Datum: 7 augustus 2015. Kenmerk: 2015005. Onderwerp: consultatie eidas- wetsvoorstel. Geachte heer Nas, Geachte heer Bressers,



Vergelijkbare documenten
juiste wetsvoorstel om regelingen te treffen voor Idensys of PKI-overheid. Voornoemde punten zijn onderdeel van het beleid of andere in voorbereiding

Samenwerkingsprotocol Logius. Agentschap Telecom

Verordening 910/2014 elektronische identiteiten en vertrouwensdiensten eidas

TTP.NL Schema. Terms of Reference. van het. College van Belanghebbenden TTP.NL

De Onafhankelijke Post en Telecommunicatie Autoriteit, 18 december 2002

Terms of Reference. itrust Foundation

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

Tweede Kamer der Staten-Generaal

TTP.NL in de certificatencrisis. Renévan den Assem voorzitter College van Belanghebbenden TTP.NL

Accreditatie: zelfregulering en toezicht

de Minister van Economische Zaken Postbus EK DEN HAAG

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Datum 14 januari 2015 Betreft Signaal van enkele toezichthouders over de relatie tussen toezicht en certificatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

Uitbesteding van processen

Officiële uitgave van het Koninkrijk der Nederlanden sinds De Minister van Economische Zaken, Landbouw en Innovatie,

JC May Joint Committee Richtsnoeren voor de behandeling van klachten door de effectensector (ESMA) en de bankensector (EBA)

Nieuwsbrief samenwerking Aw-WSW

en notarissen & Droogleever Fortuijn advocaten Landsadvocaat

Schema s en schemabeheerders

Datum: 9 oktober 2014 Kenmerk: IMO.451 Betreft: Onze reactie betreffende uitvoeringstoets op het wetsvoorstel Ouderparticipatiecreche (OPC)

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

CCvD Datastandaarden Een gezamenlijk initiatief van SIKB en IHW

Pagina 1 van 8 perbit bv De Schakel GH Eindhoven T: W: E: info@perbit.nl KvK: BTW: NL B01 IBAN:

Platform voor certificatie van milieuen arbomanagementsystemen

Zienswijze ronde tafel wetsvoorstel brede meldplicht. 24 februari Inleiding

Amsterdam, 10 augustus Betreft: Herziening Wet bekostiging financieel toezicht Geachte heer, mevrouw,

Wijziging van de Wet luchtvaart en enkele andere wetten (Verzamelwet luchtvaart)

Ref: B13.32 Betreft: Eumedion-reactie op NBA Consultatiedocument onafhankelijkheid en VGBA

De elektronische handtekening en de Dienstenrichtlijn De elektronische handtekening Wat zegt een elektronische handtekening?

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen

1 OVERHEIDSBIJDRAGE AAN KOSTEN VOOR FINANCIEEL TOEZICHT

De betekenis van certificatie in relatie tot naleving wet- en regelgeving. n versie 29 november 2012

De Staatssecretaris van Volksgezondheid, Welzijn en Sport De heer drs. M.J. van Rijn Postbus EJ DEN HAAG. Geachte heer Van Rijn,

Het eid-stelsel en de Wet GDI

2015; definitief Verslag van bevindingen

Corporate Governance verantwoording

De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof AA DEN HAAG

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Verkennende Impactanalyse

i\ r:.. ING. 1 8 FEB 2016

Tweede Kamer der Staten-Generaal

Handleiding uitvoering ICT-beveiligingsassessment

Privacy Policy v Stone Internet Services bvba

Samenwerkingsverbanden en de AVG

Geachte mevrouw Veldhuijzen van Zanten - Hyllner,

Toetsingskader. Aan de Minister van Volksgezondheid, Welzijn en Sport Mevrouw drs. E.I. Schippers Postbus EJ DEN HAAG

Conformiteitsbeoordeling van vertrouwensdiensten voor elektronische identificatie en transacties

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

OHSAS certificaat voor het waarborgen van veiligheid

Amsterdam, 3 juli Betreft: Reactie VV&A aan MinFin inzake MiFiD II. Geachte heer, mevrouw,

