Regeling van de Staatssecretaris van Economische Zaken van 18 december 2009, nr. WJZ/9230119, tot vaststelling van de inhoudelijke -en vormvereisten aan de lijst tot verificatie van certificatiedienstverleners die gekwalificeerde certificaten aan het publiek aanbieden of afgeven, alsmede tot wijziging van de Dienstenregeling centraal loket en interne markt informatiesysteem (Regeling vertrouwenslijst)

1

In deze regeling wordt verstaan onder:

• a.

  Autoriteit Consument en Markt: de Autoriteit Consument en Markt, genoemd in artikel 2, eerste lid, van de Instellingswet Autoriteit Consument en Markt;

• b.

  certificatiedienstverlener: een certificatiedienstverlener als bedoeld in artikel 1.1 van de Telecommunicatiewet die gekwalificeerde certificaten als bedoeld in artikel 1.1 van de Telecommunicatiewet afgeeft of aanbiedt aan het publiek;

• c.

  vertrouwenslijst: het register, bedoeld in artikel 2.3, vijfde lid, van de Telecommunicatiewet, dat betrekking heeft op certificatiedienstverleners die overeenkomstig artikel 18.15 van de Telecommunicatiewet gekwalificeerde certificaten aan het publiek aanbieden of afgeven, waaruit blijkt of die certificatiedienstverleners certificaten afgeven of aanbieden waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel;

• d.

  beschikking één-loket: de beschikking van de Europese Commissie van 16 oktober 2009 nr. 2009/767/EG inzake maatregelen voor een gemakkelijker gebruik van elektronische procedures via het ‘één-loket’ in het kader van Richtlijn nr. 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PBEU L 274/36);

• e.

  PDF-bestand: Portable Document Format-bestand dat is opgesteld overeenkomstig ISO 32000 en is geformatteerd volgens het PDF/A-profiel (ISO 19005);

• f.

  ETSI TS 102 231: de technische specificatie ‘Electronic Signatures and Infrastructures (ESI), Provision of harmonised Trust-service status information’, opgesteld door het European Telecommunications Standards Institute (ETSI), v3.1.2 (2009-12);

• g.

  ETSI TS 101 903: de technische specificatie ‘XML Advanced Electronic Signatures (XAdES)’, opgesteld door het European Telecommunications Standards Institute (ETSI), v1.4.1 (2009-06);

• h.

  ETSI TS 102 778: de technische specificatie ‘Electronic Signatures and Infrastructures (ESI), PDF Advanced Electronic Signature Profiles’, opgesteld door het European Telecommunications Standards Institute (ETSI), met dien verstande dat gebruik wordt gemaakt van de versie:

  • 1°.

    Part 2: PAdES Basic -Profile based on ISO 32000-1 a framework document for PAdES, v1.2.1 (2009-07), of

  • 2°.

    Part 3: PAdES ENhanced - PadES-BES and PAdES-EPES Profiles, v1.2.1 (2010-07);

• i.

  TSL: de ‘Transport Layer Security’, versie 1.2, IETF RFC 5246.

2

De in de onderdelen g tot en met h genoemde specificaties omvatten een vernieuwing van de versie van de standaard die blijft binnen het hoogste niveau van het in deze onderdelen genoemde versienummer, met dien verstande dat een vernieuwing van toepassing is met ingang van de dertigste dag na de dag waarop die vernieuwing door het European Telecommunications Standards Institute is gepubliceerd.

1

De Autoriteit Consument en Markt stelt de vertrouwenslijst op overeenkomstig de instructies in hoofdstuk 1, hoofdstuk II en hoofdstuk IV van de bijlage bij de beschikking één-loket.

2

De Autoriteit Consument en Markt treft maatregelen die ertoe strekken te waarborgen dat de in de vertrouwenslijst opgenomen gegevens:

• a.

  voor een ieder beschikbaar zijn,

• b.

  beveiligd zijn, en

• c.

  voldoendebetrouwbaar en actueel zijn.

