NEDERLAND - JURIDISCHE STATUS VEILIG MAILEN ONZEKER
De juridische status van het Veilig Mailen-protocol, waartoe de Rechtspraak advocaten verplicht, is op de tocht komen te staan. Het Nederlands Normalisatie Instituut (NEN) heeft het onderliggende certificaat ingetrokken en daarmee het predicaat ‘veilig’
Sinds korte tijd meldt de Rechtspraak op de website dat de zogeheten NTA 7516-certificaten voor Veilig Mailen niet meer geldig zijn. Deze certificaten golden als voorwaarde voor Veilig Mailen met de Rechtspraak.
Begin dit jaar nam de Rechtspraak afscheid van de fax. Het indienen van stukken dient vanaf dat moment te gebeuren via beveiligde e-mail. De Rechtspraak stimuleerde het gebruik van Zivver, maar liet ook acht andere aanbieders toe. Alle aanbieders voldoen aan de vereiste NTA 7516-norm, waarmee ze feitelijk de erkenning hebben gekregen van de NEN dat ze inderdaad veilige communicatie bieden.
NEN
Op aandringen van onder meer Zivver heeft de NEN besloten per 15 mei het toetsingsschema NCS 7516 te inactiveren en daarmee is het NTA 7516-certificaat ongeldig verklaard. Op de eigen website meldt de NEN: ‘Huidige certificaten zijn hierdoor niet meer geldig en worden ingetrokken en er worden geen nieuwe certificaten afgegeven. NEN gaat met betrokken partijen in gesprek om te zien wat er nodig is voor goede toetsingsafspraken voor veilige elektronische communicatie in de zorg.’
De zorg? Inderdaad, de zorg. Op zoek naar een veilig e-mailprotocol heeft de Rechtspraak destijds leentjebuur gespeeld en het protocol overgenomen van de zorg. De veiligheidsgaranties voor medische gegevens wijken in beginsel niet af van juridische informatie, was de gedachte.
Toetsing
Volgens Zivver bood NTA 7516 echter niet de gewenste veiligheidsgarantie. In veel gevallen kregen Veilig Mailen-aanbieders een certificaat op basis van onjuiste en onvolledige toetsing, stelt het bedrijf op de website. ‘Het certificaat bood zodoende in veel gevallen niet de zekerheid en duidelijkheid die het aan organisaties juist zou moeten bieden.’
Zivver haast zich vervolgens te zeggen dat de eigen klanten zich geen zorgen hoeven te maken. ‘Voor klanten van Zivver die reeds NTA 7516 compliant zijn verandert er niets, omdat Zivver daadwerkelijk alle mogelijke technische functionaliteiten biedt die voor het voldoen aan de NTA 7516 benodigd zijn.’ Maar klanten van een andere leverancier doen er goed aan na te gaan of hun veilige mail wel zo veilig is. ‘Veel organisaties dachten in het verleden onterecht dat het contracteren van een NTA 7516 gecertificeerde leverancier voldoende zou zijn om te voldoen aan de NTA 7516-norm.’ Zivver voegt daar aan toe: ‘Het voldoen aan de NTA 7516-norm blijft namelijk de verantwoordelijkheid van organisaties zelf.’
Rechtspraak
De Rechtspraak laat weten dat er feitelijk niet zo veel aan de hand is. Elk kantoor dat werkt met een van de negen toegelaten aanbieders zit goed, verzekert een woordvoerder. ‘Op dit moment is het toetsingsschema NCS 7516 niet meer geldig. De norm NTA 7516 is wel nog steeds geldig. Op dit moment wordt met het ministerie van VWS onderzocht hoe het proces rond de toetsing weer kan worden vlot getrokken. Tot die tijd blijft veilig mailverkeer met de Rechtspraak mogelijk via de Veilig Mailen-aanbieders die op 14 mei 2022 NTA 7516-gecertificeerd én technisch gekoppeld waren met (de Veilig Mailen-aanbieder van) de Rechtspraak.’
Lucien Barink van Cryptshare plaatst daar een vraagteken bij. Cryptshare is een van de negen Veilig Mailen-aanbieders die door de Rechtspraak is goedgekeurd. Hij wijst op de AVG, de Algemene Verordening Gegevensbescherming, die stelt dat de verzender verantwoordelijk is voor het veilig versturen van vertrouwelijke e-mail. ‘In geval van een lek is de afzender aansprakelijk, niet de Rechtspraak. Een eventuele boete komt dus bij de afzender terecht. Daarmee is het de vraag of de Rechtspraak als ontvanger van beveiligde berichten wel in de positie is om die voorwaarden te stellen aan veilige e-mail. Volgens de AVG niet.’
Keuzevrijheid
Barink, hoewel voorstander van standaardisatie, is sowieso niet enthousiast over de rol die de Rechtspraak zich heeft aangemeten. ‘Zodra de Rechtspraak voorwaarden gaat stellen aan berichten die aan de Rechtspraak worden gestuurd, beïnvloeden ze de keuzevrijheid van partijen zonder de wettelijke verantwoordelijkheid te hebben.’
De Rechtspraak wil uiteindelijk het Europese certificaat eIDAS (qERDS) als voorwaarde stellen om veilig te mailen met de Rechtspraak. ‘De streefdatum voor invoering van dat certificaat is begin 2024. Het is tegen die tijd aan Veilig Mailen-aanbieders om te beslissen of zij aan dit certificaat willen voldoen – en of zij dus daarmee ook in staat blijven om Veilig Mailen met de Rechtspraak aan te bieden aan hun klanten.’
Bron : AdvocatenBlad.NL
https://www.advocatenblad.nl/2022/11/10/juridische-status-veilig-mailen-onzeker/