| Ingediend | 31 augustus 2011 |
|---|---|
| Beantwoord | 13 september 2011 (na 13 dagen) |
| Indiener | Arjan El Fassed (GL) |
| Beantwoord door | Piet Hein Donner (minister binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2011Z16610.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20102011-3626.html |
Ja.
Het is ons bekend dat de certificaten van het bedrijf DigiNotar door de webbrowsers niet meer als betrouwbaar worden aangemerkt. Leveranciers van besturingssystemen en applicatiesoftware kunnen een update doorvoeren van hun systemen met als gevolg dat sommige websites en onderliggende systemen moeilijker – of in het geheel niet – bereikbaar zijn. Een aantal heeft dit ook gedaan.
In het stelsel van PKI-Overheid is voorzien dat certificaatleveranciers (CA) jaarlijks worden geaudit naar de opzet en werking van de eisen zoals vastgelegd in het Programma van Eisen PKI-Overheid. Deze audits worden uitgevoerd door gecertificeerde auditors. Zij rapporteren aan de Policy Authority (PA) van PKI-Overheid.
Daarnaast vindt er toezicht plaats door de OPTA2 op basis van de Telecomwet, indien er sprake is van uitgifte van gekwalificeerde3 certificaten ten behoeve van de elektronische handtekening. De DigiNotar certificaten waarbij het aangetoonde misbruik heeft plaats gevonden, zijn certificaten waar de OPTA geen bevoegdheid heeft om op toe te zien.
Het Kabinet neemt de structurele betekenis van de gebeurtenissen in ogenschouw. In het licht hiervan voert het ministerie van Binnenlandse Zaken en Koninkrijksrelaties onderzoek uit naar het gehele stelsel en proces rondom PKI-Overheid, inclusief het toezicht daarop. Het ministerie van ELI laat aanvullend daarop onderzoeken in hoeverre de problemen rondom DigiNotar ook consequenties hebben voor de wijze van toezicht op uitgifte van gekwalificeerde certificaten. De Tweede Kamer wordt hierover geïnformeerd zodra meer duidelijk is. Zoals in het regeerakkoord is gesteld zal de Staatssecretaris van Veiligheid en Justitie bovendien een wetsvoorstel indienen dat een meldplicht introduceert voor gebeurtenissen zoals deze bij DigiNotar zijn voorgekomen.
De gevolgen van de reactie door internetdienstverleners op het bekend worden van de door DigiNotar afgegeven gecompromitteerde certificaten voor het vertrouwen in het digitale communicatieverkeer zijn groot, ook al is de materiële betekenis van die afgifte mogelijk veel beperkter. Alleen partijen die gebruik maken van certificaten of diensten van DigiNotar lopen het risico dat systemen of communicatie uitvallen. Tot nu toe is geconstateerd dat sommige websites (tijdelijk) uit de lucht zijn.
DigiNotar is niet het enige bedrijf dat certificaten en diensten voor internetverkeer genereert. De certificaten van andere bedrijven worden niet geraakt door de gebeurtenissen bij DigiNotar.
Het Kabinet heeft het operationele beheer van de systemen voor certificering bij DigiNotar gecontroleerd overgenomen, zodat de certificaten gefaseerd kunnen worden ingetrokken en het gebruik van de door hacker aangemaakt en gebruikte certificaten kan worden gemonitord en kan worden bestreden waar dit wordt waargenomen.
Het Kabinet onderzoekt wie betrokken zijn bij het hacken van DigiNotar. Voor een beschrijving van genomen besluiten en ingezette acties verwijs ik naar de Kamerbrief «Digitale inbraak DigiNotar» van 5 september 2011.
Het Kabinet onderzoekt momenteel wie betrokken zijn bij het hacken van DigiNotar. Op grond van de uitkomsten van dit onderzoek beraadt het Kabinet zich op passende vervolgstappen.
Het feit dat de hacker certificaten namens DigiNotar oneigenlijk heeft aangemaakt, heeft geen gevolgen voor andere certificaatleveranciers. Wanneer de certificaten op een juiste, zorgvuldige wijze zijn gegenereerd, ongeacht door welk bevoegd bedrijf, is er op dit moment geen enkele aanleiding om te twijfelen aan de betrouwbaarheid en veiligheid van deze certificaten en al het internetverkeer dat met behulp van deze certificaten heeft plaatsgevonden.
Tegelijkertijd is het Kabinet van oordeel dat de structurele betekenis van de gebeurtenissen in ogenschouw moeten worden genomen. Als onderdeel daarvan voert het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een onderzoek uit naar het gehele stelsel en proces rondom PKI-Overheid, inclusief het toezicht daarop. Daarnaast zal de DigiNotar problematiek ook geëvalueerd worden met het oog op de gewenste betrouwbaarheid van digitale dienstverlening van en aan bedrijven. De Tweede Kamer wordt hierover geïnformeerd zodra hierover meer duidelijkheid is.