Terms of Reference iTrust Foundation
© Copyright iTrust Foundation 2014
INHOUD 1 Inleiding …………………………………………………………………………………………………….3 2 Referenties ........................................................................................................................................ 3 3 Terms of Reference Platform Trust Services .................................................................................... 4 3.1 Taken van het Platform Trust Services .................................................................................. 4 3.2 Deelnemers en hun competentie ........................................................................................... 4 3.3 Vergaderfrequentie................................................................................................................. 4 3.4 Stemrecht ............................................................................................................................... 4 4 Terms of Reference College van Belanghebbenden TTP.NL ........................................................... 5 4.1 Taken van het College van Belanghebbenden TTP.NL ......................................................... 5 4.2 Samenstelling ......................................................................................................................... 5 4.3 Deelnemers ............................................................................................................................ 5 4.4 Belanghebbende partijen ....................................................................................................... 5 4.5 Competentie ........................................................................................................................... 6 4.6 Benoemingsprocedure ........................................................................................................... 6 4.7 Plaatsvervanging .................................................................................................................... 6 4.8 Vergaderfrequentie................................................................................................................. 6 4.9 Notulen ................................................................................................................................... 6 4.10 Actieve participatie ten behoeve van evenwichtige vertegenwoordiging .............................. 7 4.11 Verplichte afmelding en mandatering .................................................................................... 7 4.12 Stemrecht m.b.t. schemawijzigingen ..................................................................................... 7 4.13 Quorum ................................................................................................................................. 7 4.14 Besluitvorming onder normale omstandigheden ................................................................... 8 4.15 Toehoorders .......................................................................................................................... 8 4.16 Marktontwikkelingen en governance ..................................................................................... 8 4.17 Wijziging van het TTP.NL Schema ........................................................................................ 8 4.18 Kosten en financiering ........................................................................................................... 9 4.19 Klachten, bezwaar en beroep ................................................................................................ 9 Bijlage 1:
Klachtenprocedure ......................................................................................................... 10
AUTHOR(S)
DATE
VERSION
DETERMINED
PUBLICATION
MARK HOEVERS
10-10-2013
8.0
11-10-2013
11-10-2013
MARK HOEVERS
10-07-2014
8.1
MARK HOEVERS
1-9-2014
9.0
MARK HOEVERS
22-9-2014
10.0
Terms of Reference iTrust Foundation
16 januari 2015
16-01-2015
versie 10
10-03-2015
2
1
INLEIDING
De Stichting iTrust Foundation wil naast het beheer van het TTP.NL-certificatieschema ook een platform bieden voor degenen die geïnteeresseerd zijn in Trust Services. De iTrust Foundation kent derhalve statutair twee hoofdactiviteiten, te weten: A. Platform Trust Services B. College van Belanghebbenden TTP.NL. Ad A: Het Platform Trust Services zal in de loop van de tijd nader ingevuld worden. De belangrijkste taken worden beschreven in paragraaf 3. Ad B: De iTrust Foundation is sinds haar oprichting eigenaar van het TTP.NL Schema voor Certificatie van Certification Authorities [1]. De iTrust Foundation draagt zorg voor het oprichten en in stand houden van een College van Belanghebbenden TTP.NL (CvB-TTP.NL) met als opdracht het beheren en onderhouden van het schema. De iTrust Foundation blijft verantwoordelijk voor de acceptatievereisten van de Raad voor Accreditatie. Vanaf 2001 was ECP schema-eigenaar, maar zij heeft het eigendom per ultimo 2014 aan de Stichting iTrust Foundation overgedragen. De iTrust Foundation faciliteert in elk geval gedurende 2014 en 2015 het College van Belanghebbenden TTP.NL (CvB-TTP.NL) en onderneemt zelfstandig activiteiten ter bevordering van de ontwikkeling en toepassing van iTrust Services in het algemeen en van elektronische handtekeningen in het bijzonder. De uitkomsten van die activiteiten, evenals relevante contacten, worden ingezet ten behoeve van het optimaal functioneren van het CvB-TTP.NL. De iTrust Foundation voert het secretariaat van het CvBTTP.NL waarbij, indien opportuun, externe deskundigheid kan worden aangetrokken. Gebrekkige besluitvaardigheid n.a.v. de DigiNotar crisis en de opmerkingen van de Raad voor Accreditatie in [5] hebben geleid tot aanpassing van deze Terms of Reference begin 2013. De overgang naar de iTrust Foundation vormde aanleiding tot verdere herzieningen. Dit document bevat de beschrijving van taken, samenstelling, werkwijze, benoemingsprocedure van en klachten- en beroepsprocedure voor leden van het Platform Trust Services en het CvB-TTP.NL, alsmede de relatie tussen het College en de schema eigenaar en de daarbij behorende bevoegdheden van de schema eigenaar.
