Bezoek regelmatig deze pagina en blijf op de hoogte van de ontwikkelingen over DigiNotar.

Maandag 2 april 2012

Update Vangnetregeling bij overgang naar KPN-BAPI-certificaten

Tijdens het laatste beconoverleg (vrijdag 23 maart jl.) heeft SRA aangedrongen op een vangnetregeling waardoor kantoren niet geconfronteerd kunnen worden met boetes als een aangifte te laat wordt ingediend.

De Belastingdienst wil de kantoren voldoende comfort bieden zodat zij niet alleen de eerste twee weken van de maand overstappen op de KPN-certificaten, maar juist de gehele maand gaan gebruiken. Aan de achterzijde van het proces zal daartoe een vangnetconstructie worden gebouwd voor de situaties waarin de aangifte te laat wordt ingediend. Dit betreft de IB en VpB 2010 die uiterlijk 1 mei binnen moeten zijn, de reguliere maandaangiften LH en btw en de kwartaalaangiften 1ste kwartaal.

De vangnetregeling bestaat uit een meldpunt. Na melding zal met de fiscale dienstverlener een maatwerkoplossing worden gezocht voor de desbetreffende fiscale dienstverlener. Deze maatwerkoplossing is afhankelijk van de gebruikte software en de datum verkrijging certificaat. De Belastingdienst zal de regeling administratief uitwerken en kan deze week actief worden. Daarbij is afgesproken dat de werking en bereikbaarheid van het vangnet scherp gemonitord wordt door de becons.

Met de vangnetregeling kunnen kantoren vanaf eind maart tot eind mei gerust overgaan naar KPN-certificaten. Let op: de bestaande coulanceregeling geldt alleen tot 1 april aanstaande! De vangnetregeling ziet met name op de datum van 1 mei.

------------------------------------------

Donderdag 29 maart

Update certificaatwisseling KPN-BAPI

SRA monitort het migratie/implementatieproces van KPN-BAPI-certificaten nauwlettend. KPN heeft inmiddels ongeveer 14.000 abonnees geregistreerd. Ondanks de in eerste instantie ontstane achterstand in de verwerking van deze aanmeldingen heeft KPN bijna 10.000 aanmeldingen succesvol verwerkt.

Abonneeregistratie
SRA analyseert uit de cijfers van KPN dat 35% van deze registraties nog niet alle benodigde bescheiden heeft ingezonden waardoor KPN de abonneeregistratie niet kan verwerken.
SRA raadt haar leden dan ook dringend aan om zo spoedig mogelijk de voor abonneeregistratie benodigde bescheiden in te sturen. Let erop dat u uw aanvragen compleet doet: dus digitaal en schriftelijk. Uw kantoorgegevens moeten compleet worden aangeleverd en juist verwerkt!

Certificaataanvraag
Uit verdere analyse blijkt dat van de bijna 10.000 geregistreerde abonnees nog geen kwart het KPN-certificaat heeft verkregen. KPN moet nog 11.000 certificaten uitreiken. Er zijn effectief nog maximaal 6 weken beschikbaar zijn. De aanvraag van het certificaat kent een minimale doorlooptijd. In geval van een Dname wijziging (let op! zie eerdere berichten) moet u rekening houden met een extra week doorlooptijd. SRA raadt u aan om zo snel mogelijk het certificaat aan te vragen.

Meer informatie over abonneeregistratie, DName-wijziging en certificaataanvraag vindt u op deze themapagina DigiNotar.

Vangnet
De Belastingdienst heeft de signalen van SRA ter harte genomen. Inmiddels is een incidentenregeling certificaatwisseling aangekondigd. Het streven is om deze vangnetconstructie eind van deze week/begin van volgende week te publiceren op de website van de Belastingdienst. De interne processen bij de Belastingdienst zijn er dan gereed voor.

-------------------------------------------------------

 

Maandag 26 maart

Vangnet moet kantoren zekerheid bieden bij overgang naar KPN-certificaten

Tijdens het beconoverleg van afgelopen vrijdag 23 maart, is vanzelfsprekend het migratie-/implementatieproces KPN BAPI certificaten besproken. SRA heeft nogmaals melding gemaakt van het feit dat de meeste kantoren wachten met het inwerkingstellen van de KPN-certificaten tot de eerste twee weken van april.

Grotere kantoren wachten in verband met de workload zelfs tot begin mei, de kritische datum in het proces IB en VPB 2010. SRA vindt het noodzakelijk dat er zekerheid komt voor de kantoren.

SRA heeft aangedrongen op een vangnetregeling waardoor kantoren niet geconfronteerd worden met boetes als een aangifte te laat wordt ingediend. De contouren van die vangnetregeling lijken helder.

Deze week zal de Belastingdienst de regeling in detail uitwerken en de maatregelen nemen die nodig zijn voor uitvoering. Er is afgesproken dat de regeling pas bekend wordt gemaakt als alle randvoorwaarden en maatregelen zijn genomen. Uiteraard houden we u op de hoogte.

------------------------------------------------------

 

Donderdag 22 maart

Onduidelijkheid interpretatie koppelvlakspecificaties CSP

Uit vragen bij de Belastingdienst is gebleken dat er onduidelijkheid bestaat over de interpretatie van de Koppelvlakspecificaties CSP’s (paragraaf 3.3.8.1), bij de downloadoptie van certificaten op de portal van KPN.

Bij het aanpassen van deze paragraaf is onvoldoende duidelijk gemaakt of de omkaderde tekst een voorbeeld is of een specificatie van de opbouw van de bestandsnaam. In de praktijk leidt dit in enkele applicaties tot een probleem, omdat men daar strikt controleert op de opbouw van de bestandsnaam zoals dat bij DigiNotar gebruikelijk was.

Bij DigiNotar bestaat de bestandsnaam uit:

- DS_ of E_
- Het serienummer van het certificaat (decimale weergave)
- _DER.crt
- Voorbeeld: DS_1094749470_DER.crt

Bij KPN bestaat de bestandsnaam uit:

- DS_ of E_
- De CommonName (CN=) van het certificaat (naam van de organisatie en dossiernummer), waarbij spaties worden vervangen door underscores (“_”).
- .DER.crt
- Voorbeeld: DS_A.B.C._Consultants_B.V._(1203230099).DER.crt

De meldingen die de Belastingdienst heeft ontvangen, hebben betrekking op de punt (“.”) voor DER, waar de applicatie een underscore (“_”) verwacht en daar filtering op toepast.

De Belastingdienst en KPN zoeken naar een snelle oplossing voor deze situatie.

--------------------------------------------------------------------------------

 

Woensdag 21 maart

Update migratie en implementatieproces KPN-certificaten

Vandaag plaatst de Belastingdienst het volgende bericht op de site: Fiscaal dienstverleners en bedrijven die gebruikmaken van het BAPI-kanaal voor het doen van belastingaangiften, moeten KPN-certificaten aanvragen ter vervanging van de DigiNotar-certificaten. Vóór 1 juni 2012 moet het KPN-certificaat in gebruik zijn genomen, want vanaf die datum is het niet meer mogelijk om aangiften in te sturen met het DigiNotar-certificaat.

Het vervangingsproces is inmiddels goed op gang gekomen. Tot nu toe hebben 12.000 gebruikers zich als abonnee aangemeld bij KPN, waarvan zo'n 10.000 ook alle bijbehorende bescheiden hebben opgestuurd. KPN heeft aan ongeveer 9.000 van deze aanmelders nu een abonneenummer uitgegeven. Er zijn tot nu toe 2.000 aanvragen ingediend voor een KPN BAPI-certificaat, waarvan KPN er nu ruim 1.300 heeft uitgegeven. De eerste aangiften die werden verstuurd met een KPN-certificaat zijn de afgelopen weken ook al binnengekomen bij de Belastingdienst.

Vraag
Kan ik het DigiNotar-certificaat nog blijven gebruiken als KPN een certificaat aan mij heeft uitgegeven?

