokale Registratie Autoriteit (LRA): de organisatie-eenheid of functie, aan wie de uitvoering van de taak van Registratie Autoriteit is opgedragen, en die fysiek de identificatie gegevens van een aanvrager verzamelt, controleert, registreert en doorstuurt ten behoeve van de certificaatuitgifte. Middel voor het vervaardigen van handtekeningen: geconfigureerde software of hardware die wordt gebruikt voor het implementeren van de gegevens voor het vervaardigen van handtekeningen. 7

8 Ondertekenaar: een persoon die de beschikking heeft over een middel voor het aanmaken van handtekeningen en handelt hetzij uit eigen naam hetzij uit naam van de dienst of de natuurlijke of rechtspersoon die hij vertegenwoordigt Public Key Infrastructure (PKI): het geheel van organisatie, procedures en techniek, benodigd voor het uitgeven, gebruiken en beheer van certificaten. Qualified Certificate Policy (QCP): Certificate Policy die de vereisten bevat die zijn omschreven in de bijlagen I en II van de Europese Richtlijn Elektronische handtekeningen. 1 Registratie Autoriteit (RA): een Registratie Autoriteit zorgt voor de verwerking van certificaataanvragen en alle daarbij behorende taken waarbij de verificatie van de identiteit van de certificaathouder de belangrijkste is. Root certificaat: dit is het certificaat behorend bij de plek waar het vertrouwen in alle in de PKI uitgegeven certificaten zijn oorsprong vindt. Er is geen hoger liggende Certificatie Autoriteit waaraan het vertrouwen wordt ontleend. Dit certificaat wordt door de houder zelf ondertekend. Alle onderliggende certificaten worden uitgegeven door de houder van het stamcertificaat. Root Certification Authority (Root-CA): een Certificatie Autoriteit die direct wordt vertrouwd door een eindgebruiker. Hiermee wordt bedoeld dat het beveiligd verkrijgen van de publieke sleutel van de Root-CA één of meer stappen buiten het betreffende systeem om vereist. De Root-CA hoeft niet noodzakelijkerwijs aan de top van een hiërarchie te zijn gepositioneerd. Smartcard: een plastic kaart ter grootte van een creditcard die in een chip elektronica bevat, inclusief een microprocessor, geheugenruimte. De kaarten kunnen worden gebruikt om informatie op te slaan en zijn makkelijk mee te nemen. Veilig middel voor het aanmaken van handtekeningen: een middel voor het aanmaken van handtekeningen dat voldoet aan de eisen van bijlage III uit de Richtlijn elektronische handtekeningen. 2 De smartcard is een veilig middel. Vertrouwelijkheidscertificaat: certificaat waarin de publieke sleutel wordt gecertificeerd van het sleutelpaar dat voor vertrouwelijkheidsdiensten wordt gebruikt. Vertrouwende partij: de natuurlijke of rechtspersoon die ontvanger is van een certificaat en die handelt in vertrouwen op dat certificaat. Vrijwillige certificering: een vergunning waarin de rechten en verplichtingen betreffende de verlening van certificatiediensten zijn vermeld en die op verzoek van de betrokken certificatiedienstverlener wordt afgegeven door de openbare of particuliere instantie die is belast met de vastlegging en de handhaving van die rechten en verplichtingen, wanneer de certificatiedienstverlener de uit de vergunning voortvloeiende rechten niet kan uitoefenen zolang hij het besluit van die instantie niet heeft ontvangen. 1 Richtlijn 99/93/EG van 13 december 1999 van het Europese Parlement en de Raad van de Europese Unie betreffende een gemeenschappelijk kader voor elektronische handtekeningen, PbEG L 13/12. 2 Idem. 8

9 1 Inleiding 1.1 Overzicht KPN Lokale Overheid is een certificatiedienstverlener (CSP) die diensten op het gebied van Public Key Infrastructure (PKI) verleent. KPN Lokale Overheid verleent haar diensten aan organisaties in de publieke sector. Dit Certification Practice Statement (CPS) vormt de beschrijving van de wijze waarop KPN Lokale Overheid invulling heeft gegeven aan haar dienstverlening en bevat naast een beschrijving van de KPN Lokale Overheid Public Key Infrastructure de procedures die KPN Lokale Overheid hanteert bij de uitgifte van certificaten. Dit CPS is slechts één van de documenten die van toepassing zijn op de dienstverlening door KPN Lokale Overheid. Andere documenten zijn te vinden via de website ( Naast dit CPS kan ten aanzien van de door KPN Lokale Overheid uitgegeven certificaten een Certificate Policy (CP) gelden. In een dergelijke CP wordt de toepasbaarheid van een certificaat aangegeven voor een bepaalde gemeenschap en/of toepassingsklasse met gemeenschappelijke beveiligingseisen. Een verwijzing naar de toepasselijke CP wordt in het certificaat vermeld door middel van opname van een object identifier (OID). 3 Voor een overzicht van de verschillende relevante documenten binnen de CSPdienstverlening van KPN Lokale Overheid wordt verwezen naar de website ( Certificaat klassen KPN Lokale Overheid onderscheidt twee klassen certificaten, te weten: 1. Klasse x certificaten 2. Klasse y certificaten 3. Klasse test certificaten Deze verschillende klassen certificaten worden onder verschillende roots uitgegeven. De klasse x certificaten worden onder een door KPN Lokale Overheid ingestelde root uitgegeven, de klasse y certificaten worden via een tussenliggende root onder de root van de PKI voor de overheid uitgegeven. Op dit moment worden nog geen klasse y certificaten uitgegeven. De bepalingen die van toepassing zijn op de klasse y certificaten zijn derhalve op dit moment nog niet van toepassing. Aan het gebruik van de klasse test certificaten kunnen geen enkele rechten worden ontleend. De hieronder volgende bepalingen uit dit CPS zijn niet op deze certificaten van toepassing. Op de klasse test certificaten is geen CP van toepassing. De certificaten uit de klasse test zijn slechts bedoeld om te testen. 3 Dit is een nummer dat naar een bepaald document verwijst. 9