Aan de Voorzitter van de Tweede der Staten-Generaal Postbus EA DEN HAAG

Rutges vernieuwt onderhoud en renovatie

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen

Datum Onderwerp Referentie Bijlage(n) Doorkiesnummer 24 juni 2016 Reactie op consultatie. VS Tekstsuggesties T

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Tweede Kamer der Staten-Generaal

Milieumanagement & Duurzaam Ondernemen

Jaarverslag SCCM 2017

Eerste voorstel businessmodel eid Stelsel

de Nederlandse Orde van Belastingadviseurs Commissie Wetsvoorstellen

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

BABVI/U Lbr. 12/015

1 Heeft u kennisgenomen van het artikel De problematiek van blokverwarming; invoering per 1 januari 2014? 1

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Plan

SAMENVATTING. Samenvatting. Voorstellen van de Europese Commissie

Assurancerapport van de onafhankelijke IT-auditor

NCAE. Toelichting handelsnormen voor eieren - verzamelaars november 2013

NTA 8620 en certificatie managementsystemen

Kies voor. CERCAT gecertificeerde. catering

Na overleg met de gerechten, adviseert de Raad als volgt. 1

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) T.a.v. Dhr. drs. R.W. Knops Postbus EA 'S-GRAVENHAGE.

Nummer: 358 (spoed) Datum: Van toepassing op PvE delen 1 2 3: basis 3:

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

Advies Wet Generieke Digitale Infrastructuur (Wet GDI)

eidas voor de SURF-doelgroep

Ministerie van Sociale Zaken en Werkgelegenheid. Postbus LV Den Haag Parnassusplein 5 T

Verslag verantwoording betrokken aandeelhouderschap 2012

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag. Datum 9 februari Inleiding

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Visie op toegang! Identity management als speerpunt! H-P Köhler, Kennisnet Roel Rexwinkel, Surfnet

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 30 september 2016 Betreft Kamervragen. Geachte voorzitter,

Programma van Eisen deel 2: Toetreding tot en toezicht binnen de PKI voor de overheid. Datum 1 februari 2018

rliiiiihihhiiiivi.ilhn

Advies inzake de wijziging van de Wet op het financieel toezicht in verband met introductie van een meldingsplicht voor bepaalde cash settled

Aan: Forum Standaardisatie Van: Bureau Forum Standaardisatie Datum: 3 april 2018 Versie 1.0 Betreft:

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Consultatie Wet Generieke Digitale Infrastructuur en Uniforme Set van Eisen eid

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Datum 27 november 2009 Betreft Oordeelsbrief Geacht bestuur,

Officiële uitgave van het Koninkrijk der Nederlanden sinds van haar overeenkomst tussen handelaren in gewasbeschermingsmiddelen;

Reactie Groep Graafrechten wijziging Telecommunicatiewet (implementatie herziene Telecomrichtlijnen)

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Antwoorden op schriftelijke vragenronde brief uitvoering motie Arib (29484, nr. 6) over medische zorg asielzoekers.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Conformiteitsbeoordeling en accreditatie

FS A. A: Beschrijving van de voorgestelde werkwijze B: Toelichting op het MSP en identificatie proces

RAPPORT Betreffende de jaarrekening 2012 van Nederlandse Vereniging voor Gastro-Enterologie te Utrecht

Transcriptie:

Aan: Ministerie van Economische Zaken T.a.v.: 1) Directeur WJZ, Dhr. E.P. Nas 2) Directeur Regeldruk en ICT beleid, Dhr. M. Bressers Postbus 20401 2500 EK Den Haag Datum: 7 augustus 2015 Kenmerk: 2015005 Onderwerp: consultatie eidas- wetsvoorstel Geachte heer Nas, Geachte heer Bressers, Met belangstelling heeft het Platform Trust Services van de itrust Foundation kennis genomen van het voorstel tot de Uitvoeringswet in verband met de uitvoering van EU- verordening elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van de Richtlijn 1999/93/EG. Bij deze treft u een afgestemde reactie van de in dit Platform verenigde marktpartijen aan. Allereerst wensen we aan te geven dat we deze EU verordening verwelkomen. Het is namelijk een belangrijke stap in de verdere harmonisatie en interoperabiliteit van elektronische identiteiten en vertrouwensdiensten. Ten tweede onderschrijven we de uitgangspunten die zijn gehanteerd in uw wetsvoorstel, met name het behouden van het goede stelsel van conformiteitsbeoordelingen zoals we dat in Nederland al sinds het ingaan van de Wet elektronische handtekeningen kennen in de vorm van het TTP.NL- schema. Tevens onderschrijven we het uitgangspunt waarbij de toezichthouder Agentschap Telecom (AT) ook meer verplicht wordt om zich een eigen oordeel te vormen over de veiligheid van de geleverde vertrouwensdiensten, aangezien het hier de facto vitale infrastructuur betreft. Desalniettemin zijn er enkele wezenlijke aandachtspunten met betrekking tot uw wetsvoorstel. Deze zijn: 1. Coördinatie en stroomlijnen met PKIoverheid en Idensys. De behoefte tot verdere coördinatie en stroomlijning van de eisen aan en het toezicht op elektronische identiteiten en vertrouwens- diensten, zoals vastgesteld bij of krachtens wet enerzijds en in PKIoverheid en Idensys anderzijds. 2. Eenduidiger rollen en verantwoordelijkheden. In het verlengde van bovenstaande punt is het gewenst om toe te werken naar één plaats waar eisen worden geformuleerd, één plaats waar toezicht is belegd en één verantwoordelijke voor het gecoördineerd optreden bij crises. 3. Het minimaliseren van de lasten van toezicht en het maximaliseren van het nut daarvan. Het wetsvoorstel gaat uit van inhoudelijke oordeelsvorming van de toezichthouder, welk uitgangspunt we onderschrijven. Dubbele inspanning dient hierbij echter zoveel mogelijk vermeden te worden en de toezichthouder moet kunnen bouwen op de inhoudelijke bevindingen van de certificerende instelling. Een tweede opmerking betreft de kosten van toezicht. Wij zijn van mening dat deze uit de algemene middelen dienen te worden bestreden, aangezien het toezicht uitsluitend tot doel heeft het maatschappelijk belang van betrouwbare elektronische identiteiten en vertrouwensdiensten veilig te stellen. De marktordening komt tot uitdrukking in het TTP.NL- kwaliteitskeurmerk en de kosten hiervoor worden reeds door de markt betaald. Bovendien ervaren marktpartijen in de huidige situatie geen toegevoegde waarde van het wettelijk toezicht. Dat de kosten voor toezicht momenteel ook worden doorberekend aan marktpartijen is weinig

steekhoudend, aangezien deze situatie een direct uitvloeisel is van het beleggen van het toezicht destijds bij OPTA, waarbij de toezichthoudende activiteiten van OPTA goeddeels marktordening betroffen. Voor onze overige kanttekeningen verwijzen wij u naar de bijlage bij deze brief. Ten slotte zijn wij gaarne bereid tot overleg over deze implementatiewet en de verdere invoering hiervan. Gegeven de korte tijd die ons in deze vakantieperiode gegund was voor een gecoördineerde reactie, is deze reactie noodzakelijkerwijs op hoofdlijnen. Met vriendelijke groet, Marktpartijen uit het Platform Trust Services1 Namens deze, itrust Foundation René van den Assem voorzitter 1 Het Platform Trust Services heeft momenteel de volgende deelnemers: ACM, A.E.T. Europe, Agentschap Telecom, BSI Group, De Elektronische Signatuur, Deloitte, Digidentity, Dynagroup, ECP, Esecor, Inspectie Leefomgeving en Transport, itrust Foundation, JustiD, Kiwa, Koninklijke Notariële Beroepsorganisatie, KPN, Logius, Ministerie van Defensie, Ministerie van Infrastructuur en Milieu, Ministerie van Volksgezondheid, Welzijn en Sport, Morpho, Multi- Post Services, Platform Identity Management Nederland, PKIpartners, PwC, QuoVadis, SSLPost Europe, TNO ICT, Uniq- ID, Xolphin 2 www.itrust.foundation info@itrust.foundation Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 BIC: ABNA NL 2A KvK- nummer: 62054570 BTW: NL8546.20.266.B.01