Na 1 juni 2012 kan dat niet meer. Vóór 1 juni 2012 bestaan er twee situaties. De Distinguished Name (Dname) is niet gewijzigd, of wel gewijzigd. De Distinguished Name (Dname) is de unieke aanduiding van de naam van een certificaathouder; deze Dname kan bijvoorbeeld zijn gewijzigd als de handelsnaam, het adres of het KvK-nummer is gewijzigd.

Dname niet gewijzigd
U bepaalt binnen een periode van dertig dagen na de uitgifte van het certificaat door KPN zelf het moment vanaf wanneer u gaat ondertekenen met uw KPN-certificaat. Na 30 dagen accepteert de Belastingdienst alleen aangiften die ingediend worden met het KPN-certificaat. In enkele situaties kan de termijn korter zijn:

- De datum waarop de geldigheid van een DigiNotar-certificaat afloopt is een harde einddatum. Voorbeeld: als een KPN-certificaat wordt aangevraagd op 10 april en het DigiNotar-certificaat is geldig tot 20 april, is de periode tien dagen, namelijk van 10 april – 20 april.
- Als een KPN-certificaat wordt aangevraagd in de loop van mei, heeft de periode een duur tot en met 31 mei.

NB: Het oude sleutelpaar (met het DigiNotar-certificaat) moet worden bewaard en niet worden overschreven door het nieuwe (KPN) sleutelpaar, want dan kunt u de berichten die de Belastingdienst in deze dertig dagen verstuurt niet ontsleutelen. Het bewaren van het oude sleutelpaar was overigens altijd al van toepassing bij wisseling van certificaten en is niet specifiek voor de overgang naar KPN-certificaten.

Dname gewijzigd
U moet de nieuwe certificaatgegevens aan de Belastingdienst doorgeven met het 'Aanmeldformulier voor elektronisch berichtenverkeer met de Belastingdienst'. Uw softwarepakket ondersteunt het invullen en inzenden van dit aanmeldformulier. De Belastingdienst verwerkt deze formulieren en bericht u erover binnen 5 werkdagen na ontvangst.
Tot het aanmeldformulier is verwerkt, accepteert de Belastingdienst uitsluitend aangiften die zijn ondertekend met het DigiNotar-certificaat. Na verwerking van het aanmeldformulier accepteert de Belastingdienst uitsluitend aangiften die zijn ondertekend met het KPN-certificaat.

Meer informatie over de vervanging?
Meer informatie vindt u op www.belastingdienst.nl. Kies hierbij voor Zakelijk > Aangifte, betalen en toezicht > Digitaal Aangeven.

-----------------------------------------------------------------------------------

 

Vrijdag 9 maart - 13:15 uur

Update DigiComoverleg

Vanochtend is SRA aanwezig geweest bij het DigiComoverleg waar het migratie- en implementatieproces van KPN certificaten op de agenda stond.

Geconstateerd is dat de doorlooptijden dermate zijn, dat de beoogde datum van 1 juni 2012 niet gehaald gaat worden. De voorstellen die SRA eerder deze week heeft neergelegd bij de Belastingdienst, zijn nu doorgesluisd naar het Ministerie.

We hopen u binnenkort op de hoogte te brengen van de uitkomst. Voor nu geldt onverkort ons advies om zo snel mogelijk uw abonneenummer en certificaten bij KPN aan te vragen.  

------------------------------------------------------------------------

Vrijdag 9 maart - 10:00 uur

VVD-kamerlid Nepperus stelt Kamervragen over brandbrief SRA

Lid van de Tweede Kamercommissie voor Financiën Helma Nepperus (VVD) heeft staatssecretaris Weekers van Financiën Kamervragen gesteld n.a.v. de brandbrief van SRA over het migratie- en implementatieproces van KPN-certificaten.
 
De VVD-fractie maakt zich met name zorgen of de veiligheid voldoende gewaarborgd is. Bovendien vraagt de VVD zich, in vervolg op de kritische signalen van SRA, af waarom de keuze op KPN is gevallen en waarom er zoveel spoed is gemaakt. Tot slot vraagt de VVD-fractie om een oplossing om de risico’s te spreiden en een optimale dienstverlening mogelijk te maken. 
 
 Download met de vragen aan staatssecretaris Weekers

 

Woensdag 7 maart

Update rond migratie KPN-certificaten

Dinsdagmiddag 6 maart vond een overleg plaats tussen SRA en de Belastingdienst over de zorgen die SRA maandag via een brandbrief uitte over het migratie- en implementatieproces certificaten KPN BAPI Dienstverlening.

Met name de constatering dat het moeilijk wordt om het totale proces voor 1 juni af te ronden en de consequenties daarvan voor de kantoren (onder meer boetetraject), werd besproken. SRA heeft ook een aantal oplossingen daarvoor aangedragen die de Belastingdienst nu intern zal bespreken. Daarover zullen we u vanzelfsprekend blijven informeren.

Wat moet u zsm doen?

SRA raadt haar leden -gezien de doorlooptijden- dringend aan om vandaag nog een abonneenummer bij KPN aan te vragen. Dit doet u via de link: https://kpnbapi.managedpki.com/

• Let erop dat u uw aanvragen compleet doet: dus digitaal en schriftelijk.
• Let erop dat u uw kantoorgegevens compleet aanlevert en juist verwerkt.
• Let bij de definitieve certificaataanvraag op het tijdstip van aanvragen. De meest veilige manier om te migreren (zodat het aangifteproces niet wordt verstoord) is in de eerste twee weken van de maand.

Heeft u vragen of loopt u tegen zaken aan? We hebben een rechtstreekse lijn naar de KPN-programmamanager. Bel of mail met Tony van Oorschot, 030 656 60 60 of tvanoorschot@sra.nl

-------------------------------------------------------------------------------------------

Maandag 5 maart 2012

SRA verstuurt brandbrief migratie DigiNotar certificaten / veiligheid KPN BAPI dienstverlening.

SRA heeft vanochtend een brandbrief gestuurd naar alle betrokken organisaties bij de migratie DigiNotar / KPN certificaten over het migratie- en implementatieproces én de veiligheid van de KPN BAPI Dienstverlening.

SRA maakt zich ernstig zorgen over de inefficiëntie en slechte communicatie rond het aanvraagproces, de schijnbare willekeur in het complexe verwerkingsproces en de extra doorlooptijden waardoor de productie bij de kantoren dreigt stil te komen liggen. Daarnaast stelt SRA grote vraagtekens bij de veiligheid rond het proces van downloaden van de certificaten. Hierdoor ziet SRA zich genoodzaakt om partijen op te roepen tot actie waarbij SRA ook pleit voor een verlenging van de aanvraagtermijn van certificaten en het intrekken van mogelijke boetebepalingen bij te late aangiften.

In december 2011 maakte SRA haar zorgen kenbaar over de kwetsbaarheid van betrouwbare digitale informatie-uitwisseling, met name waar het gaat om problemen met elektronische certificaten. SRA pleitte ervoor om de tijd te nemen voor een onderzoek naar een structurele technische oplossing met een minder fraudegevoelig systeem, in plaats van een snelle invoering van systemen waarbij toen al onregelmatigheden werden geconstateerd.

Download de brandbrief >>

 

Vrijdag 2 maart 2012

Update migratie DigiNotar naar KPN

Zoals we eerder berichten, moet uw kantoor eerst een abonneenummer bij KPN aanvragen voordat de daadwerkelijke certificaataanvraag kan plaatshebben. De softwareleveranciers hebben aangegeven dat de software daarvoor gereed is en dat zij gestart zijn met de uitlevering van de juiste versies.

Gezien de doorlooptijd en een eventuele afwijzing, afkeur en/of uitval (u moet dan het hele proces opnieuw starten!), raden we u ten zeerste aan om uw abonneeregistratie en de daaropvolgende certificaataanvraag zo spoedig mogelijk en uiterlijk 1 april in te dienen/op te starten.