10 Bepalingen in dit CPS die alleen op klasse x certificaten van toepassing zijn worden in het vervolg met een gestippelde blauwe omlijning aangegeven. Bepalingen in dit CPS die alleen op klasse y certificaten van toepassing zijn worden in het vervolg met een aaneengesloten oranje omlijning aangegeven. Bepalingen zonder omlijning zijn zowel op de klasse x als de klasse y certificaten van toepassing. De klasse x certificaten worden direct onder de Gemnet CSP CA G2 uitgegeven. De klasse y certificaten worden uitgegeven binnen de hiërarchie van de PKI voor de overheid 4. Meer informatie over de PKI voor de overheid is te vinden op Certificaat typen De klasse x certificaten kunnen voor verschillende toepassingen worden gebruikt. Bij deze specifieke toepassingen kan onder andere worden gedacht aan authenticatie binnen Virtual Private Networks (VPN s), authenticatie binnen specifieke toepassingen en / of het versleutelen van gegevens. De specifieke gebruiksgrenzen zijn opgenomen in de toepasselijke CP. De certificaten mogen uitsluitend voor de betreffende doeleinden zoals opgenomen in de toepasselijke Certificate Policy (CP) worden gebruikt. Van de klasse y certificaten worden drie typen certificaten uitgegeven, te weten certificaten voor: a) authenticiteit (identificatie) b) onweerlegbaarheid (elektronische handtekening) c) vertrouwelijkheid (versleuteling) De certificaten mogen uitsluitend voor de betreffende doeleinden zoals opgenomen in paragraaf worden gebruikt. De certificaten worden in een smartcard gegenereerd. De gebruikte smartcards voldoen aan de eisen die krachtens de Richtlijn EH aan een veilig middel worden gesteld Opbouw CPS De paragraafindeling van dit CPS is conform het Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 2527 van de Internet Engineering Task Force) Geldigheid CPS Dit CPS (versie 2.0) is geldig vanaf 1 december De infrastructuur die door de overheid is ontwikkeld om betrouwbare communicatie van en met de overheid mogelijk te maken

11 1.2 Identificatie 1. KPN Lokale Overheid Certification Practice Statement 2. Versie december Vindplaats Unieke document identificatoren. Dit CPS wordt geïdentificeerd met het onderstaande unieke nummer (OID) {iso(1) member-body(2) nni(528) nederlandse-organisatie(1) gemnet(1013) CPS (1) Versie (2)} Een OID is een rij van getallen die op unieke wijze en permanent een object aanduidt. Een OID maakt het mogelijk een bepaald document (in dit geval dit CPS) te identificeren. 1.3 Gebruikersgemeenschap en toepassingsgebied Dit CPS is van toepassing op certificaathouders, abonnees en vertrouwende partijen (eindgebruikers). Binnen de KPN Lokale Overheid PKI treedt KPN Lokale Overheid op als certificatiedienstverlener (CSP) die certificaten uitgeeft aan certificaathouders en abonnees. Dit CPS dient steeds te worden gelezen in combinatie met de toepasselijke CP( s). In de uitgegeven certificaten wordt zowel het CPS als de toepasselijke CP( s) vermeld. KPN Lokale Overheid is eindverantwoordelijk voor de certificatiediensten die zij verleent Certificatie Autoriteiten KPN Lokale Overheid heeft de volledige CA-functionaliteit aan KPN Corporate Market uitbesteed. KPN Lokale Overheid maakt gebruik van het deel van de dienstverlening van KPN Corporate Market dat vrijwillig gecertificeerd volgens ETSI TS "Policy requirements for certification authorities issuing qualified certificates" Registratie Autoriteiten Er worden twee verschillende RA functionaliteiten onderscheiden. Er is een centrale RA welke door KPN Lokale Overheid wordt vervuld. Daarnaast kunnen op lokaal niveau Lokale RA s (LRA s) opereren, aan wie een gedeelte van het daadwerkelijk registratieproces is gedelegeerd Eindgebruikers of eind entiteiten Houder van een KPN Lokale Overheid certificaat kunnen zijn: 11

