In de nacht van vrijdag 2 op zaterdag 3 september heeft minister Donner het vertrouwen in de certificaten van Diginotar opgezegd. Bijgaand de mededeling die Reeleezee heeft gestuurd aan alle Accountants-klanten die gebruik maken van Portal.
Geachte Reeleezee Portalklant,
Minister Donner heeft in de nacht van 2 op 3 september 2011 op een persconferentie bekend gemaakt dat de overheid het vertrouwen in de certificaten van Diginotar heeft opgezegd. Voor de formele tekst verwijzen wij u graag naar de website van de rijksoverheid:
http://www.rijksoverheid.nl/nieuws/2011/09/03/overheid-zegt-vertrouwen-in-de-certificaten-van-diginotar-op.html
Wat heeft deze beslissing voor de dienstverlening via Accountancy voor gevolgen?
De online dienstverlening via Reeleezee Accountancy Portal werkt op een aantal niveaus met certificaten. Hieronder bieden wij u een overzicht met de analyse van de impact:
1. Beveiligde communicatie tussen gebruikers en de Portal via de browser (SSL)
Reeleezee maakt gebruik van een beveiligde verbinding tussen de browser en de servers van Reeleezee. Deze zogenaamde SSL-verbinding wordt opgebouwd op basis van certificaten. Reeleezee maakt hiervoor echter gebruik van certificaten van de Amerikaanse certficaatdienstverlener Thawte en niet van Diginotar. De certificaten die door Thawte zijn uitgegeven, zijn niet gecompromitteerd en worden nog steeds volledig vertrouwd.
a. RISICO: GEEN
b. AKTIE: GEEN
2. Aangiftes van de typen OB+ICP+LH+VPB+IB
Deze aangiften worden aan de Belastingdienst aangeboden op basis van een z.g. BAPI-certificaat. Dit certificaat is door u aangevraagd en gebonden aan uw eigen organisatie en is uitgegeven door Diginotar.
a. RISICO: ZEER KLEIN - voor zover wij kunnen beoordelen is het niet mogelijk dat derden a.g.v. de problemen met de Diginotar certificaten, inzage krijgen in aangiften van anderen, aangiften namens anderen kunnen doen of op andere wijze aangifte-gegevens kunnen manipuleren.
b. ACTIE: KORTE TERMIJN - het is aan te bevelen om op korte termijn de als onveilig aangemerkte certificaten te vervangen, ondanks het beperkte risico. Deze actie is voornamelijk ingegeven door de berichtgeving in de media over de onveiligheid van de Diginotar certificaten en nauwelijks vanwege het risico. Reeleezee zal u hiervoor in samenspraak met de Belastingdienst op korte termijn alternatieven voorstellen.
3. Aangiftes en rapportages van de typen vWIA, OB XBRL en deponering KVK-XBRL
Deze aangiftes en rapportages worden aan de uitvragende partijen (Belastingdienst en KvK) aangeboden via Digipoort. Dit zijn XBRL/SBR documenten die digitaal worden ondertekend met een zogenaamd PKI-Overheidscertificaat. Ook dit certificaat is aangevraagd en gebonden aan uw eigen organisatie en uitgegeven door Diginotar.
a. RISICO: KLEIN - voor zover wij kunnen beoordelen is het niet mogelijk dat derden a.g.v. de problemen met de Diginotar certificaten inzage krijgen in aangiften van anderen, aangiften namens anderen kunnen doen of op andere wijze aangifte-gegevens kunnen manipuleren.
b. ACTIE: KORTE TERMIJN - het is aan te bevelen om op korte termijn de als onveilig aangemerkte certificaten te vervangen. In tegenstelling tot de BAPI-certificaten, zijn er voor PKI-overheidscertificaten alternatieve leveranciers beschikbaar. Wij zullen op zeer korte termijn de alternatieven in kaart brengen en met u afstemmen.
4. Banken-Kredietrapportages:
Deze rapportages worden aan de deelnemende banken aangeboden via de BIV (Banken Infrastructurele Voorzieningen). Hierbij wordt gebruik gemaakt van hetzelfde certificaat als bij de aangiftes en rapportages genoemd onder punt 3.
a. RISICO: KLEIN - voor zover wij kunnen beoordelen is het niet mogelijk dat derden a.g.v. de problemen met de Diginotar certificaten inzage krijgen in aangiften van anderen, aangiften namens anderen kunnen doen of op andere wijze aangifte-gegevens kunnen manipuleren.
b. ACTIE: KORTE TERMIJN - het is aan te bevelen om op korte termijn de als onveilig aangemerkte certificaten te vervangen. In tegenstelling tot de BAPI-certificaten, zijn er voor PKI-overheidscertificaten alternatieve leveranciers beschikbaar. Wij zullen op zeer korte termijn de alternatieven in kaart brengen en met u afstemmen.
De conclusie op dit moment is dat alle aangiftes, rapportages en deponeringen onverkort kunnen worden aangeleverd bij de uitvragende partijen. Op basis van de informatie die hierover de komende dagen beschikbaar zal komen, zullen wij waar nodig maatregelen treffen en u nader informeren. Zodra er meer duidelijkheid is over de aanpak van het vervangen van BAPI- en PKI-overheidscertificaten, zullen wij hierover gelijk contact met u opnemen.
[update 09-09-2011 - 16:00]
Aangiftestromen via BAPI (OB/ICP/LH/VPB/IB)
Ten aanzien van aangiftes via BAPI heeft de Belastingdienst haar eerdere standpunt niet gewijzigd en is het onverkort mogelijk om aangiftes via dit kanaal in te sturen.Wel is de Belastingdienst ondertussen een onderzoek gestart naar de mogelijkheden en consequenties van het vervangen van bestaande BAPI-certificaten. Zodra hierover meer informatie bekend is, zullen wij dit communiceren.
Aangiftestromen via Digipoort
Logius, de beheerder van Digipoort, heeft bevestigd dat de vervanging van het certificaat aan de zijde van Digipoort vanochtend succesvol is uitgevoerd. Dit kanaal is daarmee weer volledig operationeel. Voor zover van toepassing, zullen wij contact met onze portalklanten opnemen voor overleg over het vervangen van het klantgebonden PKI-overheidscertificaat.
Kredietrapportages via BIV (Banken Infrastructurele Voorzieningen)
De beheerder van de BIV heeft aangegeven dat het gebruik van Diginotar certificaten niet meer is toegestaan op de BIV. Het inzenden van Kredietrapportages met andere PKI-Overheidscertifcaten is onverminderd mogelijk. Zie ook de berichtgeving op www.rapportageportaal.nl.
Wij vertrouwen erop u hiermee voldoende te hebben geïnformeerd.