Beeindigen registratie van Diginotar door OPTA
Naar aanleiding van [intlink id="7881" type="post"]de hack van Diginotar[/intlink] heeft de OPTA op 13 september 2011 besloten de registratie van Diginotar als aanbieder van gekwalificeerde certifcaten per 14 september 2011 12.00 uur te beeindigen. Het praktische gevolg daarvan was dat Diginotar vanaf die datum geen nieuwe gekwalificeerde certificaten meer mocht uitgeven en dat bestaande certificaten per direct door Diginotar moesten worden ingetrokken. De OPTA gunde Diginotar daarbij een extra termijn van twee weken voor het intrekken van de certificaten. Diginotar heeft vervolgens op 14 september 2011 aan haar afnemers laten weten dat de gekwalificeerde certificaten per 27 september 2011 zouden worden ingetrokken.
Deurwaarders en notarissen starten kort geding
De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG), De Koninklijke Notariële Beroepsorganisatie (KNB) en de Stichting Netwerk Gerechtsdeurwaarders (SNG) hebben daarop op 24 september 2011 de OPTA gedagvaard om op 26 september te verschijnen voor de voorzieningenrechter van de rechtbank 's-Gravenhage.
Notarissen en deurwaarders maken volop gebruik van elektronische communicatie en hiervoor worden gekwalificeerde certificaten gebruikt. Het is voor de deze partijen dan ook van groot belang dat zij blijvend langs elektronische weg kunnen communiceren. In het kort geding hebben de KBvG, KNB en SNG betoogd dat door de OPTA gegunde uitlooptermijn van twee weken te kort is om over te schakelen op alternatieve aanbieders van gekwalificeerde certificaten. Zij vorderen dan ook dat de OPTA zal worden bevolen toe te staan dat de certificaten van deurwaarders en notarissen tot 1 november 2011 niet worden ingetrokken en tot die tijd worden gebruikt door de notarissen en deurwaarders.
De rechtbank wijst de vordering van een langere uitlooptermijn af. De rechtbank overweegt dat volgens de wet de certificaten ogenblikkelijk hadden moeten worden ingetrokken en dat de OPTA al een overgangstermijn van twee weken heeft gegund. De rechtbank ziet niet in dat een nog langere termijn zou moeten worden gegund . Sterker nog, de rechtbank acht het belang van betrouwbare digitale communicatie zo groot dat de certificaten van Diginotar zo snel mogelijk moeten worden teruggetrokken:
4.3. Evident is dat het Diginotar - na de beëindiging van haar registratie als certificatiedienstverlener - niet alleen was verboden om nog gekwalificeerde certificaten aan te bieden, maar ook dat de reeds door haar aan derden uitgegeven gekwalificeerde certificaten niet meer mogen worden gebruikt en dus moeten worden ingetrokken (zie ook artikel 2, lid 1, sub p onder 2° van het Besluit elektronische handtekeningen). (...)
4.4. (...) Uit hetgeen hiervoor onder 4.3 is overwogen, volgt dat door die certificatiedienstverlener reeds verstrekte certificaten ook onmiddellijk, althans zo snel mogelijk moeten worden ingetrokken. In de onderhavige situatie klemt dat te meer omdat de betrouwbaarheid van die certificaten niet meer voor de volle 100% kan worden gegarandeerd. Dat zulks - na de "hackeractiviteiten" - nog het geval is, is in ieder geval gesteld noch gebleken.
4.5. Het voorgaande betekent dat OPTA onverplicht een termijn van twee weken heeft bepaald waarbinnen de door Diginotar uitgegeven gekwalificeerde certificaten dienen te zijn ingetrokken. Op zichzelf valt dat te begrijpen en te billijken, omdat Diginotar tijd moest worden geboden om al haar afnemers van gekwalificeerde certificaten op de hoogte te stellen van de intrekking. Gelet op een en ander, alsmede op het achterliggende beveiligingsprobleem aangaande de certificaten van Diginotar, valt - zonder meer - niet in te zien dat OPTA gehouden was/is een langere termijn toe te staan. (...)
4.7. (...) Het belang van OPTA bij veilige en betrouwbare gekwalificeerde certificaten moet namelijk als zwaarwegender worden aangemerkt dan het belang van eisers, dat kort gezegd neerkomt op het voorkomen van een verhoging van de kosten verbonden aan de inschrijving van notariële akten en beslagen in het Kadaster. Dat klemt te meer nu de kostenstijging - die per akte/beslag beschouwd als redelijk overzienbaar moet worden aangemerkt - slechts tijdelijk is (tot omstreeks 1 november 2011) en verhaalbaar is op de opdrachtgever. Aan het voorgaande doet niet af dat - zoals eisers stellen - het risico op fraude aan de hand van een vervalst gekwalificeerd certificaat uiterst minimaal is, wat daar verder ook van zij. Over de veiligheid en betrouwbaarheid van een gekwalificeerd certificaat mag immers geen enkele twijfel bestaan, hetgeen niet meer opgaat voor de door certificaten van Diginotar na het "hacken" van haar systeem.
De curator probeert daarna hetzelfde te bereiken bij de bestuursrechter
Ondertussen is Diginotar per 20 september 2011 failliet verklaard. Het beheer van Diginotar is dus overgenomen door de curator. In verband met mogelijke schadeclaims van de notarissen en deurwaarders op Diginotar, start ook deze curator een procedure in een (tweede) poging alsnog een langere uitloopperiode voor notarissen en deurwaarders te bewerkstelligen.
De curator start een bestuursrechtelijke procedure bij de rechtbank Rotterdam. In deze procedure verzoekt de curator aan de rechtbank om een voorlopige voorziening te treffen, zodanig dat Diginotar - ondanks het besluit van de OPTA de registratie van Diginotar in te trekken - de certificaten van notarissen en deurwaarders toch tot 1 november 2011 in gebruik mag blijven houden.
De bestuursrechter wijst dit verzoek af. De rechter overweegt kort samengevat dat de belangen van de curator louter financieel van aard zijn en dat voor dergelijke belangen tussentijds ingrijpen middels een voorlopige voorziening niet nodig is. De curator kan in bezwaar gaan bij de OPTA tegen het besluit tot intrekking van de registratie en vervolgens, wanneer dat geen succes oplevert, in beroep gaan bij de rechtbank. Mocht in die procedure(s) blijken dat de OPTA het besluit ten onrechte heeft genomen, dan zal tegen die tijd de daaruit voortvloeiende schade mogelijk op de OPTA kunnen worden verhaald.
Aandachtspunten
Een belangrijke les die uit dergelijke procedures getrokken kan worden is dat continuiteit van dienstverlening een (zeer) belangrijk aandachtspunt is bij uitbesteding van bepaalde dienstverlening. In dit geval waren zowel de notarissen als deurwaarders in hoge mate afhankelijk van een enkele partij, te weten Diginotar. Die grote afhankelijkheid en de gevolgen daarvan worden heel duidelijk zichtbaar in deze procedure. Het is van belang bij de contractsonderhandelingen aandacht te schenken aan deze afhankelijkheid en aan (praktische) oplossingen om die afhankelijkheid te verkleinen. Dit thema komt onder meer aan de orde bij ons komende [intlink id="7360" type="post"]seminar cloud computing[/intlink].