12 1. Natuurlijke personen 2. Natuurlijke persoon inclusief link naar rechtspersonen of andere organisatie 3. Andere CA s Toepassingsgebied KPN Lokale Overheid certificaten mogen slechts worden gebruikt voor de doelen die aangegeven worden in de certificaten, CPS of toepasselijke CP. KPN Lokale Overheid certificaten mogen niet gebruikt worden voor zeer risicovolle toepassingen zoals de besturing van kerncentrales, luchtverkeersgeleiding en dergelijke, waar gebreken kunnen leiden tot de dood, lichamelijk letsel of ernstige milieuschade. Functionele gebruiksgrenzen KPN Lokale Overheid geeft klasse x certificaten uit die slechts binnen één enkele toepassing mogen worden gebruikt. KPN Lokale Overheid kan ook klasse x certificaten uitgeven die een breder of smaller toepassingsbereik hebben. De gebruiksgrenzen kunnen in het concrete geval in de toepasselijke CP worden gevonden. De klasse y certificaten mogen, afhankelijk van het type, gebruikt worden voor a) authenticiteit (identificatie) b) onweerlegbaarheid (elektronische handtekening) c) vertrouwelijkheid (versleuteling) ad a) Authenticiteitcertificaten kunnen worden gebruikt voor het betrouwbaar identificeren en authenticeren van personen, organisaties en middelen langs elektronische weg. Dit betreft zowel de identificatie van personen onderling als tussen personen en middelen. ad b) Onweerlegbaarheidscertificaten kunnen worden gebruikt om geavanceerde elektronische handtekeningen te zetten, die ten aanzien van gegevens in elektronische vorm voldoen aan alle wettelijke vereisten voor een handtekening, net zoals een handgeschreven handtekening dat doet voor gegevens op papier, zoals wordt aangegeven in artikel 5 lid 1 van de Richtlijn EH. De klasse y onweerlegbaarheidscertificaten zijn gekwalificeerde certificaten in de zin van de Richtlijn EH. ad c) Vertrouwelijkheidcertificaten kunnen worden gebruikt voor het beschermen van de vertrouwelijkheid van gegevens, die worden uitgewisseld en/of opgeslagen in elektronische vorm. Dit betreft zowel de uitwisseling tussen personen onderling als tussen personen en geautomatiseerde middelen. 12

13 1.4 Contact informatie Informatie met betrekking tot de organisatie Dit CPS is opgesteld door: KPN Lokale Overheid Röntgenlaan DX Zoetermeer Contact persoon Contactpersoon met betrekking tot de PKI dienstverlening is: Directeur KPN Lokale Overheid Röntgenlaan DX Zoetermeer tel Vaststelling toepasbaarheid CPS op CP Het management van KPN Lokale Overheid stelt vast of het CPS toepasbaar is op een bepaalde CP Normenkader KPN Lokale Overheid voldoet aan de wettelijke eisen die zijn opgenomen in de Wet bescherming persoonsgegevens (Wbp). KPN Lokale Overheid voldoet aan ETSI v ( ) Policy requirements for certification authorities issuing public key certificates. KPN Lokale Overheid voldoet bij de uitgifte van de klasse y certificaten ten aanzien van de onweerlegbaarheidscertificaten aan de eisen zoals gesteld in Richtlijn 99/93/EG van 13 december 1999 van het Europese Parlement en de Raad van de Europese Unie betreffende een gemeenschappelijk kader voor elektronische handtekeningen, PbEG L 13/12. KPN Lokale Overheid voldoet ten aanzien van de onweerlegbaarheidscertificaten aan de eisen zoals gesteld in ETSI , v (2002-4) Policy requirements for certification authorities issuing qualified certificates. KPN Lokale Overheid voldoet ten aanzien van alle andere typen certificaten van klasse y aan het normenkader van de PKI voor de overheid zoals gesteld in het Programma van Eisen. 6 KPN Lokale Overheid treedt op als certificatiedienstverlener 7 in de zin van de Richtlijn EH en als CA in de zin van de EESSI/ETSI Policy requirements for certification authorities 6 Zie hiervoor 7 Ook wel CSP of Certification Service Provider genoemd. 13

14 issuing qualified certificates 8 en Policy requirements for certification authorities issuing public key certificates. 9 Klasse y certificaten worden uitgegeven volgens het Qualified Certificate Policy Public + Secure Signature Creation Device (QCP public + SSCD) zoals opgenomen in ETSI v ETSI ETSI

