Open Kamerbeta

Kamervraag 2013Z07498

De DigiNotar-affaire op basis van WOB-stukken

Ingediend 12 april 2013
Beantwoord 29 mei 2013 (na 47 dagen)
Indiener Kees Verhoeven (D66)
Beantwoord door Opstelten (minister justitie en veiligheid) (VVD), Henk Kamp (minister economische zaken) (VVD)
Onderwerpen economie ict openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2013Z07498.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20122013-2401.html
1. http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/wob-v…
  • Vraag 1
    Kunt u beschrijven hoe de exacte overdracht van de operationele bevoegdheden van DigiNotar heeft plaatsgevonden?1

    Deze beschrijving vindt u in mijn besluiten op Wob-verzoeken over dit onderwerp. Deze zijn met bijlagen te vinden op de website rijksoverheid.nl onder Wob-verzoeken.
    Kortheidshalve verwijs ik u daarnaar.

  • Vraag 2
    Op welke manier is tijdens het intensieve telefooncontact op de avond van 2 september 2011 DigiNotar en moederbedrijf VASCO overtuigd dat het overdragen van alle verantwoordelijkheden wenselijk was?

    Blijkbaar was ook VASCO van mening, dat het inschakelen van een medewerker van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) voor het operationeel management voor het algemeen maatschappelijk belang de beste oplossing was om de klanten van DigiNotar te ondersteunen om op een beheerste wijze over te stappen naar andere leveranciers van certificaten. Op 3 september 2011 heeft VASCO een volmacht afgegeven, waarin de overname van het operationele management geregeld werd. Anders dan u stelt, zijn niet alle verantwoordelijkheden overgedragen, maar uitsluitend het operationeel management zoals omschreven in de volmacht.

  • Vraag 3
    Kunt u uitleggen op basis van welke wettelijke grondslag is overgegaan tot het de facto overnemen van DigiNotar en kunt u de juridische onderbouwing toelichten?

    DigiNotar is niet de facto overgenomen. Alleen het operationeel management is overgenomen na goed overleg met VASCO. Hieraan ligt geen specifieke wettelijke bepaling ten grondslag.

  • Vraag 4
    Kunt u toelichten waarom ervoor is gekozen om de volmacht breder te maken dan de eigen overheidscertificaten en er is gekozen voor alle certificaten van DigiNotar?

    Beperking tot de PKI-overheid certificaten zou niet voldoende zijn geweest voor de continuïteit van de dienstverlening door overheidsorganen en enkele vitale sectoren.
    Overheidsorganisaties gebruikten voor hun online dienstverlening niet alleen certificaten van PKI-overheid, maar ook grote(re) aantallen certificaten van DigiNotar zelf («eigen merk»). Daarnaast gebruikten enkele sectoren met een publieke taak grote aantallen certificaten van DigiNotar zelf (notariaat, gerechtsdeurwaarders) evenals de advocatuur (met een eigen productieomgeving voor certificaten van DigiNotar), de energiesector, de financiële sector en de belastingdienst.

  • Vraag 5
    Kunt u een toelichting geven op het specifiek uitlichten van de gebruikerslijst in deze volmacht en het belang van deze gebruikerslijst beschrijven?

    In de volmacht is een trits van specifieke bevoegdheden opgesomd, waaronder de toegang tot de gebruikerslijsten, zodat over deze bevoegdheden in de praktijk geen discussies zou kunnen ontstaan of ze wel behoorden tot de operationele bevoegdheid van de gemachtigde bestuurder.

  • Vraag 6
    Kunt u bevestigen dat een belangrijke reden voor de overname van DigiNotar het in bezit krijgen van de zogenaamde gebruikerslijsten was?

    Aangezien externe partijen, zoals de browserleveranciers Mozilla en Microsoft het vertrouwen in alle door DigiNotar geleverde certificaten hadden opgezegd liepen op heel korte termijn veel belangrijke processen risico op verstoring of zelfs stilvallen.
    De gebruikerslijsten waren daarom belangrijk om alle gebruikers van door DigiNotar geleverde certificaten snel te kunnen informeren over de status van hun certificaten en hen te ondersteunen bij de overstap naar een andere certificatenleverancier, zodat hun dienstverlening ongestoord zou kunnen blijven doorgaan met gebruik van een nieuw, vertrouwd certificaat.

