DigiNotar is aardig in het nieuws over de hack die daar heeft plaatsgevonden. Zowel technisch als juridisch is de materie, waar DigiNotar zich in begeeft, vrij complex.
Mark Jansen van Dirkzwager Advocaten schreef een blog over de aansprakelijkheid van DigiNotar. Goed punt, want hier zijn veel vragen over. Jansen haalt in zijn blog een artikel aan dat de aansprakelijkheid van certificatiedienstverleners regelt:
“Wat daar ook van zij, noemenswaardig voor dit blogbericht is dat er een specifieke regeling voor de aansprakelijkheid van certificaatdienstverleners (als Diginotar) in artikel 6:196b BW van de wet staat. Die regeling geldt alleen wanneer een zogenaamd “gekwalificeerd certificaat” is uitgegeven. Voor de aansprakelijkheid van certificaatdienstverleners bij uitgifte van andere certificaten geldt het “normale” aansprakelijkheidsrecht. Daar ga ik in dit bericht verder niet op in.”
Hiermee wekt Jansen de indruk dat het wetsartikel (artikel 6:196b BW) van toepassing is op de uitgifte van SSL-certificaten. Dat is niet het geval. SSL-certificaten, die nu bij DigiNotar onder vuur liggen, zijn juridisch gezien andere certificaten dan gekwalificeerde certificaten. De eisen voor gekwalificeerde certificaten zijn veel zwaarder. Zo moet je als certificatiedienstverlener van gekwalificeerde certificaten bij de OPTA staan ingeschreven. Ook gelden er specifieke wettelijke bepalingen voor gekwalificeerde certificaten (waaronder dus artikel 6:196b BW).
Wat zijn nu precies gekwalificeerde certificaten? Gekwalificeerde certificaten worden bijvoorbeeld gebruikt voor ondertekening van elektronische documenten. Met een gekwalificeerd certificaat kan je bijvoorbeeld een handtekening zetten op een PDF-document. Dit doe je met een smartcard (een zogenaamd “veilig” middel). Deze smartcard is persoonsgebonden en bevat een sleutel waarmee de handtekening wordt gezet. Om je handtekening te zetten dien je een pincode in te voeren.
Deze vorm van elektronisch ondertekenen is in Nederland nog vrij onbekend. Dit komt mede doordat het nogal ingewikkeld is om zo’n gekwalificeerd certificaat aan te vragen. Daarnaast is zo’n certificaat is vrij kostbaar. Een digitale handtekening, welke wordt gezet met een gekwalificeerd certificaat, staat gelijk aan een handgeschreven handtekening. Vandaar dat er allerlei strenge regels gelden en er niet veel partijen zijn die zo’n certificaat uit mogen geven. DigiNotar is wel zo’n partij. Zij staat bij de OPTA ingeschreven. Bovendien is zij door een auditor gecertificeerd om deze certificaten uit te mogen geven.
DigiNotar is ook door een auditor gecertificeerd om SSL-certificaten uit te mogen geven. Deze SSL-certificaten, waarvoor minder zware eisen gelden dan voor gekwalificeerde certificaten, kennen geen apart juridisch regime. Ze vallen, zoals gezegd, dus niet onder artikel 6:196b BW. Als SSL-certificaten wel als gekwalificeerde certificaten zouden kunnen worden aangemerkt en deze bepaling dus wel voor deze certificaten zou gelden, dan zou DigiNotar een groot probleem hebben. Ze zou dan door de OPTA kunnen worden aangesproken. De OPTA is namelijk belast met het toezicht op de certificatiedienstverleners van gekwalificeerde certificaten. Tevens is er dan een beroep mogelijk op de aansprakelijkheidsbepaling voor certificatiedienstverleners (artikel 6:196b BW).
Het is opmerkelijk dat de wetgever geen bijzondere aansprakelijkheidsbepaling heeft gemaakt voor andere certificaten dan gekwalificeerde certificaten. Zoals we de afgelopen dagen hebben kunnen zien, zijn de gevolgen van de uitgifte van valse SSL-certificaten erg groot. Waarschijnlijk heeft de wetgever dit niet voorzien.
Ook al kunnen de gebruikers, die hebben vertrouwd op een vals SSL-certificaat van DigiNotar, geen aanspraak kunnen maken op de bijzondere aansprakelijkheidsbepaling, wil dat nog niet zeggen dat er geen juridische mogelijkheden zijn. Naar mijn mening kan DigiNotar wel via het “normale” aansprakelijkheidsrecht aansprakelijk worden gesteld. Het zou onder andere kunnen gaan om de volgende punten:
- DigiNotar kan zelf geen SSL-certificaten meer leveren die goed functioneren. De browsers geven immers een foutmelding. Al zo’n SSL-certificaat niet langer wordt geaccepteerd door de browsers, schiet DigiNotar tekort in de nakoming van haar verplichtingen. DigiNotar heeft zich immers verplicht tot het leveren van goed werkende SSL-certificaten. De klanten van DigiNotar kunnen schadevordering instellen uit hoofde van wanprestatie. Het overigens nog de vraag in hoeverre de deze claim zin heeft. DigiNotar heeft haar aansprakelijkheid in de algemene voorwaarden en in het Certificate Practice Statement beperkt. Toch gek als je je bedenkt dat de gevolgen van het niet-functioneren groot zijn. Zo is het digitale loket van de rechtbanken voor advocaten op dit moment niet beschikbaar.
“Deze digitale diensten zijn tijdelijk niet bereikbaar vanwege een technisch probleem met de beveiliging. Betrouwbare digitale communicatie tussen browser en website is momenteel niet mogelijk. Daardoor heeft de advocatuur momenteel geen toegang tot lopende zaken op de roljournalen en het familiejournaal van het Digitaal loket rechtspraak.”
- Op de website van DigiNotar staat de volgende mededeling:
“Gebruikers van SSL certificaten kunnen afhankelijk van de desbetreffende browserleverancier geconfronteerd worden met een mededeling dat het certificaat niet vertrouwd wordt. Dit is in 99,9% van de gevallen onjuist, het certificaat kan wel worden vertrouwd. Dit kan handmatig door de gebruiker zelf worden aangegeven in de browser (hiervoor kunt u terecht op de FAQ op onze website).”
DigiNotar zegt dat haar SSL-certificaten kunnen worden vertrouwd, maar is dat wel zo? Dat zal nader onderzoek uit moeten wijzen. Bovendien heeft DigiNotar het over een garantie van “99,9%”. Dit betekent dat 1 op de 1000 certificaten niet te vertrouwen zou zijn.
Deze mededeling is juridisch gezien niet handig, want DigiNotar zou op basis van deze mededeling aansprakelijk gesteld kunnen worden. De mededeling dat je certificaten zomaar als vertrouwd moet toevoegen gaat geheel in tegen wat er in het algemeen als veilig wordt beschouwd. Dit is niet zorgvuldig.
Klanten van DigiNotar nemen deze mededeling zelfs over. De RDW verwijst nu ook al naar deze mededeling en loopt door dat te doen ook een juridisch risico.
Het einde van deze nachtmerrie voor DigiNotar is nog niet in zicht…
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.