Bijlage Het voorstel voor de implementatiewet voor de EU- verordening Elektronische identiteiten en vertrouwensdiensten is op 8 juli jl. gepubliceerd. De internetconsultatie loopt vanaf die datum tot 8 augustus 2015. Deze implementatiewet heeft vergaande gevolgen voor aanbieders van identificatie- en vertrouwensdiensten, certificatie instellingen en naar verwachting ook voor leveranciers van hardware, software, smartcards en consultants op het gebied van informatiebeveiliging en cryptografie. itrust Foundation (www.itrust.foundation) is de eigenaar van het TTP.NL- certificatieschema, dat beheerd wordt door het College van Belanghebbenden TTP.NL. Daarnaast heeft itrust Foundation het Platform Trust Services opgericht, waarin een aanzienlijk aantal partijen participeert. De lopende internetconsultatie is aanleiding geweest om de Implementatiewet voor te leggen aan het Platform Trust Services voor advies over de betekenis en impact daarvan op de sector. Op 29 juli jl. hebben de deelnemers onderstaand standpunt geformuleerd, dat itrust Foundation graag namens hen als marktstandpunt inbrengt in de consultatie. De betrokken wet- en regelgevende ministeries en de toezichthouder (EZ, J&V, BZK, PKIoverheid, ACM en AT) waren daarbij niet vertegen- woordigd, maar wel een ruim aantal leveranciers van identificatie- en vertrouwensdiensten, een aantal materiedeskundigen, alsmede BSI als certificerende instelling. Betrokken marktpartijen verwelkomen de verordening en bijbehorende uitvoeringswet, maar hebben daarbij drie hoofdaandachtspunten geformuleerd, die in de coverbrief op hoofdlijnen zijn toegelicht: 1. Coördinatie en stroomlijnen met PKIoverheid en Idensys. 2. Eenduidiger rollen en verantwoordelijkheden. 3. Het minimaliseren van de lasten van toezicht en het maximaliseren van de baten daarvan. Hieronder lichten we deze punten verder toe en geven we nadere details. 1 Meer coördinatie en stroomlijnen van PKIoverheid en Idensys Zoals hierboven aangegeven vraagt het Platform om een verdergaande coördinatie en stroomlijning van de verschillende overheidsactoren die actief zijn richting de leveranciers van de vertrouwensdiensten. De deelnemers in het Platform zijn zich er van bewust dat dit niet in de scope valt van de implementatiewet. Maar het inrichten van het toezicht bij AT biedt wel degelijk mogelijkheden om tenminste op toezicht een vergaande integratie te bereiken. Op deze wijze zouden het toezicht voor PKIoverheid en Idensys ook bij AT kunnen worden ondergebracht. We pleiten er echter voor om het hier niet bij te laten. Het is opportuun om ook bij het stellen van eisen voor de verschillende soorten identiteits- en vertrouwensdiensten een vergaande coördinatie te betrachten; dit geldt trouwens ook voor gekwalificeerde certificaten die onder eigen root CA uitgebracht worden. Hoewel verschillen in eisen bij bijvoorbeeld PKIoverheid en Idensys niet zonder reden bestaan, dienen verschillen steeds logisch verklaarbaar en niet groter te zijn dan nodig. De verschillen die slechts hun oorzaak in de historie vinden, dienen te worden verkleind en weggewerkt. En waar mogelijk dient overleg over eisen op één plek te gebeuren en niet op verschillende plekken. Bovenstaande geldt ook voor de eisen die gesteld worden aan de conformiteitsbeoordeling. Nu hanteert PKIoverheid de ETSI normen (ETSI EN 319 411-2 en ETSI TS 102 042) en naar verwachting zal dit ook voor nieuwe vertrouwensdiensten gaan gelden. De conformiteitsbeoordeling vindt dan ook plaats op basis van die ETSI normen. Maar de diensten die binnen Idensys worden geleverd, worden beoordeeld op basis van de ISO 27001 en een aanvullend normenkader. Deze benaderingswijzen zijn op zich goed met elkaar verenigen, maar dit vraagt wel gerichte inspanning. www.itrust.foundation info@itrust.foundation Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 BIC: ABNA NL 2A KvK- nummer: 62054570 BTW: NL8546.20.266.B.01 3