15 2 Algemene bepalingen 2.1 Verplichtingen KPN Lokale Overheid treedt formeel op als CA. KPN Lokale Overheid voldoet dan ook aan alle onderstaande verplichtingen. Dat KPN Lokale Overheid bepaalde onderdelen van haar dienstverlening heeft uitbesteed doet hieraan niets af. 10 KPN Lokale Overheid treedt op als certificatiedienstverlener in de zin van de Richtlijn EH Verplichtingen van de CA KPN Lokale Overheid heeft het technisch beheer van de CA functie aan KPN Corporate Market uitbesteed. 1. De CA houdt zich bij de uitvoering van zijn taak aan het CPS, de toepasselijke CP( s) en andere onderliggende overeenkomsten. 2. De CA neemt passende maatregelen om fouten in de inhoud van een certificaat te voorkomen. 3. De CA meldt revocatie van een certificaat aan zowel de certificaathouder als de aanvrager en RA. Daarnaast wordt het certificaat opgenomen in de Certificaten Revocatie Lijst (CRL). 4. De CA verwerkt een geautoriseerde revocatieaanvraag terstond en onverwijld. 5. De CA behandelt een accurate en volledige certificaataanvraag binnen een redelijke termijn. 6. De CA bewaart haar private sleutel, alsmede wachtwoorden en tokens die daar toegang toe bieden zeer zorgvuldig. De private sleutel is middels tamper proof hardware beveiligd tegen misbruik. 7. De CA zorgt voor een goed beveiligde productie omgeving. De CA maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen onbevoegde wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen. 8. Bij de verwerking van persoonsgegevens voldoet de CA aan de Wet bescherming persoonsgegevens (Wbp). De CSP meldt de verwerking aan bij het College Bescherming Persoonsgegevens. 9. De CA gebruikt haar private sleutel slechts conform dit CPS en de eventueel toepasselijke CP, ze gebruikt haar sleutel niet voor andere dan de daar genoemde doelen. 10. De CA stelt alle gerelateerde CA s, RA s en certificaathouders zo snel als redelijkerwijs mogelijk is op de hoogte van een eventuele compromittering van haar private sleutel. Zij maakt daartoe gebruik van het tijdens registratieproces opgegeven adres. Daarnaast worden voornoemde partijen en de vertrouwende partijen door middel van publicatie in een landelijk dagblad op de hoogte gesteld. 11. De CA communiceert veilig met de (L)RA. 12. De CA voorziet de (L)RA van informatie rond de status van certificaatuitgifte na certificaataanvraag. 13. De CA heeft voldoende financiële middelen tot zijn beschikking, met name met het oog op aansprakelijkheid wegens schade Conform EESSI Policy Requirements criteria. 11 Richtlijn EH Bijlage II onder h. 15

16 14. De CA legt gedurende een gepaste periode alle relevante informatie met betrekking tot de uitgifte en het beheer van alle certificaten vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Hierbij is informatie over de houders van certificaten inbegrepen. Dit vastleggen vindt elektronisch plaats. 12 Middelen die toegang verschaffen tot elektronisch opgeslagen informatie zijn eveneens gedurende deze termijn beschikbaar. 15. De CA garandeert dat de gegevens voor het aanmaken van de handtekening en die voor het verifiëren van de handtekening, - ingeval zij beide door de certificatiedienstverlener worden gegenereerd -, complementair kunnen worden gebruikt De CA stelt de aanvrager op de hoogte van certificaatuitgifte. 17. Certificaatuitgifte vindt alleen plaats met toestemming van de toekomstige certificaathouder. Een certificaataanvraag van de toekomstige certificaathouder wordt geacht een dergelijke toestemming te bevatten. 18. Opname van het certificaat in een directory gebeurt alleen met toestemming van de certificaathouder Verplichtingen van de RA 1. De RA s houden zich bij het uitvoeren van hun taak aan het CPS, de eventueel toepasselijke CP en andere onderliggende overeenkomsten. 2. De RA communiceert veilig met de CA. 3. De RA verifieert met daartoe geschikte middelen en overeenkomstig de nationale wetgeving, de identiteit van de persoon aan wie een gekwalificeerd certificaat wordt uitgegeven. 4. De RA heeft voldoende financiële middelen tot zijn beschikking om in overeenstemming met de Richtlijn EH te kunnen functioneren, met name met het oog op aansprakelijkheid wegens schade De RA legt gedurende een gepaste periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen mag elektronisch plaatsvinden. Er geldt een bewaartermijn van 7 jaar na de expiratiedatum van het certificaat. 16 Specifieke informatie uit dit archief moet makkelijk ontsluitbaar zijn. 6. De RA maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen. 7. De RA bewaart haar private sleutel, alsmede wachtwoorden en tokens die daar toegang toe bieden zeer zorgvuldig. De private sleutel is middels tamper proof hardware beveiligd tegen misbruik. 8. De RA zorgt voor een goed beveiligde werkomgeving. 9. De RA is de verantwoordelijke voor de persoonsgegevens die zij in het kader van de CSP dienstverlening verwerkt. Bij de verwerking van persoonsgegevens voldoet zij aan de Wet bescherming persoonsgegevens. 10. De RA mag haar private sleutel slechts conform het CPS en de eventueel toepasselijke CP gebruiken, ze mag haar sleutel ook niet voor andere dan de daar genoemde doelen gebruiken. 11. De RA stelt de CA, andere RA s waarmee ze samenwerkt en certificaathouders zo snel als redelijkerwijs mogelijk is op de hoogte van een eventuele compromittering van haar private sleutel. Zij maakt daartoe gebruik van het 12 Conform Richtlijn EH Bijlage II onder i. 13 Richtlijn EH artikel 6 lid 1 onder c. 14 Richtlijn EH Bijlage II onder l. 15 Richtlijn EH Bijlage II onder h. 16 Richtlijn EH Bijlage II onder i. 16