De algemene kantoorgegevens (de zogenaamde DName-gegevens) die u voor de abonneeregistratie invult, moeten compleet zijn en overeenstemmen met de actuele situatie. Veelal zullen de oude gegevens zoals vermeld in het softwarepakket, niet conform de actualiteit zijn. Nagenoeg alle softwareleveranciers hebben bevestigd dat het DigiNotar-certificaat wel blijft werken bij het aanpassen van de DName-gegevens, voordat u het KPN-certificaat heeft geactiveerd. Let op: U moet de DName-gegevens oftewel bedrijfsgegevens aanpassen aan de actuele gegevens vóórdat u het feitelijke certificaat vanuit de software aanvraagt.

Op basis van de (nieuw) ingevulde kantoorgegevens ontvangt u een KPN-certificaat dat geactiveerd moet worden. Voordat u dit certificaat activeert, moet u de Belastingdienst eerst op de hoogte brengen van de nieuwe DName-gegevens. De verwerking daarvan bij de Belastingdienst duurt een paar (maximaal 5) dagen. Dat betekent concreet dat uw kantoor een aantal dagen niet kan communiceren met de Belastingdienst. Het DigiNotar-certificaat kan immers niet gebruikt worden omdat bij activering van het KPN-certificaat de gewijzigde (en dan niet meer corresponderende) DName-gegevens in het systeem geraadpleegd worden.

Let daarbij goed op welk moment u kiest! Het is voor het indienen van aangiftes slim om juist aan het eind van de maand nog te kunnen verzenden. Voor een goede en juiste afwikkeling van de aangiftes loonheffing en omzetbelasting kunt u daarom het beste in de eerste 14 dagen van de maand omzetten. Bij de inkomsten- en vennootschapsbelasting geldt een langere termijn en maakt het moment van omzetting niet echt uit.

Let op: De Belastingdienst onderzoekt nog of naast de NAW-gegevens ook het KvK-nummer tot de set van DName-gegevens behoort. Mocht dat zo zijn, dan zullen bij alle maatschappen de DName gegevens per definitie wijzigen. Deze kantoren kunnen dus een paar dagen niet verzenden en ontvangen.

Heeft u vragen of loopt u tegen zaken aan? We hebben een rechtstreekse lijn naar de KPN-programmamanager. Bel of mail met Tony van Oorschot, 030 656 60 60 of tvanoorschot@sra.nl

-------------------------------------------------------------------------------------------

Maandag 20 februari 2012

Update migratie van DigiNotar naar KPN

Afgelopen vrijdag 17 februari jl. vond het Digicomoverleg tussen Belastingdienst en becons plaats. SRA werd vertegenwoordigd door bestuurslid Jan Zweekhorst.
Belangrijk agendaonderwerp was de migratie van DigiNotar- naar KPN-certificaten die voor juni 2012 afgerond moet zijn. Genodigden van KPN meldden dat op dit moment pas 47 kantoren een certificaat uitgereikt hebben gekregen.

Op basis van onderstaand verslag willen we de SRA-leden dringend op de volgende punten wijzen:

• Let erop dat u uw aanvragen compleet doet: dus digitaal en schriftelijk
• Let erop dat u uw kantoorgegevens compleet aanlevert en juist verwerkt
• KPN reikt pas sinds eind januari abonneenummers uit: dit kan consequenties hebben voor het tijdig ontvangen van uw certificaat
• Let bij de definitieve certificaataanvraag op het tijdstip van aanvragen. Het kan zijn dat u tijdelijk geen aangiften kan indienen. (Wij proberen dit uiteraard op te lossen)

Lees verder >>

------------------------------------------------------------------------------------------------------------------

 

Donderdag 15-12 - 14:05 uur

Bapi-certificaat aanvragen of verlengen bij DigiNotar tot 1 maart 2012

Tot 1 maart 2012 kunt u een Bapi-certificaat aanvragen of verlengen bij DigiNotar. Vanwege een veiligheidsincident bij dit bedrijf stappen wij over naar een nieuwe leverancier: KPN.

Tot 1 juni 2012 kunt u nog aangiften insturen met een certificaat van DigiNotar. Er zijn voldoende waarborgen in het Bapi-kanaal, zodat tijdens de overgangstermijn de continuïteit is verzekerd.

Lees het volledige artikel op Belastingdienst.nl >>

-------------------------------------------------------------------------------------------

Donderdag 15-12 - 11:41 uur

Brief Belastingdienst aan gebruikers BAPI-certificaten

Op 13 december heeft de Belastingdienst aan de huidige gebruikers van BAPI-certificaten een brief verzonden over de vervanging van Diginotar-certificaten door certificaten van KPN.

In de brief wordt onder andere aangegeven dat vanaf 20 december bij KPN de BAPI-portal beschikbaar is waarmee ondernemers zich kunnen registreren als abonnee bij KPN. Deze registratie is een voorwaarde om een KPN BAPI-certificaat aan te vragen. Ook geeft de brief aan dat uw software geschikt moet zijn gemaakt om certificaten aan te vragen bij KPN en dat u daarover aan uw klant bericht.

• Download de brief van de Belastingdienst

------------------------------------------------------------------------------------------------------------------

 

Donderdag 17-11 - 16:16 uur

Gehele aanvraag- en uitgifteproces veiligheidscertificaten door KPN hervat

Nadat KPN vorige week de dienstverlening voor bestaande certificaathouders al had hervat, is KPN nu ook weer gestart met de uitgifte van veiligheidscertificaten voor nieuwe klanten. ‘Het hele uitgifteproces van KPN Corporate Market (voorheen Getronics) is daarmee veilig bevonden en operationeel,’ aldus KPN.

De productieservers waar de  bestaande certificaten worden beheerd zijn vorige week aan proces- en penetratietests onderworpen en volledig veilig bevonden. Vanaf nu kunnen bedrijven en organisaties ook weer nieuwe certificaten aanvragen. De extra tests die op de webserver zijn uitgevoerd hebben geen veiligheidsrisico’s aan het licht gebracht ten aanzien van de geldigheid en veiligheid van nieuwe en bestaande certificaten.

Lees het volledige artikel op Accountancynieuws.nl >>

-------------------------------------------------------------------------------------------

Woensdag 09-11 - 12:27 uur

KPN hervat gedeeltelijk uitgifteproces veiligheidscertificaten

Nadat KPN afgelopen vrijdag uit voorzorg het hele uitgifteproces van veiligheidscertificaten heeft stilgelegd, wordt vandaag een deel van dat proces hervat. Dat betekent dat bestaande klanten weer bij KPN terecht kunnen voor het vernieuwen van hun veiligheidscertificaten. Bedrijven en organisaties die als nieuwe klanten op het punt staan een aanvraag in te dienen, moeten nog even geduld hebben.

De server van de website waar bedrijven terecht kunnen voor informatie en aanvraag van certificaten wordt deze week nog onderworpen aan een aantal extra tests. Naar verwachting komt de website begin volgende week weer online.

Lees het volledige artikel op Accountancynieuws.nl >>

------------------------------------------------------------------------------------------------------------------

 

Maandag 07-11 - 10:35 uur

Reactie Belastingdienst n.a.v. de maatregel van KPN om de uitgifte van certificaten stil te leggen

Vrijdag is bekend geworden dat KPN uit voorzorg de uitgifte van veiligheidscertificaten heeft stilgelegd. Deze beslissing is het gevolg van het aantreffen van sporen van een mogelijke inbreuk uit het verleden op een webserver. Daarover heeft intensief contact plaatsgevonden tussen KPN en de overheid. Er zijn geen indicaties dat de productieomgeving van de certificaten is gecompromitteerd, maar het kan op dit moment ook nog niet voor 100% worden uitgesloten. Er vindt nu bij KPN aanvullend onderzoek plaats. De uitkomsten daarvan worden in de eerste helft van deze week verwacht.