2 Eenduidiger rollen en verantwoordelijkheden In het verlengde van bovenstaande is het ook gewenst dat de rollen van de verschillende partijen zo veel mogelijk uniek zijn belegd. Daarbij is het gewenst om meer te gaan managen op het niveau van de gehele sector van identiteits- en vertrouwensdiensten. Wat de markt nodig heeft is: Eén plaats waar alle intelligence plaatsvindt wat betreft actuele dreigingen en trends in dreigingen. Een plaats ook waar een gezamenlijk risicobeeld wordt samengesteld; Eén plaats waar wordt bepaald hoe te reageren op nieuwe risico s, nieuwe vormen van dienstverlening etc. Daarbij wordt bepaald hoe de veranderingen worden vertaald naar Programma s van Eisen, standaardisatievoorstellen en/of noodmaatregelen; Eén toezichthouder; Eén verantwoordelijke voor coördinatie bij crises. Pas als de rollen en verantwoordelijkheden eenduidig zijn belegd en er goede overlegvormen en informatievoorziening zijn ingeregeld, wordt er aan de misschien wel meest wezenlijke aanbeveling in het rapport van de Onderzoeksraad voor Veiligheid inzake de DigiNotar affaire voldaan. 3 Het minimaliseren van de lasten van toezicht en het maximaliseren van de baten Ter toelichting van het gemaakte hoofdpunt merken we op dat in de implementatiewet nu is gesteld dat de toezichthouder haar eigen oordeel kan en moet vellen. Het is daarbij de toezichthouder die het oordeel velt een partij toe te laten of niet, dan wel om aanvullende bewijzen te overleggen. Zoals ook al gesteld wordt in de implementatiewet, is het van belang om dubbel werk zo veel mogelijk te vermijden. Het Platform onderschrijft dit uitgangspunt van harte. Wij verkennen dit uitgangspunt hieronder: Hoewel het aanbieders van vertrouwensdiensten vrij staat om eenieder welke conformiteits- beoordeling van een geaccrediteerde conformiteitsbeoordelaar te overleggen, is het zeer wenselijk dat de conformiteitsbeoordelingen zodanig worden uitgevoerd dat hun rapportage voor de toezichthouder wel degelijk voldoende basis biedt voor een sluitend en definitief oordeel. Hoewel het definitieve oordeel dus ligt bij de toezichthouder is het in het belang van alle partijen dat de auditpraktijk een voldoende sluitend beeld verschaft, zodat een oordeel feitelijk nooit als een verrassing komt; Om dubbel werk en uiteenlopende beoordelingen te vermijden is het dus ook gewenst dat de toezichthouder nauw samenwerkt met de instellingen die conformiteitsbeoordeling uitvoeren en invloed heeft in de praktijk op de wijze waarop audits worden uitgevoerd, zoals vastgelegd in het schema. Een doorslaggevende stem is daarbij overigens niet vereist, de toezichthouder kan desgewenst altijd gebruik maken van het recht om zelf audits uit te voeren; Uiteraard moet daarbij het internationale speelveld in de gaten worden gehouden. We bewegen toe naar een Europees geharmoniseerde praktijk van conformiteitsbeoordelingen middels certificatie (ETSI EN 419 103). De concept norm die hiervoor in de maak is, is dus een belangrijk product waarop zowel schemabeheerder als toezichthouder invloed dienen uit te oefenen, omdat dit de uiteindelijke auditpraktijk zal gaan bepalen en in ieder geval de minimumnorm daarvoor zal zijn; Ten slotte merken we op dat bij de toezichthouder zelf het beoordelend personeel ook gekwalificeerd is om een oordeel te vellen en kennis heeft de markt en van certificatie van managementsystemen. Tevens dient er materiedeskundigheid aanwezig te zijn. Te overwegen valt of het personeel dat het definitieve oordeel uitspreekt bij de toezichthouder zelf ook voldoet aan de vakkundigheidseisen die gesteld worden aan vergelijkbaar personeel bij certificerende instellingen. www.itrust.foundation info@itrust.foundation Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 BIC: ABNA NL 2A KvK- nummer: 62054570 BTW: NL8546.20.266.B.01 4