2 [1]
[2] [3] [4] [5] [6]
REFERENTIES TTP.NL Scheme for management system certification of Service Providers issuing Qualified Certificates for Electronic Signatures, Public Key Certificates, and / or Time-stamp tokens – version 9.2, d.d. February 2014; Gebruiksrechtovereenkomst tussen iTrust Foundation en Certificatie-instelling – zomer 2014 RvA-R13 ‘Reglement voor de Beoordeling en Acceptatie van Schemabeheerders’ 1 januari 2008 RvA-T33 ‘Beoordeling van Schema’s voor Conformiteitsbeoordeling’ juli 2008 RvA-F48 ‘Herbeoordeling S388-H03’, januari 2013 Statuten iTrust Foundation, dd. 10-12-2014
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
3
3 3.1
TERMS OF REFERENCE PLATFORM TRUST SERVICES Taken van het Platform Trust Services
De kerntaken van het Platform Trust Services zijn de volgende: • Het volgen en bespreken van marktontwikkelingen die van invloed kunnen zijn op het TTP.NLcertificatieschema; • Het adviseren m.b.t. gewenste aanpassingen van het TTP.NL-schema. De inzichten die deze kerntaken opleveren vormen input voor de werkzaamheden van het College van Belanghebbenden TTP.NL (zie paragraaf 4). Daarnaast kan het platform zich bijvoorbeeld buigen over: • Toekomstige mogelijkheden voor nieuwe keurmerken; • Andere kwaliteitsinitiatieven voor trust service providers, en • Promotie- en communicatie-activiteiten omtrent de betrouwbaarheid van Trust Services. Naar verwachting zullen deze laatste activiteiten zich pas aandienen nadat de EU-verordening m.b.t. trust services is aangenomen.
3.2
Deelnemers en hun competentie
Deelname aan het platform Trust Services is mogelijk als de betreffende persoon beschikt over kennis en ervaring op de gebieden informatiebeveiliging, Public Key Infrastructure, certificatie en accreditatie. De leden dienen hun curriculum vitae aan de secretaris toe te zenden, zodat aantoonbaar is dat zij over de benodigde deskundigheid beschikken.
3.3
Vergaderfrequentie
Het platform komt minstens twee (2) keer per jaar fysiek in vergadering bijeen en zoveel vaker als de omstandigheden dat gebieden (bijvoorbeeld bij snel wijzigende marktomstandigheden).
3.4
Stemrecht
Indien het nodig is over een onderwerp een formeel besluit te nemen, dan geldt een meerderheid van stemmen. Partijen die meerdere vertegenwoordigers in het Platform hebben mogen één stem uitbrengen.
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
4
4 4.1
TERMS OF REFERENCE COLLEGE VAN BELANGHEBBENDEN TTP.NL Taken van het College van Belanghebbenden TTP.NL
De taken van het CvB-TTP.NL hebben betrekking op het beheer van het TTP.NL Schema. Het CvB-TTP.NL: • onderhoudt het TTP.NL Schema; • draagt zorg voor uitleg, interpretatie van specifieke eisen (Guidance Notes), aanpassing, en eventuele uitbreiding van het TTP.NL Schema indien daarvoor in de markt behoefte aan blijkt te zijn; • fungeert als aanspreekpunt voor de certificatie-instellingen die gebruik maken van het TTP.NL Schema. Bij de uitoefening van haar taken kan het College geadviseerd worden door het Platform Trust Services.