17 tijdens het registratieproces opgegeven adres. Daarnaast worden voornoemde partijen en de vertrouwende partijen door middel van publicatie in een landelijk dagblad op de hoogte gesteld. 12. De RA zal moeten kunnen toetsen of de certificaataanvrager op het tijdstip van de afgifte van het certificaat, houder is van de gegevens voor het aanmaken van de handtekening In de registratieprocedure verkrijgt de RA de toestemming voor het gebruik van persoonsgegevens rechtstreeks van de certificaathouder zelf of met diens uitdrukkelijke toestemming, slechts voorzover afgifte en beheer van certificaten zulks vereisen De RA neemt passende maatregelen om fouten in de inhoud van een certificaataanvraag te voorkomen. Zij is intern ten opzichte van de CA aansprakelijk voor fouten in de inhoud van certificaten door onjuiste certificaataanvragen. 15. De RA zorgt er voor dat de certificaten uitsluitend publiekelijk toegankelijk zijn in die gevallen waarvoor de certificaathouder toestemming heeft gegeven Verplichtingen van de LRA Op lokaal niveau kunnen abonnees een loketfunctie uitoefenen. Deze loketfunctie wordt ook wel Lokale Registratie Autoriteit (LRA) genoemd. De LRA is verantwoordelijk voor de juiste identificatie van de personen die een certificaat bij hem aanvragen. Contactpersonen binnen de organisatie van klanten van KPN Lokale Overheid kunnen als LRA worden ingeschakeld. 1. De LRA houdt zich bij het uitvoeren van zijn taak aan het CPS, de eventueel toepasselijke CP en andere onderliggende overeenkomsten. 2. De LRA communiceert veilig met de CA. 3. De LRA zorgt voor een adequate beveiliging van gegevens. 4. De LRA maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen onbevoegde wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen De LRA verifieert met daartoe geschikte middelen en overeenkomstig de nationale wetgeving, de identiteit van de persoon aan wie een klasse y certificaat wordt uitgegeven. 6. De LRA legt gedurende een gepaste periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen mag elektronisch plaatsvinden. Er geldt een bewaartermijn van 7 jaar na de expiratiedatum van het certificaat. 20 Specifieke informatie uit dit archief moet makkelijk ontsluitbaar zijn. 7. De LRA bewaart haar private sleutel, alsmede wachtwoorden en tokens die daar toegang toe bieden, zeer zorgvuldig. De private sleutel is middels tamper proof hardware beveiligd tegen misbruik. 8. Voorzover de LRA persoonsgegevens verwerkt doet hij dat in opdracht van de RA. Ten opzichte van de centrale RA kan de LRA als bewerker in de zin van de Wbp functioneren. 21 De RA werkt op zijn beurt onder verantwoordelijkheid van de CSP, welke laatste als verantwoordelijke fungeert in de zin van de Wet bescherming 17 Richtlijn EH artikel 6 lid 1 onder b. 18 Richtlijn EH artikel 8 lid Richtlijn EH Bijlage II onder f. 20 Richtlijn EH Bijlage II onder i. 21 De Wbp schrijft in art. 14 voor dat tussen verantwoordelijke en bewerker een overeenkomst moet worden gesloten. Daarin wordt (schriftelijk) vastgelegd dat de verantwoordelijke de bewerker opdraagt persoonsgegevens te verwerken. De bewerker moet zorg dragen voor voldoende beveiligingsmaatregelen, waarop door de verantwoordelijke toezicht wordt gehouden. 17