  • Vraag 7
    Kunt u bevestigen dat de overheid had kunnen en had moeten beschikken over haar eigen gedeelte van de gebruikerslijst, aangezien het hier ging om diensten door haarzelf afgenomen?

    Nee. Elke afnemer van certificaten houdt een registratie bij van de eigen certificaten. Er is geen overheidsbrede administratie van certificaten, noch van certificaten van PKI-overheid noch van certificaten van andere leveranciers van certificaten. «De overheid» zelf is geen juridische entiteit, maar bestaat uit vele zelfstandige bestuursorganen en organisaties, die zelf verantwoordelijk zijn voor het beheer van de door hen aangeschafte ICT-middelen.
    De leveranciers van certificaten hebben uiteraard een sluitende administratie van alle uitgegeven certificaten, maar geen verplichting om een lijst met hun afnemers aan derden te geven. Dit is ook niet gewenst vanwege onnodige regeldruk en concurrentieoverwegingen.

  • Vraag 8
    Kunt u toelichten wat het zelf in bezit hebben van deze gebruikerslijst had uitgemaakt voor de urgentie en de noodzaak van het overnemen van DigiNotar?

    Zie antwoord op vraag 7. De gebruikerslijsten vormden slechts een onderdeel van de aspecten die onderdeel uitmaakten van het operationele management.

  • Vraag 9
    Kunt u ingaan op de huidige situatie met betrekking tot gebruikerslijsten? Beschikt de overheid nu wel accurate lijsten van op welke plekken welke diensten afgenomen worden?

    Zie het antwoord op vraag 7.

  • Vraag 10
    Kunt u aangeven op welke voorwaarden Microsoft akkoord is gegaan met het uitstel van een update voor de Nederlandse markt van een week?

    Microsoft heeft geen voorwaarden gesteld aan het uitstel.

  • Vraag 11
    Kunt u uitsluiten dat er voor het maken van deze afspraak enige koppeling is gelegd met andere afspraken of contracten tussen de overheid en Microsoft in het verleden, heden of toekomst?

    Ja.

  • Vraag 12
    Wordt er gewerkt aan alternatieven voor SSL waar de overheid voor haar dienstverlening van gebruik zou kunnen maken? Welke rol speelt de overheid hier zelf in?

    Er bestaan ideeën over alternatieven voor SSL-certificaten. Enkele bedrijven ontwikkelen deze verder in overleg met relevante partijen. Wanneer dit onderwerp in EU verband wordt besproken, spreekt Nederland mee. Deze alternatieven zullen op de korte en middellange termijn (3–5 jaar) nog geen vervanger zijn voor de SSL-certificaten.
    In opdracht van het Ministerie van EZ en BZK heeft de Leverancier Logica (thans bekend onder de naam CGI) op 8 maart 2012 een rapport gepubliceerd met als titel «Evaluatie PKI». In dit rapport is ook gekeken naar alternatieven voor SSL. Conclusie van de onderzoekers was dat alternatieven enerzijds nog niet goed zijn uitgekristalliseerd en anderzijds nog niet volwassen genoeg zijn voor brede toepassing.

  • Mededeling - 6 mei 2013

    Naar aanleiding van de schriftelijke vragen van het lid Verhoeven (D66) over de DigiNotar-affaire op basis van WOB-stukken, die werden ingezonden op 12 april 2013 met kenmerk 2013Z07498, deel ik u mee dat het niet mogelijk is deze vragen binnen de gestelde termijn te beantwoorden. De oorzaak hiervan is dat nog niet alle gegevens zijn verkregen die voor de beantwoording nodig zijn. Beantwoording zal plaatsvinden zodra meer informatie is verkregen.

Kamervraag document nummer: kv-tk-2013Z07498
Volledige titel: De DigiNotar-affaire op basis van WOB-stukken
Kamerantwoord document nummer: ah-tk-20122013-2401
Volledige titel: Antwoord vragen van het lid Verhoeven over de DigiNotar-affaire op basis van WOB-stukken