De problemen met Diginotar hebben geen grote gevolgen gehad, schrijft minister Donner (BZK) aan de Tweede Kamer. Wel heeft het vertrouwen in de overheid een deuk opgelopen. De inbraak in de PKI-infrastructuur is na de ontdekking ervan begin september opgeschaald tot nationale crisis. “Uiteindelijk mag voorzichtig geconcludeerd worden dat de gevolgen van dit incident overzichtelijk zijn gebleven, mede dankzij intensieve, constructieve samenwerking met private partijen en het crisismanagement van de overheid.”
Het kabinet heeft de controles opgevoerd en daarbij is bij KPN/Getronics een onregelmatigheid geconstateerd. Het nader onderzoek is inmiddels bekend en heeft ertoe geleid dat er geen compromitering is vastgesteld van de PKI overheidscertificaten.
De Tweede Kamer heeft een aantal moties aangenomen. Het kabinet reageert daarop met een overzicht van maatregelen. Het is gebleken dat Diginotar de inbraak maanden stil heeft gehouden. De Kamer wil daarom een wettelijke plicht voor organisaties om ‘security breaches’ in vitale systemen te melden.
Het kabinet waarschuwt dat een meldplicht goed moet worden afgewogen, omdat de samenwerking tussen overheid en bedrijfsleven goed moet blijven. Veel van die vitale systemen worden geleverd door commerciële bedrijven die terecht bezorgd zijn over vertrouwelijkheid en hun reputatie. Het kabinet heeft een meldplicht aangekondigd in het regeerakkoord, maar erkent dat die niet zou hebben gewerkt bij Diginotar. De meldplicht wordt verder uitgewerkt door het Nationaal Cyber Security Centrum (NCSC) dat op 1 januari 2012 wordt opgericht. Dat NCSC zal ook de ICT-kennis versterken, zoals de Tweede Kamer met een motie verzocht heeft.
Een andere motie verzoekt de regering om jaarlijks te onderzoeken hoe goed databases van overheidsdiensten beveiligd zijn. Dit zou onder meer moeten gebeuren met penetratietesten, met andere woorden door er hackers op af te sturen. Het antwoord van de regering is dat de overheid al actief zoekt naar spionagerisico’s, maar dat daarover ‘uiteraard’ geen mededelingen worden gedaan.
Verder geldt dat overheidsdiensten moeten voldoen aan de wetgeving over gegevensbescherming. Het CBP houdt daarop toezicht. Penetratietesten zouden een eigentijds middel kunnen zijn. Het kabinet zegt erop te vertrouwen dat bestuurders en uitvoerders hun verantwoordelijkheid nemen.
Met twee andere moties verzoekt de Tweede Kamer om fundamentele wijzigingen in het wereldwijde stelsel van certificaten en om meer nadruk op privacy en veiligheid ‘by design’ in projecten binnen Nederland. Op internationaal niveau lopen er al verschillende trajecten. Zo werkt de Europese Commissie aan een evaluatie van de richtlijnen op dit vlak. Daarbij is aangeboden om Nederlandse ervaringen in het kader van DigiNotar te delen. TNO krijgt opdracht om te onderzoeken hoe het er in Nederland voor staat met ‘privacy by design’.
De kamer heeft met twee moties verzocht om een integrale visie op privacy en een visie op de bescherming van privacy op internet. Die komt er aan, zegt de minister. Eind november komt een wetsvoorstel ter consultatie.