Waar het gaat om het maximaliseren van de baten van het toezicht heeft het Platform enige zorgen, omdat er in het geval van het toezicht door ACM geen enkele meerwaarde werd ervaren. Ook een toezichthouder zou zich aan de regels moeten houden dit voor onafhankelijke beoordelingen gelden: Een duidelijke norm vooraf; Bij een aanvullende beoordeling tevens een duidelijke scope en onderzoeksplan; Duidelijke terugkoppeling van bevindingen (zowel positief als negatief); Hoor en wederhoor; Een transparante oordeelsvorming. De huidige praktijk voldoet helaas niet aan dergelijke regels. Veel ruimte dus voor verbetering in de nieuwe situatie. Wij wijzen in dit verband ook op het WRR- rapport Toezien op publieke belangen (2013), dat noch het doen naleven en handhaven, noch de toezichtkosten, maar de maatschappelijke meerwaarde voorop zet. Ten aanzien van toezichtkosten is er reeds een duidelijk standpunt geformuleerd in de hoofdpunten. Het daar geformuleerde principiële standpunt is dat het wettelijk toezicht in deze situatie het algemeen belang dient en dus uit de algemene middelen bestreden dient te worden. Een ander fundamenteel bezwaar is dat er in de gekozen constructie geen prikkel lijkt te bestaan om de toezichtkosten en de overige lasten van toezicht, te beperken. We wijzen er op dat de toezichtkosten op dit moment een relevant aandeel vormen van de operationele kosten van een leverancier van vertrouwensdiensten. Al deze bijkomende kosten maken de producten voor de markt onacceptabel duur en leiden waarschijnlijk tot vermindering van adoptie in de markt. Verschillende behandelingen in de lidstaten zullen dus ook hier tot een verstoring van het internationale level playing field leiden. Overige aandachtspunten 4 Bewustwording eindgebruikers Marktpartijen ervaren, met name op het gebied van web- certificaten, dat eindgebruikers zich onvoldoende bewust zijn van het belang daarvan en van de onderliggende kwaliteitsverschillen tussen de verschillende soorten web- certificaten. Eenvoudige SSL- certificaten hebben minder beschermende werking dan een PKIoverheidscertificaat met dezelfde functionaliteit, maar de verwachtingen van eindgebruikers zijn in beide gevallen even hoog. Anders gezegd: men denkt voor weinig geld een kwalitatief hoogwaardige bescherming te kunnen krijgen, terwijl dat niet het geval is. Voor een deel is dit natuurlijk gewoon marktwerking: wie weinig belang hecht aan een beveiligde website kiest een eenvoudig en betaalbaar certificaat, wie wel belang heeft bij een goede beveiliging (al was het maar ter voorkoming van imagoschade) kiest een duurder en degelijker certificaat. Dit zou werken, ware het niet dat gebruikers in de praktijk de verschillen in kwaliteit niet kunnen beoordelen en naar waarde kunnen schatten. Het Platform Trust Services vraagt van de overheid om in aankomende bewustwordings- campagnes (ook) voorlichting te geven over een goede bescherming van websites, al dan niet in samenwerking met de leden van het Platform. Eindgebruikers dienen de risico s te begrijpen van laagwaardige certificaten en dienen een bewuste keuze te maken bij het beschermen van hun websites. 5 Rol CABForum in relatie tot de EU- verordening Het lijkt er op dat de Europese Commissie geen rekening gehouden heeft met het bestaan van het CABForum en de invloed die internet providers en browserfabrikanten materieel uitoefenen op aanbieders en afnemers van identificatie- en vertrouwensdiensten. In de praktijk berust de macht bij de browserfabrikanten. www.itrust.foundation info@itrust.foundation Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 BIC: ABNA NL 2A KvK- nummer: 62054570 BTW: NL8546.20.266.B.01 5