Zoals bekend wordt voor het BAPI-kanaal een overgang naar certificaten van KPN voorbereid. In deze tot 30 januari lopende voorbereidende fase geeft KPN aan softwareleveranciers testcertificaten uit.

Het stilleggen van de uitgifte van veiligheidscertificaten heeft tot gevolg dat ook deze testcertificaten tijdelijk niet worden uitgegeven. 

Het doen van digitale aangiften via het BAPI-kanaal blijft gewoon mogelijk. Er wordt, tot de overgang naar nieuwe certificaten, nog gebruik gemaakt van Diginotar PKI-certificaten.

Gezien de huidige status van het onderzoek is er op dit moment geen aanleiding de plannen voor de overgang naar certificaten van KPN te wijzigen.

Was getekend,

Belastingdienst / Centrale administratie
Unit Ondersteuning Softwareontwikkelaars

-------------------------------------------------------------------------------------------

Maandag 07-11 - 10:15 uur

KPN stopt uit voorzorg uitgifte nieuwe veiligheidscertificaten

KPN stopt tijdelijk en uit voorzorg de aanvraag en uitgifte van nieuwe veiligheidscertificaten, in afwachting van extern, onafhankelijk onderzoek. Bestaande certificaten die al uitgegeven zijn, blijven geldig. Op de website van KPN kunt u het volledige bericht lezen.

Lees het volledige bericht op KPN.com >>

Advies Logius

Logius heeft naar aanleiding van de DigiNotar beveiligingskwesties extra penetratietesten laten uitvoeren bij de overige PKIoverheid Certificaatverstrekkers.

4 november is bekend geworden dat KPN (voorheen Getronics) uit voorzorg de uitgifte van gekwalificeerde beveiligingcertificaten heeft stilgelegd. Deze beslissing is het gevolg van het aantreffen van sporen van een inbreuk uit het verleden op hun webserver. KPN handelt hierin adequaat en volgens het uitgangspunt veiligheid voorop. Er zijn geen indicaties dat de productieomgeving van de beveiligingcertificaten is gecompromitteerd, echter dit kan nog niet worden uitgesloten. Hiervoor is aanvullend onderzoek nodig.

De aangetroffen kwetsbaarheid heeft in principe niets met het uitgifteproces van certificaten te maken. Met het aanvullende, onafhankelijke onderzoek moet zeker gesteld worden dat KPN voldoet aan de vereiste waarborgen, procedures en voorschriften die gelden voor uitgifte van internet veiligheidscertificaten. De verwachting is dat dit onderzoek in de loop van volgende week is afgerond. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties volgt het onderzoek intensief en onderhoudt nauw contact met KPN.

Indien u op korte termijn een nieuw certificaat bij KPN wilt aanvragen, adviseren wij u hiermee te wachten tot het uitgifteproces weer is opgestart, naar verwachting in de loop van volgende week. Uiteraard kunt u er ook voor kiezen om een certificaat aan te vragen bij een van de andere verstrekkers, QuoVadis, ESG, of Digidentity. http://www.logius.nl/actueel/certificaten/vervangen-certificaten/ 

Heeft u vragen, neemt u dan contact op met Servicecentrum Logius op 0900 555 4555 (10 ct p/m) of servicecentrum@logius.nl.

-------------------------------------------------------------------------------------------

Vrijdag 14-10 - 10:00 uur

DigiNotar-debat: Donner wil 'ethische hackers' inschakelen

Piet Hein Donner van Binnenlandse Zaken bestreed dat de overheid heeft getalmd in de zaak. Zij heeft in 3 uur spijkers met koppen geslagen in de DigiNotar-affaire. 'Ik weet niet hoe het sneller had gekund', aldus de minister.

Geen absolute garantie
Op vrijdag 2 september werd het kabinet duidelijk dat de certificaten van DigiNotar geen absolute garantie meer boden voor het internetverkeer met de overheid. Op zaterdagochtend om 1.00 uur liet minister Piet Hein Donner in een persconferentie weten dat de overheid de verantwoordelijkheden van DigiNotar overnam. Het was nog een hele toer geweest om het moederbedrijf in Amerika van de noodzaak te overtuigen, vertelde Donner. Dat ging pas om middernacht overstag.

Donner zei wel dat er te lang 'op de blauwe ogen' van DigiNotar was vertrouwd. Het bedrijf had weleens eerder alarm mogen slaan, viel uit zijn woorden op te maken.

Lees hier het volledige bericht op Trouw.nl >>

-------------------------------------------------------------------------------------------

Woensdag 5-10 - 13:50 uur

Conclusies en aanbevelingen VNO-NCW en MKB-Nederland

VNO-NCW en MKB-Nederland hebben een brief aan de leden van de Tweede Kamer gestuurd inzake DigiNotar. De organisaties komen in de brief tot enkele conclusies en aanbevelingen.

Download de DigiNotar-brief van VNO-NCW en MKB-Nederland >>  

-------------------------------------------------------------------------------------------

Dinsdag 04-10 - 08:53 uur

Aangiften met BAPI-PIN en verzamelcertificaten op termijn niet meer toegestaan

Het Diginotar-incident heeft aanleiding gegeven de verschillende kanalen voor berichtenverkeer tegen het licht te houden en vast te stellen of in het kader van veilig berichtenverkeer maatregelen nodig zijn. Dat heeft geleid tot de onderstaande voornemens.

BAPI-PIN

De Belastingdienst heeft besloten het inzenden van elektronische aangiften met behulp van BAPI-PIN uit te faseren. Slechts een klein deel van de BAPI-aangiften (minder dan 5% van de totale stroom aan BAPI-aangiften) wordt gedaan met behulp van BAPI-PIN). Ruim 95% wordt ingezonden met BAPI-PKI-certificaten.

Afschaffing van BAPI-PIN past in het algemene beeld dat ondertekening met een pincode niet meer van deze tijd is en wordt vervangen door mechanismen met een hogere beveiligingsgraad. Ook bij andere stromen is/wordt de pincode door de Belastingdienst afgeschaft. Het past ook in de komende ontwikkeling naar het gebruik van Digipoort, XBRL en PKI-Overheid. Het DigiNotar-incident geeft mede aanleiding deze stap nu te zetten.

Het voornemen is het BAPI-PIN kanaal af te sluiten na de vervangingsoperatie van BAPI-certificaten van Diginotar door certificaten van Getronics. De bedoeling is deze eerst uit te voeren. De huidige indicatie is dat het BAPI-PIN-kanaal wordt afgesloten op een nog te bepalen moment in het eerste kwartaal 2012. Over aanpak en precies tijdstip wordt in overleg getreden met de sector.

Inzenden van aangiften afkomstig van verschillende belastingplichtigen met één BAPI-certificaat vanuit portaal of softwarepakket ('verzamelcertificaat')

Tot nu toe bestaat de mogelijkheid voor portaal/software-leveranciers om met één BAPI-certificaat elektronische aangiften in te zenden voor de klanten die gebruik maken van hun softwarediensten. Ook is een modaliteit in bepaalde softwarepakketten dat gebruikers voor het doen van aangiften gebruik maken van één certificaat dat in het softwarepakket wordt meegeleverd. In deze gevallen is het certificaat niet gekoppeld aan de persoon of organisatie die de aangifte heeft opgesteld (al dan niet namens een klant). Bij de fiscaal intermediairs en bij de zelfaangevende ondernemers met een eigen certificaat is dat wel het geval.

De Belastingdienst heeft besloten dat het op deze manier inzenden van elektronische aangiften wordt uitgefaseerd. Deze inzendmodaliteit past niet in de komende ontwikkeling naar het gebruik van SBR/XBRL en PKI-Overheid en past niet in een beeld van toegenomen eisen aan authenticatie en autorisatie. Het Diginotar-incident geeft mede aanleiding om de modaliteit af te schaffen.

Het voornemen is dat verzamelcertificaten uiterlijk met ingang van 1 januari 2013 niet meer kunnen worden gebruikt. In plaats daarvan komt het gebruik van BAPI-PKI-certificaten door de zelfaangevende ondernemer of fiscale intermediair, dan wel het gebruik van het persoonlijk domein. Daarnaast kunnen ook andere vervangende systemen met waarborgen voor authenticatie/ autorisatie worden onderzocht. Over precies tijdstip van uitfasering en vervangingsmodaliteiten wordt in overleg getreden met de markt.

-------------------------------------------------------------------------------------------

Donderdag 29-09 - 9:30 uur  

Standpunt SRA over update Microsoft herzien

SRA heeft sinds het verschijnen van de 'DigiNotar-update' van Microsoft de ontwikkelingen in de markt nauwkeurig gevolgd. In het licht van onze waarnemingen is er nu aanleiding om ons eerder uitgedragen standpunt om de update vooralsnog niet installeren te herzien.

De signalen uit de markt wijzen erop dat het BAPI-kanaal niet wordt geraakt door de Microsoft-update. Deze vaststelling is van belang omdat BAPI-certificaten van Diginotar op dit moment nog niet kunnen worden vervangen. Het risico op verstoringen bevindt zich dus met name in het PKIOverheid-domein, waaronder bijvoorbeeld SBR-rapportages vallen.

Indien kantoren/organisaties zich ervan vergewist hebben dat alle vervangbare certificaten niet (meer) van Diginotar afkomstig zijn, vindt SRA het inmiddels verantwoord dat de Microsoft-update alsnog wordt geïnstalleerd.

Mocht u na het installeren van de update onverhoopt toch tegen problemen aanlopen, is het altijd mogelijk de update terug te draaien. Wij verwijzen in dit verband naar berichtgeving hierover op de site van Logius.

------------------------------------------------------------------------------------------ 

Maandag 26-09 - 08:16 uur

CA-certificaten van DigiNotar op 28 september ingetrokken

De PKIoverheid Policy Authority (PA) trekt beide DigiNotar PKIoverheid CA-certificaten in op woensdag 28 september 2011. Het betreft specifiek de volgende certificaten: DigiNotar PKIoverheid CA Overheid en Bedrijven (serienummer 01 31 69 b0) en DigiNotar PKIoverheid CA Organisatie - G2 (serienummer 01 31 34 bf).

Lees hier het volledige bericht op Accountancynieuws.nl >>

-------------------------------------------------------------------------------------------

Vrijdag 23-09 - 08:51 uur

DigiNotar-certificaten vervangen bij aanvragen exportdocumenten bij KvK

Exportdocumenten van de Kamer van Koophandel zoals Certificaten van Oorsprong (CvO), EUR-1 en EUR-Med kunnen digitaal aangevraagd worden. Omdat de overheid het vertrouwen heeft opgezegd in de beveiligingscertificaten van DigiNotar, moeten klanten die gebruik maken van deze certificaten overstappen naar een andere leverancier.

Wie exportdocumenten aanvraagt met behulp van een digitale handtekening, moet zo snel mogelijk (uiterlijk 1 oktober 2011) overstappen op een andere leverancier van het beveiligingscertificaat.

Lees hier het volledige bericht op Plein + >>

-------------------------------------------------------------------------------------------

Dinsdag 20-09 - 13:20 uur

Faillissement DigiNotar geen consequenties voor BAPI-kanaal

Vandaag is het faillissement van DigiNotar uitgesproken. Dit heeft geen consequenties voor het functioneren van het BAPI-kanaal. Het gebruik van het elektronische berichtenverkeer via het BAPI-kanaal blijft onverkort operationeel. Ook het aanvragen en verlengen van certificaten bij DigiNotar blijft mogelijk.

-------------------------------------------------------------------------------------------

Maandag 19-09 - 15:00 uur

Nieuwe gebruikers BAPI-certificaten

Gebruikers van softwarepakketten die voor het eerst gebruik willen maken van BAPI voor het doen van aangiften, kunnen BAPI-certificaten aanvragen bij DigiNotar. Ook de BAPI-postbussen kunnen weer bij de Belastingdienst worden aangevraagd.

Een aanvullende maatregel daarbij is, dat de ondernemer zich fysiek dient te identificeren bij 1 van de 16 sofi-afgiftepunten van de Belastingdienst. Hiervoor moet de gebruiker een afspraak maken met de BelastingTelefoon, 0800 - 0543.

Deze certificaten kunnen worden gebruikt tot het moment van uitgifte van nieuwe BAPI-certificaten door een andere leverancier. Gezien de aanvullende waarborgen bij het aanvragen in het BAPI-kanaal kan dit tijdelijk gebruik van deze certificaten op verantwoorde wijze plaatsvinden.

-------------------------------------------------------------------------------------------

Vrijdag 16-09 - 14:00 uur

Coulanceregeling: Uitwerking afspraken Belastingdienst met VNO-NCW en MKB-Nederland

In de brief van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Veiligheid en Justitie aan de Tweede Kamer van 5 september 2011 is aangekondigd dat de Belastingdienst coulance zal betrachten in die gevallen waarin het DigiNotar incident leidt tot overschrijding van termijnen voor fiscale verplichtingen.

De Belastingdienst en VNO-NCW en MKB-Nederland hebben invulling aan de coulanceregeling gegeven. De regeling is gepubliceerd op de website van de Belastingdienst.

------------------------------------------------------------------------------------------

Donderdag 15-09 - 09:45 uur

DigiNotar problemen? Neem contact op met SRA.

Mocht u als SRA-kantoor een probleem hebben met certificaten als gevolg van de DigiNotar-problemen of is uw certificaat juist nu verlopen, neem dan contact op met SRA.

Wij zorgen ervoor dat de Belastingdienst contact met u opneemt zodat zij met spoed aan de slag kunnen met uw probleem!

U kunt contact opnemen via vaktechniek@sra.nl o.v.v. DigiNotar met vermelding van uw probleem en de naam van de contactpersoon.

------------------------------------------------------------------------------------------

Woensdag 14-09 - 14:30 uur

Intrekken DigiNotar registratie door OPTA heeft geen gevolgen voor BAPI

OPTA heeft vandaag haar besluit gepubliceerd om de registratie van DigiNotar voor de uitgifte van gekwalificeerde certificaten in te trekken. Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven.

Met de term 'gekwalificeerde certificaten' wordt gedoeld op certificaten die in het kader van PKIOverheid worden uitgegeven. De BAPI-certificaten, waarmee op dit moment veruit de meeste aangiften worden ingediend, vallen niet onder het PKIOverheid-regime. Navraag bij de Belastingdienst leverde SRA inderdaad de bevestiging op dat deze maatregel van OPTA géén gevolgen heeft voor de BAPI-certificaten. Intrekken daarvan zou namelijk voor grote problemen zorgen, omdat er nog geen alternatief certificaat voor BAPI beschikbaar is. De maatregel heeft wel gevolgen voor de aangiften en rapportages die via SBR bij DigiPoort en BIV (toegangspoort banken) worden aangeleverd. Maar ten aanzien van deze certificaten was vorige week al het dringende advies gegeven om deze zo spoedig mogelijk te vervangen.

Lees hier het volledige bericht van OPTA >>

------------------------------------------------------------------------------------------

Woensdag 14-09 - 12:10 uur

Microsoft update

Op dinsdag 13 september heeft Microsoft een update uitgebracht die alle Diginotar-certificaten blokkeert. SRA heeft al eerder haar advies kenbaar gemaakt, om deze update niet te installeren. Het is weliswaar niet zeker dat de update tot problemen leidt, maar SRA stelt zich op het standpunt om het zekere voor het onzekere te nemen en de dagelijkse operatie met betrekking tot het indienen van elektronische aangiftes niet onnodig te verstoren.

De Belastingdienst heeft bovendien aangegeven dat het BAPI-kanaal voldoende waarborgen bevat voor een veilige aangifte.

Op de website van Logius vindt u meer informatie over de Microsoft-update, waaronder een instructie om de update desgewenst terug te draaien, als deze toch op uw systeem geïnstalleerd is.

---------------------------------------------------------------------------------------

Woensdag 14-09 - 09:00 uur

Helpdesk DigiNotar-problematiek

Bron: Rijksoverheid.nl

Vanaf woensdagochtend 14 september, 8.00 uur is het telefoonnummer 0800—023 08 00 beschikbaar voor overheidsorganisaties en bedrijven die vragen hebben over de DigiNotar-problematiek.

Dit nummer is geopend op werkdagen van 8.00 tot 17.00 uur. Vanaf dit nummer wordt direct doorgeschakeld naar de juiste helpdesk van Logius, de VNG, Orde van Advocaten, Belastingdienst en het publieksinformatienummer.

-------------------------------------------------------------------------------------------

Vrijdag 09-09 - 15:30 uur

SRA en sofwareleveranciers zien nauwelijks problemen in berichtenverkeer 

Aan het einde van een week die voor een groot deel werd beheerst door de situatie rondom de certificaten van DigiNotar heeft SRA in een conference call met 10 vooraanstaande softwareleveranciers overleg gevoerd over de vraag hoe de huidige situatie is met betrekking tot het berichtenverkeer in het BAPI- en SBR-kanaal en welke verwachtingen de leveranciers hebben voor de komende week.

Er is gesproken met (in alfabetische volgorde): CreAim, Elsevier (Reed Business), Exact Software, Innolan, Loket.nl, PinkWeb, Quadrant, SDU, Twinfield en Unit 4.

Door alle leveranciers werd bevestigd dat, voor zover er al problemen zijn geweest, deze qua omvang en duur beperkt zijn geweest en dat de communicatiekanalen op dit moment goed functioneren.Wel is er door een enkele leverancier een lichte afname van het aantal aangeboden aangiften vastgesteld, maar de verwachting is dat dit slechts een tijdelijk verschijnsel is.

Ook voor de komende week worden er geen problemen verwacht, zelfs niet in het licht van de update die dan (opnieuw) door Microsoft zal worden gedistribueerd. Desalniettemin handhaaft SRA vooralsnog haar advies om deze update niet te installeren.

De geruststellende berichtgeving van de tien softwareleveranciers is een bevestiging van signalen die SRA eerder deze week opving via andere organisaties, zoals Afas Software, de Belastingdienst en Logius.

Nu het goede functioneren van de verschillende communicatiekanalen op de korte termijn gewaarborgd lijkt, richt de focus zich langzamerhand op het vervangen van de vele in omloop zijnde DigiNotar-certificaten. Voor het BAPI-kanaal is vervanging overigens nu nog niet mogelijk, omdat er nog geen alternatief certificaat beschikbaar is.

De softwareleveranciers zijn in afwachting van de besluitvorming dienaangaande en spreken de hoop uit dat het vervangingsproces zo efficiënt en evenredig mogelijk zal verlopen, met minimale negatieve effecten voor hun eigen software en het gebruik ervan door hun klanten. Er is met alle getroffen maatregelen in ieder geval voldoende ruimte gecreëerd voor iedereen om het vervangingsproces tijdig te doorlopen.

Uiteraard blijven alle organisaties (softwareleveranciers én SRA) de ontwikkelingen nauwlettend volgen en zullen zij belangwekkend nieuws via de eigen communicatiekanalen blijven verspreiden.

-------------------------------------------------------------------------------------------

Vrijdag 09-09 - 10:50 uur

Gevolgen nieuw certificaat Digipoort (reactie Logius)

Vandaag, vrijdag 9 september, wordt er - als eerder aangekondigd - een nieuw certificaat geïnstalleerd in de productieomgeving van Digipoort, het communicatieplatform van de overheid voor SBR.

In de berichtgeving werd tevens gemeld dat dit in bepaalde gevallen tot het uitvallen van de connectie met Digipoort zou kunnen leiden, afhankelijk van de (technische) wijze waarop het aanleverende softwarepakket de identiteit van Digipoort vaststelt.

Navraag door SRA bij Logius heeft als reactie opgeleverd dat men weinig storingen verwacht, omdat het nieuwe certificaat in technisch opzicht identiek is aan het oude certificaat. Mocht u onverhoopt toch te kampen krijgen met een verstoorde aanlevering van SBR-rapportages, kunt u het beste contact opnemen met de helpdesk van de leverancier van de software waarmee u de verbinding met Digipoort tot stand probeert te brengen.

Het aangifteverkeer is gewoon veilig

Bron: Accountancynieuws

SRA-bestuursleden Fou-Khan Tsang en Jan Zweekhorst waren afgelopen weekeinde zeer nauw betrokken bij de DigiNotar crisis en zijn zeer verbaasd over de uitingen van een aantal accountantskantoren en softwareleveranciers.

‘Afgelopen weekend is er door het crisisteam van de overheid een verzoek gedaan aan het Becon-overleg om mee te denken over oplossingen voor de problemen die waren ontstaan rondom  DigiNotar. De grootste zorg ging daarbij uit naar het zogenaamde BAPI-kanaal waarover de meeste digitale aangiften worden verzonden,’ aldus Zweekhorst. ‘In de loop van de dag hebben we in samenspraak met software leverancier AFAS een aantal testen uitgevoerd om te onderzoeken of het BAPI-verkeer normaal bleef functioneren. Ook toen al hebben we gesimuleerd wat er zou gaan gebeuren bij de Microsoft beveiligingsupdate en daaruit bleek dat het BAPI-verkeer hierdoor niet zou worden verstoord.’

Platform

‘In de loop van de dag kwamen er echter steeds meer berichten in de media waarin ondernemingen werd geadviseerd om toch geen aangiften te gaan verzenden. Daarom werd besloten om op zondagavond een breed platform uit het bedrijfsleven uit te nodigen om te onderzoeken welke maatregelen genomen dan wel welke garanties er gegeven moesten worden om het verkeer op maandagochtend gewoon door te laten gaan,’ zo vervolgt Zweekhorst. ‘Onder leiding van VNO-NCW voorzitter Wientjes zijn er toen besprekingen gevoerd met staatssecretaris Weekers en zijn er afspraken gemaakt over garanties rondom coulance van de Belastingdienst indien aangiftes door de DigiNotar problemen te laat zouden worden ingeleverd.’

Garanties

Deze garanties worden verder uitgewerkt tussen de minister en VNO-NCW en is inmiddels ook genoemd in de brief die minister Donner naar de Tweede Kamer heeft gestuurd. De afgelopen drie dagen heeft het BAPI-verkeer en tevens ook Digipoort (SBR-aangiftes) gewoon gewerkt. ‘Dat is ook niet verwonderlijk,’ zo stelt Fou-Khan Tsang. ‘Voor het BAPI-verkeer wordt het DigiNotar certificaat niet gebruikt voor het verzenden van de aangifte. Alleen voor het encrypten van het bericht waarvoor ook nog een gebruikersnaam en wachtwoord noodzakelijk zijn.’

Waarom zijn er dan nog steeds organisaties die aangeven dat zij geen of slechts heel beperkt aangiften doorzenden?

‘We hebben in de loop van de maandagochtend gezien dat er een aantal softwareleveranciers waren die op basis van de informatie die in het weekend was verschenen het besluit hadden genomen om geen aangiften meer door te zenden. In de loop van maandag ochtend kwam echter het persbericht vrij dat wij gezamenlijk met het crisisteam, VNO-NCW, RB, NOB, NOAB, SRA, diverse softwareleveranciers en ICT Office in de nacht van zondag op maandag hebben opgesteld. Hierna hebben we gezien dat in ieder geval de meeste softwareleveranciers weer aangiften zijn gaan verzenden,’ aldus Tsang en Zweekhorst. Volgens Tsang en Zweekhorst moet iedere organisatie zijn eigen afwegingen maken maar zij snappen niet waarop deze organisaties hun uitlatingen stoelen. ‘We moeten niet vergeten dat we in het digitale tijdperk leven en dat dit soort zaken daarin kunnen voorkomen. Het afgelopen weekend en in de dagen erna heeft de overheid bij al haar stappen het bedrijfsleven betrokken en is er constructief overleg gevoerd. Wij hebben wel gemerkt dat er partijen wel uitgenodigd waren maar niet zijn gekomen en nu achteraf wel uiteraard een mening hebben.’ 

Welke stappen moeten accountantskantoren nu zetten?

In de eerste plaats moeten zij de beveiligingsupdates van Microsoft deze en volgende week niet installeren. Tsang en Zweekhorst: ‘In deze update zit een mechanisme dat de certificaten van DigiNotar op de zwarte lijst zet. Hoewel wij hiervoor nog steeds geen aanwijzingen hebben, zou het installeren van de updates het BAPI- en Digipoortverkeer kunnen hinderen. Accountantsorganisaties die een zogenaamd PKI Certificaat van DigiNotar gebruiken moeten dit zo snel mogelijk vervangen, er zijn drie alternatieve leveranciers in de markt die dit certificaat leveren. Ook het DigiNotar certificaat voor het BAPI-verkeer zal vervangen moeten worden, maar omdat DigiNotar de exclusieve leverancier is van dit certificaat onderhandelt de overheid op dit ogenblik met een nieuwe leverancier om zo snel als mogelijk nieuwe certificaten te kunnen leveren. De Belastingdienst werkt nu een scenario uit waarin het nieuwe certificaat zoveel mogelijk lijkt op het DigiNotar certificaat. Dat vergt namelijk zo min mogelijk inspanningen aan de kant van de softwareontwikkelaars.’

-------------------------------------------------------------------------------------------

Donderdag 08-09 - 11:00 uur

DigiNotar: Geactualiseerd overzicht

Aangiften via het BAPI-kanaal

Zoals eerder gemeld hebben tests uitgewezen dat het BAPI-kanaal gewoon functioneert, zelfs als de (dinsdag uitgegeven) Microsoft-update is geïnstalleerd. Desalniettemin blijft het advies van SRA om deze update niet te installeren, omdat het niet zeker is of het in andere situaties evenmin tot problemen kan leiden.

Enkele kantoren hebben ons benaderd met de vraag of men haast moet maken met de vervanging van de Diginotar-certificaten die voor het BAPI-berichtenverkeer worden gebruikt.

Vanuit de Belastingdienst is al eerder kenbaar gemaakt dat het systeem voldoende aanvullende waarborgen bevat voor een veilige aangifte. Bovendien is het certificaat dat gebruikt wordt voor het leggen van de verbinding met de BAPI-poort niet uitgegeven door Diginotar. Het BAPI-certificaat wordt uitsluitend gebruikt voor de encryptie en de elektronische ondertekening van de aangifte.

Onmiddellijke vervanging van Diginotar certificaten is dus niet nodig, sterker nog, is op dit moment niet eens mogelijk. Diginotar was voor wat betreft de uitgifte van BAPI-certificaten namelijk monopolist.

De Belastingdienst is momenteel in gesprek met een andere Certificaatleverancier om te bepalen op welke manier het BAPI-certificaat van Diginotar het beste kan worden vervangen. Uitgangspunt hierbij is dat dit zo min mogelijk negatieve effecten moet opleveren voor de ketenpartners (ondernemingen, intermediairs, softwareleveranciers, uitvragende partijen). Zodra hier duidelijkheid over komt, zullen wij dat via deze nieuwspagina bekend maken.

Aangiften en rapportages via Digipoort (SBR/XBRL)

Eerder is gemeld dat er meldingen waren van storingen m.b.t. het SBR-berichtenverkeer. Nader onderzoek heeft uitgewezen dat dit zich met name heeft voorgedaan in de testomgeving van Digipoort. Verschillende softwareleveranciers hebben inmiddels bevestigd dat de communicatie met Digipoort vanuit hun applicaties op dit moment gewoon functioneert, ook als er gebruik wordt gemaakt van een Diginotar-certificaat.

Aanstaande vrijdag, 9 september, zal de productieomgeving van Digipoort van een nieuw certificaat worden voorzien. Afhankelijk van de wijze waarop uw softwarepakket de identiteit van Digipoort vaststelt, kan dit in een aantal gevallen alsnog leiden tot het uitvallen van de verbinding met Digipoort. SRA zal vandaag nog inzicht proberen te verkrijgen over de vraag welke softwarepakketten de methode van identiteitsbepaling die tot verstoring kan leiden toepassen.

Het advies vanuit de overheid is hoe dan ook dat de PKIOverheid certificaten die door Diginotar zijn uitgegeven zo spoedig mogelijk moeten worden vervangen. Er zijn een viertal gecertificeerde bedrijven waaruit u kunt kiezen.

Deponering jaarrekeningen (KvK)

Lees het bericht van de Kamer van Koophandel over de gevolgen van de Diginotar-kwestie voor de deponering van jaarrekeningen.

Kredietrapportages via BIV (banken)

Het Financiële Rapportages Coöperatief heeft besloten, in navolging van de overheid, het gebruik van Diginotar certificaten voor de Bancaire Infrastructurele Voorziening niet meer toe te staan. Anders dan bij de Digipoort is deze blokkade op Diginotar-certificaten per direct ingegaan.

De gebruikers met een certificaat uitgegeven door Diginotar zullen een nieuw certificaat moeten aanvragen. Tot die tijd is aanlevering van SBR-kredietrapportages voor hen niet mogelijk.

DigID

Particulieren die met behulp van DigID verbinding leggen met websites van gemeentelijke overheden of de rijksoverheid is er geen probleem (meer). Op de website van Logius is een bericht gepubliceerd waarin wordt aangegeven dat DigID weer veilig is. Lees het artikel >>

Softwareleveranciers

De softwareleveranciers die te maken hebben met de communicatie via het BAPI-kanaal of Digipoort hebben de afgelopen dagen persberichten doen uitgaan over de stand van zaken m.b.t. hun applicaties.

Op Accountancynieuws.nl is een artikel gepubliceerd waarin een aantal van de softwareleveranciers reageert op de ontstane commotie. Hieruit blijkt dat er met de veiligheid van online applicaties niets mis is.

SRA belegt aanstaande vrijdag, 9 september, een telefonische spoedvergadering met de belangrijkste softwareleveranciers om de laatste informatie uit te wisselen. Uiteraard houden wij u van de uitkomsten van dit overleg op de hoogte.

-------------------------------------------------------------------------------------------

Update van Microsoft getest

Dinsdagavond 6 september zijn er testen gedaan door een team van specialisten waarbij ook SRA was vertegenwoordigd met de nieuwe update van Microsoft. De update heeft zoals door ons al eerder aangegeven geen invloed op het BAPI berichtenverkeer. Wel zijn er storingen gemeld met het berichtenverkeer met de DIGIpoort (SBR berichten).

Onduidelijk is echter of deze storingen te maken hebben met de update van Microsoft of dat er sprake is van een andere storing. Dit onderzoeken wij op dit ogenblik.

Als u toch problemen signaleert, verzoeken wij u dit te melden bij SRA door een e-mail te sturen naar:

info@sra.nl met als onderwerp DigiNotar. Beschrijf in de e-mail uw probleem en vermeld ook uw contactgegevens.

SRA zal de problemen vervolgens inbrengen bij de betrokken instanties.

SRA-Stappenplan DigiNotar

SRA heeft exclusief voor haar leden een stappenplan ontwikkeld.

• Download het stappenplan (exclusief voor SRA-Leden, login vereist)

Presentatie Fouk Tsang - Spoedbijeenkomst DigiNotar

Download de presentatie van Fouk Tsang inzake SRA-spoedbijeenkomst NBC Nieuwegein dd 6 september 2011.

• Download de presentatie (exclusief voor SRA-Leden, login vereist)

SRA adviseert om de Microsoft update van dinsdagavond 21:00 uur niet te installeren.