1

De gegevens in de vertrouwenslijst zijn:

• a.

  gesteld in de Nederlandse en de Engelse taal, en

• b.

  geformuleerd overeenkomstig de termen en definities die worden gehanteerd in hoofdstuk 1 en hoofdstuk II van de bijlage bij de beschikking één-loket en in ETSI TS 102 231, met dien verstande dat in het geval van afwijkingen tussen de bijlage bij de beschikking één-loket en ETSI TS 102 231 geldt hetgeen in de bijlage bij de beschikking één-loket is bepaald.

2

In afwijking van het eerste lid, onderdeel a, zijn de door de certificatiedienstverlener verstrekte documenten gesteld in de Nederlandse taal of de Engelse taal.

1

De Autoriteit Consument en Markt waarborgt de authenticiteit en integriteit van de menselijk leesbare versie van de vertrouwenslijst door:

• a.

  ofwel de lijst te ondertekenen met een elektronische handtekening overeenkomstig de specificaties van ETSI TS 102 778,

• b.

  ofwel de lijst aan te bieden vanaf een website die is beveiligd met TLS.

2

De Autoriteit Consument en Markt waarborgt de authenticiteit en integriteit van de machinaal verwerkbare versie van de vertrouwenslijst door:

• a.

  de lijst te ondertekenen met een elektronische handtekening overeenkomstig de specificaties van ETSI TS 101 903, en

• b.

  de lijst aan te bieden vanaf een website die is beveiligd met TLS.

3

Het certificaat, waarop de handtekening, bedoeld in onderdeel a van het eerste en tweede lid, of waarop TLS als bedoeld in onderdeel b van het eerste en tweede lid, is gebaseerd, voldoet aan de volgende vereisten:

• a.

  het certificaat is van een hoog betrouwbaarheidsniveau;

• b.

  indien het certificaat wordt afgenomen van een certificatiedienstverlener, is die dienstverlener niet opgenomen in de vertrouwenslijst.

4

De Autoriteit Consument en Markt stelt ter beschikking van Onze Minister:

• a.

  het publieke sleutelcertificaat dat de Autoriteit Consument en Markt gebruikt om de vertrouwenslijst te publiceren op een website,

• b.

  het publieke sleutelcertificaat dat de Autoriteit Consument en Markt gebruikt om de menselijk leesbare versie van de vertrouwenslijst te ondertekenen, en

• c.

  het publieke sleutelcertificaat dat de Autoriteit Consument en Markt gebruikt om de machinaal verwerkbare versie van de vertrouwenslijst te ondertekenen.

5

De Autoriteit Consument en Markt publiceert de vingerafdruk van het TLS certificaat in de Staatscourant en vermeldt de vindplaats van de vingerafdruk op haar website.

1

De Autoriteit Consument en Markt maakt de vertrouwenslijst op elektronische wijze voor een ieder beschikbaar en toegankelijk in een menselijk leesbare versie en een machinaal verwerkbare versie, met dien verstande dat de Autoriteit Consument en Markt de menselijk leesbare versie van de vertrouwenslijst beschikbaar en toegankelijk maakt als een PDF-bestand.

2

De Autoriteit Consument en Markt maakt de vertrouwenslijst voorts opnieuw beschikbaar en toegankelijk op de in het eerste lid bepaalde wijze:

• a.

  na iedere wijziging van hetgeen in de vertrouwenslijst is opgenomen, of

• b.

  indien geen wijzigingen worden gemeld: ten minste een keer in de zes maanden.

3

De Autoriteit Consument en Markt waarborgt dat het PDF-bestand, bedoeld in het eerste lid, door een ieder kan worden afgedrukt.

1

De Autoriteit Consument en Markt neemt in de vertrouwenslijst in ieder geval de gemeenschappelijke teksten en specifieke URI op zoals die zijn vastgesteld in hoofdstuk 1 van de bijlage bij de beschikking één-loket.

2

In de vertrouwenslijst neemt de Autoriteit Consument en Markt voorts een beschrijving op van:

• a.

  het toezichtsysteem,

• b.

  de procedures van toetsing, bedoeld in artikel 18.16, eerste lid, van de Telecommunicatiewet,

• c.

  de procedures van beoordeling, bedoeld in artikel 18.17, van de Telecommunicatiewet, en de criteria die in de procedures, bedoeld in de onderdelen b en c, worden gehanteerd om vast te stellen of een certificatiedienstverlener gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft overeenkomstig artikel 18.15 van de Telecommunicatiewet en of een certificatiedienstverlener tevens certificaten afgeeft of aanbiedt waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel.