Dit dreigt te leiden tot een tweesplitsing in een Europese overheidsmarkt die geheel eigen regels hanteert dan de rest van de wereld. Dit belooft weinig goeds voor het geschapen Europese kader, zo leert de geschiedenis. Er zijn verschillende benaderingen mogelijk, maar het min of meer negeren van de situatie of de problemen naar het niveau van standaardisatie wegleggen, is niet heel kansrijk. Het Platform Trust Services vraagt van EZ om bij de Europese Commissie de ontstane situatie rondom de governance van digitale certificaten te agenderen. Uiteindelijk is dit een belemmering voor een gezonde marktwerking. 6 Frequentie conformiteitsbeoordelingen Het is in Nederland op dit moment gebruikelijk om elke drie jaar een volledige conformiteitsbeoordeling bij TSP s uit te voeren en in de tussenliggende jaren, d.m.v. steekproefsgewijs onderzoek, te beoordelen of de werking van het managementsysteem en de beveiliging van de ICT naar behoren werken. Dit is ook de verplichte praktijk bij alle certificatie onder ISO 17021. In Nederland wordt derhalve jaarlijks een beoordeling van de conformiteit uitgevoerd. De vraag is wat de impact is wanneer er (buitenlandse) TSP s op onze markt verschijnen, waarbij slechts eens in de twee jaar een conformiteitsbeoordeling wordt uitgevoerd. We vermoeden dat dergelijke partijen beduidend lagere kosten maken voor de conformiteitsbeoordelingen. Het Platform stelt voor om aan de sturen op een praktijk waarbij conformiteitsbeoordelingen, net als in Nederland, jaarlijks plaatsvinden. De systematiek zoals thans gehanteerd (integraal in jaar 1, tussentijdse beoordelingen in jaren 2 en 3) zou ook ingang moeten vinden in de vast te stellen norm voor conformiteitsbeoordeling (ETSI EN 419 103). Hiertoe zou ook op de geëigende plaatsen invloed dienen te worden uitgeoefend. 7 Identiteiten aan de basis van gekwalificeerde vertrouwensdiensten De regels omtrent identificatie, die aan de basis ligt van vertrouwensdiensten, lijken nationaal ingevuld te mogen worden in de Verordening. Daarbij is een identificatie op het overigens nog niet gestandaardiseerde niveau substantieel voldoende om een vertrouwensdienst op het niveau hoog te kunnen leveren. Het Platform pleit voor duidelijke en Europees geharmoniseerde regels voor de identificatie in relatie tot de bereikbare betrouwbaarheidsniveaus. Een situatie als bovenstaande lijkt hiermee in strijd te zijn. Het is moeilijk in te zien waarom men identificatie op het niveau hoog zou doen, als substantieel in alle gevallen volstaat. Beveiliging is immers zo sterk als de zwakste schakel. Dit lijkt een detailpunt, maar is dat in het geheel niet! Het Platform vraagt aandacht van de overheid voor dit implementatie- issue, omdat het kan leiden tot een situatie waarin de zo gewenste harmonisatie niet wordt gerealiseerd. Bovendien kan het leiden tot ineffectiviteit en inefficiency in de gehele bedrijfstak. www.itrust.foundation info@itrust.foundation Correspondentie: Scheltuslaan 21 2273 DL Voorburg IBAN: NL70 ABNA 0529 7906 02 BIC: ABNA NL 2A KvK- nummer: 62054570 BTW: NL8546.20.266.B.01 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback