Qualified Website Authentication Certificates

Europa kent, sinds september 2016, Qualified Website Authentication Certificates die worden uitgegeven door Qualified Trusted Service Providers.

Relevantie

Op 1 juli 2016 Europese is wetgeving in werking getreden over onder meer certificaten voor authenticatie van websites. De verordening regelt de wederzijdse erkenning tussen de lidstaten van elektronische handtekeningen – zegels, -tijdstempels, - diensten voor aangetekende elektronische bezorging en certificaten voor de authenticatie van websites. Deze worden samen vertrouwensdiensten genoemd. Daarnaast regelt de verordening de erkenning van elektronische identiteiten, zoals DigiD en eHerkenning.

Voor alle vertrouwensdiensten, die door in Europa gevestigde dienstverleners worden uitgegeven, houdt het toezicht in dat ze een melding moeten doen van veiligheidsinbreuken en integriteitsverlies die gevolgen kunnen hebben voor de vertrouwensdienst. Voor gekwalificeerde aanbieders van vertrouwensdiensten houdt het toezicht daarnaast in dat vooraf en periodiek door de toezichthouder worden gecontroleerd op het voldoen van de eisen van de verordening. Daar horen bedrijfsbezoeken en audits bij. Voor niet in de Europese lidstaten gevestigde aanbieders gelden die regels niet. Als er daar wat misgaat, weten we het waarschijnlijk dus pas later en als we het al weten, kunnen we er niets mee omdat de verordening, inclusief het toezicht, niet op die partijen van toepassing is.

Vertrouwensdiensten, waaronder dus ook de websitecertificaten, van aanbieders van buiten de Europese Unie vallen niet onder toezicht. Als er dus iets misgaat met bijvoorbeeld Comodo of Verisign kunnen we er als Nederlandse overheid niets mee. Overigens zou het sinds de Diginotarzaak (5 jaar geleden) standaard praktijk moeten zijn dat aanbieders van belangrijke websites snel kunnen overschakelen naar een certificaat van een andere aanbieder ingeval het vertrouwen in het eerste certificaat wegvalt. Dat is een les die getrokken zou moeten zijn.

Praktische toepassing

De, in dit kader, veiligste certificaten worden geleverd door Qualified Trusted Service Providers.

Vind de Nederlandse leverancier van QWAC certificaten op de lijst van de Europese Unie, gemarkeerd met de gele vlag die de letters QWAC bevat.

Formele besluitvorming

Verordening 910/2014 van het Europees Parlement en de raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt.
(Een Europese verordening is een wetgevend instrument van de Europese Unie. Zij is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat. De verordening is rechtstreeks van toepassing, wat betekent dat zij rechtstreeks recht schept dat in alle EU-lidstaten dezelfde kracht heeft als het nationale recht, zonder dat nationale instanties daarvoor iets hoeven te doen.)