18 persoonsgegevens. De LRA functioneert als bewerker voorzover er geen sprake is van een hiërarchische verhouding tussen RA en LRA. 9. De LRA mag haar private sleutel slechts conform het CPS en de eventueel toepasselijke CP gebruiken, ze mag haar sleutel ook niet voor andere dan de daar genoemde doelen gebruiken. 10. De LRA stelt de CA, de centrale RA en andere RA s waarmee hij samenwerkt en certificaathouders zo snel als redelijkerwijs mogelijk is op de hoogte van een eventuele compromittering van zijn private sleutel. Hij maakt daartoe gebruik van het tijdens het registratieproces opgegeven adres. Daarnaast worden voornoemde partijen en de vertrouwende partijen door middel van publicatie in een landelijk dagblad op de hoogte gesteld. 11. De LRA moeten passende maatregelen nemen om fouten in de inhoud van een certificaataanvraag te voorkomen. Hij is intern ten opzichte van de centrale RA aansprakelijk voor fouten in de inhoud van certificaten. 12. In de registratieprocedure verkrijgt de LRA de toestemming voor het gebruik van persoonsgegevens rechtstreeks van de certificaathouder zelf of met diens uitdrukkelijke toestemming, slechts voorzover afgifte en beheer van certificaten zulks vereisen Verplichtingen van de Certificaathouder De certificaathouder/aanvrager dient: 1. accurate en volledige informatie aan de CA en/of RA te verstrekken in overeenkomst met de vereisten van de Richtlijn EH en geldend Nederlands recht ten aanzien van identificatie, met name voor wat betreft de registratie; 2. het handtekening-sleutelpaar alleen te gebruiken voor elektronische handtekeningen, en overeenkomstig elke andere beperking die aan de gebruiker is kenbaar gemaakt; 3. redelijke zorg in acht te nemen om te voorkomen dat de private sleutel onbevoegd wordt gebruikt; 4. indien de toepasselijke certificate policy (CP) vereist dat er een veilig middel (smartcard) voor het aanmaken van certificaten wordt gebruikt, een dergelijk middel te gebruiken. 5. de CA terstond en onverwijld in te lichten wanneer zich een van de onderstaande gevallen voordoet voor het einde van de in het certificaat aangegeven geldigheidsduur: - de private sleutel van de gebruiker is verloren, gestolen, mogelijkerwijs aangetast; of - de controle over de private sleutel van de gebruiker is verloren gegaan door aantasting van activeringsgegevens (bijv. PIN code) of door andere oorzaken; en/of - onnauwkeurigheid of wijzigingen in de inhoud van het certificaat. 6. na uitgifte van een certificaat, expliciet de ontvangst aan KPN Lokale Overheid te melden. 7. passende voorzorgsmaatregelen te nemen om te voorkomen dat de smartcard met daarop de private sleutel(s) onbevoegd wordt gebruikt. 8. de activeringsgegevens (PIN code) gescheiden van de smartcard te bewaren. 9. na compromittering van zijn private sleutel het gebruik daarvan onmiddellijk en definitief te staken. 22 Richtlijn EH artikel 8 lid 2. 18

19 2.1.5 Verplichtingen van de Vertrouwende Partij De vertrouwende partij is verplicht, wanneer deze in redelijkheid wil kunnen vertrouwen op een certificaat: 1. de geldigheid van het certificaat door middel van actuele informatie over intrekking, waarvan de vertrouwende partij op de hoogte is gebracht, te verifiëren en 2. de geldigheid te controleren van de volledige keten van certificaten van het certificaat van de gebruiker tot en met de bron waarop wordt vertrouwd (root); en 3. kennis te nemen van alle beperkingen betreffende het gebruik van het certificaat (zie paragraaf 1.3.4); en 4. alle overige voorzorgsmaatregelen te nemen die zijn voorgeschreven in eventuele nadere overeenkomsten, voorwaarden (met name in de Vertrouwende Partij Voorwaarden) of elders aan hem zijn bekend gemaakt. 2.2 Aansprakelijkheid KPN Lokale Overheid is, voor wat betreft de door haar uitgegeven klasse x certificaten betreft, aansprakelijk voor schade die aan KPN Lokale Overheid kan worden toegerekend op basis van toepasselijk dwingend nationaal recht of op basis van aangegane overeenkomsten of toepasselijke voorwaarden. De inhoud van de aansprakelijkheidsbepaling kan daarbij afhangen van de rol die de schadelijdende partij vervult (bijvoorbeeld vertrouwende partij, certificaathouder of abonnee). KPN Lokale Overheid is, voor wat de door haar uitgegeven gekwalificeerde klasse y certificaten betreft, aansprakelijk overeenkomstig artikel 6 van de Richtlijn EH en met inachtneming van toepasselijk dwingend nationaal recht Aanvaarding van aansprakelijkheid KPN Lokale Overheid zal de nodige zorgvuldigheid betrachten bij de uitvoering van de dienstverlening. KPN Lokale Overheid zal in geval van een aan haar toe te rekenen tekortkoming in de nakoming van een overeenkomst er voor zorgdragen dat deze tekortkoming zo spoedig mogelijk wordt hersteld. De door KPN Lokale Overheid aanvaarde aansprakelijkheid voor directe en indirecte schade is, per gebeurtenis, beperkt tot een bedrag van maximaal (één miljoen euro) Aansprakelijkheid voor onjuiste gegevens, onjuiste identificatie ondertekenaar en niet-functionerende software KPN Lokale Overheid is, voor wat de door haar uitgegeven gekwalificeerde klasse y certificaten betreft, uitsluitend aansprakelijk voor de schade die diensten of natuurlijke of rechtspersonen lijden die in redelijkheid op een gekwalificeerd certificaat vertrouwen ten aanzien van: 23 Met name de Wet elektronische handtekeningen. 19

20 1. de juistheid op het tijdstip van afgifte van het certificaat van alle gegevens op het certificaat en de opneming in het certificaat van alle voor een certificaat voorgeschreven regels. 2. het feit dat diegene die in het certificaat is geïdentificeerd als ondertekenaar, op het tijdstip van uitgifte van het certificaat, de houder was van de gegevens voor het aanmaken van elektronische handtekeningen die overeenstemmen met de in het certificaat vermelde gegevens voor het verifiëren van elektronische handtekeningen; 3. het feit dat de gegevens voor het aanmaken van elektronische handtekeningen en de gegevens voor het verifiëren van elektronische handtekeningen, indien deze beide door de certificatiedienstverlener zijn gegenereerd, complementair kunnen worden gebruikt; tenzij KPN Lokale Overheid bewijst dat zij niet onzorgvuldig heeft gehandeld. Deze aansprakelijkheid vloeit voort uit de Richtlijn EH en de omzetting daarvan in Nederlands recht Ontbreken van in redelijkheid vertrouwen Diensten, natuurlijke personen of rechtspersonen worden geacht niet in redelijkheid op het certificaat te hebben vertrouwd als zij de intrekkingsstatus (ingetrokken / niet ingetrokken) en de geldigheid van het certificaat niet hebben vastgesteld, of anderszins niet hebben voldaan aan de verplichtingen bedoeld in de paragrafen en van dit CPS Uitsluiting aansprakelijkheid KPN Lokale Overheid aanvaardt geen aansprakelijkheid voor schade die voortvloeit uit het gebruik van certificaten dat ligt buiten de grenzen die KPN Lokale Overheid heeft aangegeven in het certificaat of in het CPS of toepasselijke CP. De gestelde beperkingen zijn onder andere te vinden in paragraaf van dit CPS. KPN Lokale Overheid is niet aansprakelijk voor schade aan diensten of natuurlijke of rechtspersonen die is ontstaan doordat zij op de geldigheid van het certificaat vertrouwen nadat het is ingetrokken. KPN Lokale Overheid is niet aansprakelijk voor schade ten gevolge van het verlies van gegevens wegens het verlies van de smartcard of private sleutel. Voor de certificaathouder, de abonnee (LRA) en de vertrouwende partij zijn de verder toepasselijke aansprakelijkheidsbepalingen in de op hen van toepassing zijnde documenten terug te vinden. Deze documenten zijn te vinden via 20

21 2.3 Financiële verantwoordelijkheid KPN Lokale Overheid heeft adequate regelingen, onder andere in de vorm van verzekeringen, om aansprakelijkheden te dekken die voortkomen uit zijn werkzaamheden en/of activiteiten, met name om het risico te dragen van aansprakelijkheid voor schade. Daarnaast heeft KPN Lokale Overheid de financiële stabiliteit en middelen die nodig zijn voor de bedrijfsvoering Vrijwaring door vertrouwende partijen Vertrouwende partijen vrijwaren KPN Lokale Overheid voor aanspraken op schadevergoeding indien zij - niet aan de verplichtingen van de vertrouwende partij zoals opgenomen in paragraaf van dit CPS en de vertrouwende partij voorwaarden hebben voldaan; - vertrouwen op een certificaat waar dit als onredelijk kan worden beschouwd. Hieronder valt onder andere vertrouwen op een certificaat dat buiten het toegestane toepassingsgebied wordt gebruikt en vertrouwen op een ingetrokken certificaat; - de geldigheid van het certificaat niet hebben gecontroleerd; - de schade niet binnen een redelijke termijn hebben gemeld. 2.4 Interpretatie en handhaving Toepasselijk recht Op dit CPS en op de certificatiedienstverlening door KPN Lokale Overheid is Nederlands recht van toepassing Partiële geldigheid, aanvulling, kennisgeving Indien enige bepaling in dit CPS nietig is of vernietigd wordt, zullen de overige bepalingen van dit CPS volledig van kracht blijven voor zover deze, gelet op de inhoud en de strekking van die overige bepalingen, niet in onverbrekelijk verband met de nietige of vernietigde bepaling staan. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de geldigheid van dit CPS voort te duren, blijven na ontbinding van dit CPS bestaan. Van de bepalingen uit dit CPS kan niet mondeling worden afgeweken Geschilbeslechting Alle geschillen die tussen partijen mochten ontstaan naar aanleiding van de totstandkoming, de uitleg of de uitvoering van dit CPS, dan wel naar aanleiding van overeenkomsten, dan wel transacties die daaruit voortvloeien, daarvan het gevolg zijn of daarmee verband houden, zullen worden beslecht overeenkomstig het Arbitragereglement van de Stichting Geschillenoplossing Automatisering (SGOA)

22 Tevens is van toepassing het Minitrial reglement van deze stichting. Een en ander laat het recht van partijen om te allen tijde te kiezen voor de rechtsgang middels de bevoegde Nederlandse rechter onverlet. Indien KPN Lokale Overheid als eisende partij optreedt is zij, in afwijking van het voorgaande, bevoegd om een geschil aanhangig te maken bij de voor de gebruiker van haar CSP-diensten in aanmerking komende buitenlandse rechter. 2.5 Tarieven Certificaat uitgifte en heruitgifte tarieven KPN Lokale Overheid en haar klanten kunnen eindgebruikers kosten in rekening brengen voor het uitgeven, beheren en vernieuwen van certificaten. De tarieven voor het uitgeven, beheren en vernieuwen van certificaten worden door KPN Lokale Overheid vastgesteld. Aanpassingen in de tarieven zullen een maand van tevoren worden aangekondigd op door KPN Lokale Overheid te bepalen wijze. Tarieven voor maatwerk worden in overleg vastgesteld. Dit alles geldt tenzij in de toepasselijke CP anders is bepaald Certificaat toegangstarieven De tarieven die in rekening worden gebracht voor toegang tot certificaten worden in het tarievenoverzicht vermeld. KPN Lokale Overheid verrekent de kosten voor het gebruik van certificaten uitsluitend via de prijs van de certificaten Revocatie of status informatie toegangstarieven Eventuele tarieven die in rekening worden gebracht voor het raadplegen van de status van certificaten worden in het tarievenoverzicht vermeld Tarieven voor andere diensten zoals informatie omtrent policies Informatie in het CPS en de eventueel toepasselijke CP( s) is vrij en openbaar toegankelijk. In onderscheiden gevallen kan door KPN Lokale Overheid een apart tarief in rekening worden gebracht voor het opvragen van specifieke informatie Restitutie beleid Wanneer er fouten in de registratieprocedure en/of in de certificaatuitgifte zijn gemaakt dan dient het certificaat te worden ingetrokken. In de gevallen dat deze fouten te wijten zijn aan KPN Lokale Overheid en/of de door haar ingeschakelde personen of organisaties wordt het volledige bedrag voor certificaatuitgifte vergoed. Deze vergoeding geldt niet voor het geval dat de fout aan de LRA valt toe te rekenen. 22

23 2.6 Publicatie en elektronische opslagplaats Publicatie van CSP informatie 1. De publieke sleutel van de root CA is online beschikbaar, zodat deze in software kan worden geïmplementeerd. 2. Het CPS is online beschikbaar. 3. Eventueel toepasselijke CP s zijn online beschikbaar. 4. De CRL is online beschikbaar. 5. De uitgegeven certificaten zijn online beschikbaar voor de gebruikers, mits de certificaathouder hier toestemming voor heeft gegeven. 6. KPN Lokale Overheid zorgt voor een snelle en veilige directory dienst. 25 De directory is beveiligd, onder andere tegen ongeautoriseerde aanpassing. 7. De directory dienst is online toegankelijk. 8. De directory voldoet aan de X.500 standaard. 9. Informatie over de intrekkings-status is 24 uur per dag, 7 dagen per week te raadplegen. In geval van systeemdefecten, serviceactiviteiten, of andere factoren die buiten het bereik van KPN Lokale Overheid liggen, doet KPN Lokale Overheid al het mogelijke om er voor te zorgen dat deze informatie zo snel mogelijk weer bereikbaar is. 10. KPN Lokale Overheid is niet verantwoordelijk voor de niet beschikbaarheid vanwege natuurrampen of andere omstandigheden waar KPN Lokale Overheid niet verantwoordelijk voor kan worden geacht Publicatie frequentie Zie paragraaf voor de publicatiefrequentie van de CRL. Zie paragraaf 8.1 voor de publicatiefrequentie van het CPS Toegang tot gepubliceerde informatie Informatie in de elektronische opslagplaats is vrij en openbaar toegankelijk. De website van KPN Lokale Overheid ( fungeert als elektronische opslagplaats. In deze elektronische opslagplaats zijn onder andere het CPS en de Vertrouwende Partij Voorwaarden te vinden. Verdere verveelvoudiging en/of openbaarmaking van deze informatie in andere gevallen dan waarin dit CPS voorziet, is verboden zonder schriftelijke toestemming van KPN Lokale Overheid Elektronische opslagplaats KPN Lokale Overheid zorgt voor de beschikbaarheid van de informatie in de elektronische opslagplaats ( In geval deze informatie niet beschikbaarheid is zorgt KPN Lokale Overheid er voor dat deze informatie zo snel mogelijk weer beschikbaar is, behoudens in het geval het niet beschikbaar zijn niet is te wijten aan door of namens KPN Lokale Overheid geleverde apparatuur, programmatuur, infrastructuur materialen en/of documentatie. 25 Richtlijn EH Bijlage II onder b 23