4.2
Samenstelling
Uit de deelnemers van het Platform Trust Services worden door het bestuur personen benoemd voor deelname in het College van Belanghebbenden TTP.NL. De individuele leden die participeren in het CvB-TTP.NL nemen deel als vertegenwoordigers van specifieke belanghebbende partijen. Door alle belanghebbende partijen bijeen te brengen wordt evenwicht van belangen gewaarborgd. Het bestuur van de iTrust Foundation is eindverantwoordelijk voor de evenwichtigheid van de samenstelling van het College en kan, mede op advies van het College, hierover bindende uitspraken doen.
4.3
Deelnemers
De samenstelling van het College zal een aandachtspunt blijven; wanneer ontwikkelingen dat nodig maken zal de samenstelling mede op advies van de leden worden heroverwogen. De benoemde leden van het CvB-TTP.NL zullen hun curriculum vitae aan de secretaris toezenden, zodat daarmee aangetoond kan worden dat zij over de benodigde deskundigheid beschikken (vereiste van de Raad voor Accreditatie).
4.4
Belanghebbende partijen
De iTrust Foundation is van mening dat uitsluitend direct belanghebbende partijen zitting mogen nemen in het CvB-TTP.NL; dit komt een efficiënt en effectief beheer ten goede. Uit deze groeperingen worden leden van het CvB-TTP.NL met bestuurlijke ervaring, kennis van informatietechnologie, en inzicht in Public Key Infrastructure, informatiebeveiliging, en kwaliteitsmanagement gezocht. De iTrust Foundation heeft de volgende direct belanghebbende partijen geïdentificeerd: • Geregistreerde Trust Service Providers als bedoeld in het TTP.NL Schema, alsmede leveranciers van hardware, software, smartcards e.d.; • Certificatie-instellingen; • PKIoverheid (Logius); • Autoriteit Consument & Markt (ACM).
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
5
4.5
Competentie
De competentie van het CvB-TTP.NL wordt in belangrijke mate bepaald door de kennis en ervaring van de leden. De vereisten met betrekking tot de bemensing zijn: • Voorzitter: kennis en ervaring op de gebieden informatiebeveiliging, Public Key Infrastructure, certificatie en accreditatie, alsmede onafhankelijkheid van de belanghebbende partijen; • Secretaris: affiniteit met informatiebeveiliging, alsmede ervaring in documentenbeheer en het notuleren van vergaderingen; • Stemgerechtigde leden: kennis en ervaring op de gebieden informatiebeveiliging en/of Public Key Infrastructure en/of normkennis ETSI en/of certificatie. De voorzitter zorgt dat onder leden voldoende kennis is over de volgende gebieden: • Specifieke normenkaders; • Certificatie van management systemen; • Informatiebeveiliging in maatschappelijk perspectief; • Processen en diensten van Service Providers; • De markt en het gebruik van elektronische handtekeningen en digitale certificaten.
4.6
Benoemingsprocedure
Kandidaten voor het lidmaatschap van het CvB-TTP.NL moeten een verzoek tot toetreding indienen bij de secretaris vergezeld van schriftelijke argumentatie, aanduiding om welk belang het gaat, en het curriculum vitae van de kandidaat. Een verzoek tot toetreding wordt na ontvangst voorgelegd aan het bestuur van de iTrust Foundation. Het bestuur beoordeelt de geschiktheid van de kandidaat en gaat na of de samenstelling als gevolg van toetreding niet onevenwichtig of onwerkbaar groot wordt. Het CvBTTP.NL wordt in de gelegenheid gesteld haar advies over een voorgenomen benoeming te geven; het bestuur beslist. Na benoeming kan het nieuwe lid in de daarop volgende vergadering deelnemen. Indien een van de belanghebbende groeperingen ondervertegenwoordigd is, kan het CvB-TTP.NL door middel van coöptatie in de hiaat voorzien en hiervoor goedkeuring aan het bestuur van de iTrust Foundation vragen.
4.7
Plaatsvervanging
Leden van het CvB-TTP.NL kunnen zich in een vergadering laten vervangen door een collega. Het CvBTTP.NL lid dient daarvoor minimaal één week voor de betreffende vergadering een verzoek in bij de secretaris van het CvB-TTP.NL, voorzien van een beknopt curriculum vitae van de kandidaat vervanger. Het bestuur van de iTrust Foundatioin besluit op basis van de bevindingen van de secretaris of het verzoek gehonoreerd zal worden en bericht het betreffende lid conform.
4.8
Vergaderfrequentie
Het CvB-TTP.NL komt minstens twee (2) keer per jaar fysiek in vergadering bijeen en zoveel vaker als de omstandigheden dat gebieden (bijvoorbeeld bij snel wijzigende marktomstandigheden). De datum van de jaarlijkse bijeenkomsten wordt door de secretaris in overleg met de voorzitter bepaald en minstens 6 weken van tevoren aan de leden aangekondigd. Bij vergaderingen per e-mail geldt een termijn van 2 weken waarbinnen de leden dienen te reageren op voorstellen.
4.9
Notulen
Van alle vergaderingen, zowel bijeenkomsten als vergaderingen per e-mail, worden notulen opgemaakt door de secretaris.
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
6
4.10 Actieve participatie ten behoeve van evenwichtige vertegenwoordiging In het CvB-TTP.NL dienen alle direct belanghebbende partijen vertegenwoordigd te zijn. Per vergadering wordt bijgehouden wie participeert. Is een deelnemende partij in een fysieke bijeenkomst niet vertegenwoordigd (zie ook Plaatsvervanging), of doet deze niet mee aan tussenliggende e-mail vergaderingen, dan is de vraag legitiem of deze deelnemer nog tot de actieve deelnemers gerekend kan worden. In een dergelijke situatie zal de secretaris contact opnemen met het betreffende lid en in overleg treden over mogelijkheden om deze situatie te verbeteren. Dat kan inhouden dat een vervanger benoemd wordt vanuit diezelfde partij of dat gezocht zal worden naar een andere partij die het betreffende belang zal vertegenwoordigen in het CvB-TTP.NL. Het bestuur van de iTrust Foundation heeft hierin een sturende functie: niet participeren betekent niet meer deelnemen.
4.11 Verplichte afmelding en mandatering Om diverse redenen is het wenselijk dat deelnemers zich afmelden wanneer ze niet in staat zijn een vergadering bij te wonen. De secretaris kan dan bijvoorbeeld van tevoren nagaan of het quorum kan worden gehaald. Omdat het niet aanwezig zijn van één of meer leden met stemrecht kan leiden tot onwerkbare situaties, gelden de volgende regels: • Een lid dat niet aanwezig kan zijn bij een vergadering is verplicht zich minimaal één (1) dag van tevoren bij de secretaris telefonisch of per e-mail af te melden (verplichte afmelding); • Bij deze afmelding dient het lid aan te geven wie hij mandateert om namens hem zijn/haar stem uit te brengen (verplichte mandatering bij afmelding).
4.12 Stemrecht m.b.t. schemawijzigingen
4.12.1 Normale situatie Alle leden van het CvB-TTP.NL hebben stemrecht. Er wordt gestreefd naar een evenredige belangenverdeling tussen stemgerechtigde groeperingen, en wel als volgt: • Het aantal geregistreerde Trust Service Providers als bedoeld in het TTP.NL Schema, alsmede leveranciers van hardware, software, smartcards e.d., dat lid is van het CvB-TTP.NL is in totaal ‘n’. Zij hebben gezamenlijk n stemmen; • Certificatie Instellingen: n stemmen; • PKIoverheid (Logius): n stemmen; • Autoriteit Markt en Consument (ACM): op verzoek zonder stemrecht. Wanneer het aantal geregistreerde TSP’s en leveranciers wijzigt, dan wordt de waarde van ‘n’ dienovereenkomstig aangepast.
4.12.2 Noodsituatie In noodsituaties (zie ook 4.16 Marktontwikkelingen en Governance) besluit het bestuur van de iTrust Foundation, gehoord hebbende alle betrokkenen. De besluiten worden kenbaar gemaakt aan alle leden in het College. Besluiten hebben onmiddellijke werkingskracht. Wel is het mogelijk voor stemgerechtigde leden om bezwaar aan te tekenen en de voorzitter en/of secretaris ter verantwoording te roepen.
4.13 Quorum Het CvB-TTP.NL kan geldige besluiten nemen in vergaderingen waarin minstens 2/3 (twee derde) van het totaal aantal onder de leden aanwezige stemmen ter vergadering vertegenwoordigd is. Bij besluitvorming per e-mail geldt dat minimum van 2/3 voor het totaal per e-mail uitgebrachte stemmen.
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
7
4.14 Besluitvorming onder normale omstandigheden Besluiten worden bij voorkeur genomen op basis van consensus. Mocht blijken dat stemming nodig is, dan worden in bijeenkomsten waar het vereiste quorum aanwezig is, besluiten genomen bij meerderheid van stemmen. De stemming zal uitsluitend worden gehouden over de vraag of een voorstel in z’n geheel al dan niet wordt aanvaard. Bij het staken van de stemmen is de stem van de voorzitter doorslaggevend. Bij stemmen per e-mail dient het quorum stem te hebben uitgebracht en worden besluiten genomen bij meerderheid van stemmen. Bij het staken van de stemmen is de stem van de voorzitter doorslaggevend.
4.15 Toehoorders Leden van het CvB-TTP.NL mogen bij de vergadering maximaal één (1) toehoorder meenemen. Ook niet-leden kunnen zich wenden tot de secretaris met een verzoek om de vergadering als toehoorder bij te wonen. Hiervoor dient minimaal twee (2) dagen voor de vergadering een verzoek ingediend te worden bij de secretaris. De secretaris bepaalt of de toehoorder beschikt over de juiste deskundigheid om aanwezig te mogen zijn. Toehoorders voeren uitsluitend op verzoek van de voorzitter het woord en hebben geen stemrecht.
4.16 Marktontwikkelingen en governance
4.16.1 Beheerste ontwikkelingen in technologie en/of markt De twee verplichte jaarlijkse bijeenkomsten hebben met name als doel om (reguliere) ontwikkelingen in technologie en/of markt te beoordelen op hun consequenties voor het TTP.NL Schema. Het Platform Trust Services kan hierover het College van advies dienen. De overeengekomen wijzigingen worden aangebracht met inachtneming van de in paragrafen 4.14 en 4.18 beschreven procedures.
4.16.2 Crises of noodsituaties Van een crisis of noodsituatie is sprake wanneer het vertrouwen in het TTP.NL Schema in gevaar komt en snel gehandeld moet worden, door wat voor ontwikkelingen dan ook. Het bestuur van de iTrust Foundation bepaalt of er sprake is van een crisis of noodsituatie. Zij maakt onder de leden bekend dat er sprake is van een dergelijke situatie. In dergelijke situaties kan het bestuur van de iTrust Foundation dwingend voorschrijven welke aanpassingen op het schema doorgevoerd dienen te worden, ongeacht of daarover consensus bestaat. De iTrust Foundation checkt voorafgaand wat de gedachten hierover zijn bij de leden van het College.
4.17 Wijziging van het TTP.NL Schema Het CvB-TTP.NL besluit of ontwikkelingen met betrekking tot Public Key Infrastructure, technologie van elektronische handtekeningen, en/of internationale normen aanleiding zijn om het TTP.NL Schema aan te passen. Aanpassingen van het certificatieschema kunnen worden voorbereid in werkgroepverband met leden van het CvB-TTP.NL en externe deskundigen. Het CvB-TTP.NL besluit over de voorgestelde wijzigingen conform de procedures genoemd in paragraaf 4.14, met inachtneming van de volgende toevoegingen: • Indien er geen sprake is van unanimiteit van standpunten betreffende de wijziging van het TTP.NL Schema zal er een stemming worden gehouden; • De stemming zal uitsluitend worden gehouden over de vraag of het gehele voorstel voor wijziging van het TTP.NL Schema al dan niet wordt aanvaard. Een voorstel kan dus niet ter vergadering worden geamendeerd. Er zal een nieuwe vergadering (fysiek of per e-mail) moeten worden uitgeschreven om een -geamendeerd- voorstel in stemming te brengen; Terms of Reference iTrust Foundation
16 januari 2015
versie 10
8
•
De secretaris van het CvB-TTP.NL legt in de notulen vast welke de door de leden uitgebrachte stemmen zijn. Hierbij zal geen sprake zijn van anonimiteit.
De datum van inwerkingtreding van het gewijzigde schema is aangegeven in de nieuwe versie van het schema zelf. Deze datum zal onder geen omstandigheden liggen vóór de datum van bovengenoemde besluitvorming. Het gewijzigde certificatieschema wordt gepubliceerd op de website van de iTrust Foundation. Tevens wordt op de website de aard van de belangrijkste wijzigingen toegelicht. Een elektronische kopie van het gewijzigde schema wordt aan de leden van het CvB-TTP.NL toegestuurd.
4.18 Kosten en financiering Het CvB-TTP.NL wordt tot en met 2015 gefinancierd door de deelnemende certificatie-instellingen, Logius en het ministerie van Economische Zaken. Jaarlijks wordt een kostenraming voor het functioneren van het CvB-TTP.NL gemaakt en met de sponsoren besproken.
4.19 Klachten, bezwaar en beroep Klachten en bezwaar met betrekking tot het functioneren van het CvB-TTP.NL, dan wel de inhoud van het TTP.NL Schema of de wijze waarop dit tot stand is gekomen, worden bij het bestuur van de iTrust Foundation ingediend. Het bestuur voorziet in een klachten- en bezwaarprocedure. Beroep tegen de uitspraak van de Klachtencommissie kan ingediend worden bij de Commissie van Beroep.
4.19.1 Klachten Klachten kunnen worden ingediend door personen en organisaties die belang hebben bij functioneren van het CvB-TTP.NL. Bij de klachtenafhandeling wordt bezien: • of gehandeld is binnen de letter en geest van de Term of Reference en het TTP.NL Schema; • of een correcte afweging is gemaakt van alle belangen. Het bestuur formeert hiertoe een Klachtencommissie, bestaande uit de directeur, de secretaris, alsmede twee leden van het CvB (geen leden van de Commissie van Beroep). In bijlage 1 is de klachtenprocedure weergegeven. Tegen de uitspraak van de klachtencommissie kan in beroep gegaan worden. Klager kan binnen veertien dagen na dagtekening van de ‘registratie afhandeling klacht’ beroep aantekenen bij de ‘Commissie van Beroep’.
4.19.2 Bezwaar Tegen dwingende voorschriften van het bestuur in noodsituaties (zie paragraaf 7.6.2) kunnen stemgerechtigde leden bezwaar aantekenen. Voorzitter en secretaris zullen hun handelswijze toetsen bij een voor beide partijen acceptabele onafhankelijke derde persoon. Tegen de uitspraak kan geen beroep aangetekend worden.
4.19.3 Beroep Tegen uitspraken van de Klachtencommissie kan in beroep gegaan worden bij de Commissie van Beroep. De Commissie van Beroep behandelt zaken overeenkomstig de op dat moment geldende regels en procedures van het Nederlands Arbitrage Instituut. De Commissie van Beroep bestaat uit de voorzitter, de secretaris, 2 leden uit het CvB en twee onafhankelijke externe deskundigen.
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
9
BIJLAGE 1:
KLACHTENPROCEDURE
Schriftelijke indiening van een klacht
Registratie van de klacht
Ontvangstbevestiging van de klacht binnen 10 wd naar de indiener van de klacht
Kopie van de klacht naar de leden van het CvD en de betrokken CI´s
Beoordeling van de klacht door klachtencommissie
instellen van een Klachtencommissie door het CvD
Is externe deskundigheid noodzakelijk? ja Advies van de externe deskundige(en)
De Klachtencommissie bestaat tenminste uit vier leden: • twee leden van het CvD (geen leden van de Commissie van Beroep) • directeur van stichting • secretaris De commissie kan besluiten tot uitbreiding van de commissie met ter zake deskundige n.
nee Behandeling van de klacht door de Klachtencommissie
Is wijziging van de certificatieregeling(en) of procedures noodzakelijk
ja Uitbrengen van een advies door de Klachtencommissie aan het CvD
nee Standpuntbepaling door het CvD
Registratie en afhandeling van de klacht
Besluit van het CvD naar de indiener van de klacht en de betrokken CI´s
De indiener kan tegen deze uitspraak in beroep gaan bij de Commissie van Beroep
Terms of Reference iTrust Foundation
16 januari 2015
versie 10
10
iTrust Foundation