1

De Autoriteit Consument en Markt neemt in de vertrouwenslijst in ieder geval de gegevens op die noodzakelijk zijn om vast te stellen of een certificatiedienstverlener gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft overeenkomstig artikel 18.15 van de Telecommunicatiewet, met dien verstande dat uit de lijst ten minste duidelijk moet zijn of een certificatiedienstverlener:

• a.

  getoetst is overeenkomstig artikel 18.16 van de Telecommunicatiewet, alsmede wat het resultaat en de actuele status is van die toetsing;

• b.

  voornemens is om de dienstverlening te beëindigen;

• c.

  op grond van artikel 2.2., vierde lid, onderdelen a tot en met d, van de Telecommunicatiewet door de Autoriteit Consument en Markt niet langer wordt aangemerkt als een certificatiedienstverlener die gekwalificeerde certificaten aan het publiek aanbiedt of afgeeft.

2

De Autoriteit Consument en Markt neemt in de vertrouwenslijst voorts in ieder geval de gegevens op die noodzakelijk zijn om vast te stellen of een certificatiedienstverlener als bedoeld in het eerste lid, certificaten afgeeft of aanbiedt waarmee elektronische handtekeningen kunnen worden aangemaakt door een veilig middel.

3

Als een gegeven als bedoeld in het eerste of tweede lid wordt gewijzigd, blijft het oorspronkelijke gegeven gedurende 10 jaar na de datum waarop de wijziging is ingegaan, vermeld in de vertrouwenslijst.

1

De certificatiedienstverlener verstrekt in de aanvraag ten behoeve van opname op de vertrouwenslijst de door de Autoriteit Consument en Markt gevraagde gegevens in de Nederlandse en de Engelse taal, en formuleert de gegevens overeenkomstig de termen en definities die worden gehanteerd in hoofdstuk 1, hoofdstuk II van de bijlage bij de beschikking één-loket en ETSI TS 102 231. In het geval van afwijkingen tussen de bijlage bij de beschikking één-loket en ETSI TS 102 231 geldt hetgeen in de bijlage bij de beschikking één-loket is bepaald.

2

De certificatiedienstverlener overlegt voorts bij de aanvraag de door de Autoriteit Consument en Markt gevraagde documenten in de Nederlandse of de Engelse taal.

3

De certificatiedienstverlener geeft een wijziging van de gegevens en documenten, bedoeld in het eerste en tweede lid, op met vermelding van de datum waarop de wijziging is ingegaan. Het eerste en het tweede lid zijn van overeenkomstige toepassing op een melding tot wijziging van gegevens en documenten.

4

Op verzoek van de Autoriteit Consument en Markt verstrekt de certificatiedienstverlener voorts onverwijld alle gegevens en documenten die de Autoriteit Consument en Markt noodzakelijk acht voor de volledigheid van de inhoud van de vertrouwenslijst, bedoeld in de artikelen 7 tot en met 9.

5

De gegevens, bedoeld in het eerste tot en met vierde lid, worden op verzoek van de Autoriteit Consument en Markt elektronisch verstrekt door de certificatiedienstverlener op de door de Autoriteit Consument en Markt gevraagde wijze.

1

De certificatiedienstverlener publiceert op een website de verwijzingen naar de algemene voorwaarden van de certificatiedienstverlener, zijn praktijken, zijn klantenservicebeleid, informatie over wetgeving en andere algemene informatie over de door die certificatiedienstverlener aangeboden certificatiediensten. Ten aanzien van zijn klantenservicebeleid, informatie over wetgeving en andere algemene informatie over de door die certificatiedienstverlener aangeboden certificatiediensten kan de certificatiedienstverlener in plaats van een verwijzing volstaan met het publiceren van een inleidende tekst op de website met verwijzingen.

2

De in het eerste lid genoemde verwijzingen en inleidende teksten zijn gesteld in de Nederlandse en de Engelse taal.

3

De certificatiedienstverlener verstrekt de Autoriteit Consument en Markt de verwijzing naar de in het eerste lid bedoelde website en informeert de Autoriteit Consument en Markt onverwijld van wijziging daarvan.