Curator Diginotar betwijfelde ten onrechte het interim-rapport van Fox-IT
Rechtbank Rotterdam 16 mei 2013, LJN CA1010 (curator Diginotar tegen Autoriteit Consument en Markt, voorheen OPTA)
Rechtspraak.nl: Besluit van de Autoriteit Consument en Markt (voorheen: Opta) van 13 september 2011 waarbij de registratie van Diginotar als certificatiedienstverlener (CSP) per 14 september 2011 om 12.00 uur is beëindigd. Verweerder heeft zich gebaseerd op onderzoek verricht door Fox-IT. Eiser heeft niet betwist dat Fox-IT over een bijzondere deskundigheid op het vlak van IT veiligheid beschikt om een onderzoek uit te voeren naar aanleiding van het beveiligingsincident bij Diginotar. Voorts bestaat er voor de rechtbank geen aanleiding om te veronderstellen dat Fox-IT in haar onderzoek of rapportage niet onafhankelijk zou hebben gehandeld. Gelet op de situatie ten tijde van het primaire en het betreden besluit was het interim-rapport van Fox-IT in dit kader goed bruikbaar. Uit het door verweerder verrichte onderzoek is genoegzaam gebleken dat het netwerk dat door Diginotar werd gebruikt voor de uitgifte van gekwalificeerde certificaten door een hack van het systeem ernstig was gecompromitteerd.
Bijgevolg was, mede doordat achteraf niet te achterhalen is wat de hacker precies heeft gedaan, de betrouwbaarheid van de gekwalificeerde certificaten die via deze servers werden gegenereerd, niet langer te garanderen. Een nader onderzoek of daadwerkelijk misbruik van gekwalificeerde certificaten heeft plaatsgevonden is niet relevant. Bij Diginotar bestond geen adequate beveiliging (meer) tegen het vervalsen van gekwalificeerde certificaten. Diginotar voldeed niet (meer) aan de belangrijke verplichtingen als bedoeld in artikel 2, eerste lid, aanhef en onder c en d, van het Besluit electronische handtekeningen. Uit de wetsgeschiedenis bij artikel 2.2, vierde lid, aanhef en onder c, van de Telecommunicatiewet blijkt dat de bevoegdheid van verweerder om een herstelmogelijkheid te bieden uitsluitend bedoeld is voor gevallen waarin geen sprake is van twijfels over de betrouwbaarheid van de gekwalificeerde certificaten. De rechtbank is van oordeel dat verweerder in het onderhavige geval terecht op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP is overgegaan. Het beroep dient daarom ongegrond te worden verklaard.
7.2 Ook op basis van het onderzoek van Hoffmann kan niet worden uitgesloten dat frauduleuze gekwalificeerde certificaten zijn uitgegeven. Hoffmann stelt voorts in haar contra-expertise dat de hacker bestaande certificaten en certificaatdiensten (CRL’s) heeft gemanipuleerd, hetgeen is aan te merken als een overtreding van artikel 2, eerste lid, aanhef en onder m, van het Beh. Als gevolg daarvan was het voor de hacker niet alleen mogelijk om nieuwe gekwalificeerde certificaten aan te maken met een inhoud die door hem zelf kon worden vastgesteld, maar was het voor de hacker ook mogelijk om certificaten die de rechtmatige gebruiker heeft laten intrekken opnieuw uit te geven en te misbruiken.
Met deze na het bestreden besluit vastgestelde rapportages wordt naar het oordeel van de rechtbank de juistheid van de door verweerder in aanmerking genomen bevindingen in het interim-rapport van Fox-IT niet ontkracht.
8. Volgens eiser is het uiterst onwaarschijnlijk dat de gekwalificeerde certificaten werkelijk gecompromitteerd waren. Eiser stelt zich dan ook op het standpunt dat, als er al sprake was van een beëindigingsgrond, het in de rede zou hebben gelegen dat verweerder artikel 2.2, vierde lid, aanhef en onder c, van de Tw zou hebben toegepast en Diginotar in de gelegenheid zou hebben gesteld om eventuele geconstateerde gebreken te herstellen.
Eiser betwist in dit verband de stelling van verweerder dat, indien de betrouwbaarheid van (het uitgifteproces) van de gekwalificeerde certificaten niet langer kan worden gewaarborgd, de Tw geen andere mogelijkheid biedt dan (onmiddellijk) de registratie te beëindigen omdat van enige discretionaire ruimte geen sprake zou zijn. Volgens eiser staat dat niet in de wet en gaat de Tw en de wetsgeschiedenis uit van een te stellen termijn, indien na onderzoek geconstateerd wordt dat niet aan bepaalde eisen is voldaan. Ter zitting heeft eiser er nadrukkelijk op gewezen dat het bestreden besluit enkel op het Beh is gebaseerd. Met name in het geval hieraan (en met de eisen bedoeld in artikel 18.15, eerste en tweede lid, van de Tw) niet wordt voldaan, is de c-grond destijds in 2003 aan artikel 2.2, vierde lid, van de Tw toegevoegd, teneinde de CSP-er de mogelijkheid te bieden om gebreken te herstellen. De zogenoemde b-grond dateert al uit 1998 en ziet meer op registraties in het algemeen.
8.1 Naar het oordeel van de rechtbank kan dit betoog van eiser niet slagen. Uit hetgeen hiervoor is overwogen volgt dat niet is uit te sluiten dat de gekwalificeerde certificaten zijn gecompromitteerd. Voorts bepaalt het vierde lid van artikel 2.2, aanhef en onder b, van de Tw, dat verweerder de registratie beëindigt indien een certificatiedienstverlener activiteiten of diensten verricht in strijd met het bepaalde bij of krachtens deze wet. Deze b-grond ziet dus op zowel artikel 18.15 van deze wet als op het Beh en is eveneens bedoeld voor certificatiedienstverleners. De c-grond is destijds met name aan het vierde lid van artikel 2.2 van de Tw toegevoegd in verband met een vrijwillige accreditatieregeling voor de CSP-er ter verbetering van certificatiedienstverlening. Op het moment dat een aangewezen certificatie-instelling twijfelt of een CSP-er aan de eisen van het Beh voldoet en verweerder hiervan in kennis stelt, kan verweerder aan de CSP-er een termijn stellen om een en ander te laten herstellen.
8.2 De rechtbank wijst in dit verband op de wetsgeschiedenis bij artikel 2.2, vierde lid, aanhef en onder c, van de Tw (Kamerstukken II 2000/2001, 27 743, nr. 3, p. 21), waaruit blijkt dat de bevoegdheid van verweerder om een herstelmogelijkheid te bieden uitsluitend bedoeld is voor gevallen waarin geen sprake is van twijfels over de betrouwbaarheid van de gekwalificeerde certificaten:
“Het stellen van een termijn wordt noodzakelijk geacht in verband met de mogelijke niet naleving van bepaalde vereisten die de betrouwbaarheid van een gekwalificeerd certificaat niet direct in twijfel trekken.”
Die twijfels waren er in het onderhavige geval wel. Er is vastgesteld dat bij Diginotar sprake is geweest van een ernstige inbraak en compromittering van de systemen die werden gebruik voor de aanmaak van gekwalificeerde certificaten, waardoor de betrouwbaarheid van de door Diginotar uitgegeven certificaten ter discussie stond. Gezien het feit dat de gevolgen van de compromittering van de servers niet meer ongedaan konden worden gemaakt en er activiteiten dan wel diensten zijn verricht die in strijd zijn met het bepaalde bij of krachtens de Tw, had verweerder naar het oordeel van de rechtbank geen andere keus dan op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP over te gaan. Dat verweerder, aldus eiser, bij een incident met een hacker bij KPN niet tot prompte beëindiging heeft besloten, ziet op het feit dat er bij verweerder in dat geval geen sprake was van enige twijfel over de betrouwbaarheid van gekwalificeerde certificaten. Die twijfels waren er in dit geval wel.
9. Het betoog van eiser dat verweerder ten onrechte geen belangen heeft afgewogen, kan evenmin slagen. Hoewel artikel 2.2, vierde lid, aanhef en onder b, van de Tw geen ruimte biedt voor een belangenafweging, heeft verweerder zich bij het besluit tot beëindiging van de registratie van Diginotar wel degelijk rekenschap gegeven van de gevolgen die deze beëindiging voor Diginotar zou kunnen hebben. Dit blijkt uit het feit dat verweerder Diginotar niet heeft gedwongen om direct de reeds uitgegeven gekwalificeerde certificaten in te trekken, maar haar daarvoor een termijn van twee weken heeft gegeven.
De niet-ontvankelijkverklaring bij het bestreden besluit dient, zo heeft verweerder ter zitting nader uiteen gezet, in het licht te worden gezien van de discussie die is ontstaan over de begeleidende brief bij het primaire besluit. Naar het oordeel van de rechtbank heeft verweerder toereikend gemotiveerd dat hij daarmee alleen heeft bedoeld aan te geven dat Diginotar bij de begeleidende brief slechts is gewezen op de wettelijke verplichtingen die volgen uit artikel 2 van het Beh, terwijl er voor verweerder in beginsel geen ruimte is voor enige belangenafweging.
10. Gelet op hetgeen hiervoor is overwogen is de rechtbank van oordeel dat verweerder terecht op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP is overgegaan. Het beroep dient daarom ongegrond te worden verklaard.