Op dit ogenblik adviseren wij om de update van dinsdag 13 september ook expliciet te weigeren. Vraag voor niet Bapi kanalen, zoals uw eigen website of online boekhoudpakketten, etc.  nieuwe beveiligingscertificaten aan en installeer deze zo snel mogelijk. Volg het SRA-stappenplan dat woensdagochtend beschikbaar komt.

-------------------------------------------------------------------------------------------

Dinsdag 06-09 - 13:45 uur

Gevolgen van de internetinbraak bij certificaten- leverancier Diginotar

Bron: MKB-Nederland

Geachte leden van het algemeen bestuur,
 
Naar aanleiding van de publiciteit over de internetinbraak bij Diginotar informeren wij u onderstaand over de gevolgen en aanbevelingen.

Aanleiding: valse certificaten uitgegeven door Diginotar

Afgelopen vrijdag heeft de minister van Binnenlandse Zaken het vertrouwen in certificaten- leverancier Diginotar opgezegd en het bewind over het bedrijf overgenomen. Dit in reactie op de uitkomsten van een onderzoek naar de systemen van Diginotar, nadat eerder bekend werd dat op die systemen was ingebroken. Gebleken is dat een groot aantal valse certificaten is uitgegeven.
 
Certificaten zijn nodig om te kunnen waarborgen dat het internetverkeer veilig verloopt. Zij dienen ter identificatie van websites (het zogenaamde slotje) en beveiliging van verkeer tussen computers onderling.
 
Omdat niet duidelijk is welke certificaten van Diginotar nog te vertrouwen zijn, en welke niet, is het vertrouwen in álle Diginotar certifcaten verloren gegaan. Alle Diginotar certificaten moeten daarom worden vervangen. Deze oproep is afgelopen weekend al breed gecommuniceerd, onder meer via de website van VNO-NCW en MKB-Nederland (www.vno-ncw.nl; www.mkb.nl) 

Nieuwe ontwikkeling: Microsoft update 

Vandaag komt Microsoft met een update van de software. Deze update kan mogelijk gevolgen hebben voor het serververkeer in uw sector. Dit speelt in ieder geval in de overheidssector -die veelvuldig gebruik  maakte van dit certificaat-, maar mogelijk ook bij sommige sectoren uit het bedrijfsleven.
Op verzoek van de Nederlandse overheid wordt deze update daarom in Nederland niet automatisch doorgevoerd. Bedrijven krijgen de keuze deze update direct in te voeren of nog uit te stellen totdat zij hun DigiNotar certificaat hebben vervangen. 

Concrete aanbevelingen voor ondernemers:

1. Bedrijven die gebruik maken van DigiNotar certificaten dienen deze zo snel mogelijk te vervangen.
Certificatiedienstverleners waar u op kunt overstappen zijn (zonder voorkeur):
•  KPN/Getronics: tel. 0320-217300, email pki@getronics.com  
•  ESG: tel. 0495 566355, email info@csp4.eu  
•  Quo Vadis: tel. 030-2324320, email info.nl@quovadisglobal.com

Bedrijven die gebruik maken van DigiNotarcertificaten en daarover vragen hebben, kunnen terecht bij hun softwareleveranciers. Met vragen over de vervanging van certificaten kunt u ook terecht bij Logius (www.logius.nl)

2. Per bedrijf dient een keuze te worden gemaakt of de Microsoft update nu of op een later moment moet worden geïnstalleerd. Bij deze keuze moeten bedrijven niet alleen bekijken of zij zelf DigiNotarcertificaten hebben, maar ook bezien of bedrijven in de keten deze certificaten gebruiken.
Wij adviseren u hierbij te letten op de communicatie van Microsoft (www.microsoft.nl) en de rijksoverheid (www.rijksoverheid.nl)

Elektronische aangifte ondernemers:

Met de Belastingdienst, het ministerie van Financiën, ICT~Office, diverse softwareleveranciers en belastingconsulenten is intensief overleg gevoerd over de elektronische aangifte van ondernemers. In verband met de het belang van dit proces, is onderzocht of dit proces in stand te houden is. Tijdens het overleg is vastgesteld dat de systemen waarmee ondernemers direct of via hun intermediair aangifte doen ook in deze situatie op dit moment kunnen blijven functioneren. Het systeem kent voldoende aanvullende waarborgen voor een veilige aangifte. Alle betrokken partijen zijn overeengekomen dat de situatie de komende tijd nauwgezet wordt gemonitord. Ook wordt met de betrokken partijen afgesproken dat wanneer aangiftes door certificaatfouten te laat of niet aankomen, de Belastingdienst hier coulant mee om zal gaan.

Vervolg:

Over de gevolgen voor andere sectoren vindt op dit moment intensieve analyse plaats door overheid en betrokken bedrijfsleven. Zodra deze resultaten bekend zijn worden deze per sector gepubliceerd. VNO-NCW en MKB Nederland houden voortdurend de vinger aan de pols en zullen u via de websites van VNO-NCW en MKB Nederland op de hoogte houden van nieuwe ontwikkelingen.
Wij adviseren u de communicatie van de rijksoverheid (www.rijksoverheid.nl) over diginotar in de gaten te houden.

Vriendelijke groet,
 
L.J. (Leendert-Jan) Visser
Directeur
 
Koninklijke
Vereniging
MKB-Nederland

Belastingadviseurs kunnen gewoon aangifte doen

Nieuwegein, 6 september 2011.

SRA weerspreekt het bericht op nos.nl waarin beweerd wordt dat belastingadviseurs niet meer met de Belastingdienst zouden willen communiceren via internet. Tijdens het crisisoverleg over de gevolgen van de hack bij DigiNotar dit weekend op het ministerie van Binnenlandse Zaken waaraan SRA als beconorganisatie deelnam, zijn testen uitgevoerd waarmee werd vastgesteld dat de communicatie tussen belastingadviseurs en Belastingdienst via het zogenaamde BAPI-kanaal betrouwbaar werkt. Ook gisteren draaide alles functioneel en konden aangiften ingediend worden.

SRA heeft dit weekend nauw overlegd met het ministerie van Financien, softwareleveranciers en VNO NCW over de implicaties en mogelijke oplossingen. Ondanks het feit dat het BAPI-kanaal betrouwbaar werkt (van machine naar machine), blijven partijen het proces monitoren. Samen met VNO-NCW wordt een convenant opgesteld om eventuele schadeprocessen in goede banen te leiden. Het ministerie van Financien heeft toegezegd coulant om te springen met mogelijke vertragingen in het aangifteproces.
 
Vandaag zal de overheid een brede campagne starten over het updaten van certificaten, met name ook over de wereldwijde update van Microsoft. Minister Donner verklaarde gisteravond dat Microsoft machines in Nederland een keuzemogelijkheid biedt om de update uit te voeren. Servereigenaren winnen zo een week respijt. Het ministerie organiseert vanochtend een bijeenkomst om de implicaties van dat proces toe te lichten. SRA zal daarbij ook aanwezig zijn. Vanmiddag worden de SRA-kantoren dan ook bijgepraat over de allerlaatste stand van zaken.

-------------------------------------------------------------------------------------------

Kamerbrief Digitale inbraak DigiNotar

Met deze brief informeren de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Veiligheid en Justitie de Tweede Kamer over de digitale inbraak bij DigiNotar en over het rapport dat Fox-IT daarover schreef.

• Download de kamerbrief

Spoedbijeenkomst Diginotar

Meer informatie / aanmelden >>

Aanpak DigiNotar-problematiek

Bij het beheersen van de gevolgen van de problematiek met betrekking tot DigiNotar analyseert de overheid samen met het bedrijfsleven per sector potentiële gevolgen. Zodra de gevolgen per sector bekend zijn worden deze gepubliceerd door de overheid en het bedrijfsleven. Voor de fiscale sector heeft dit voor het ministerie van Financiën, VNO-NCW, MKB-Nederland en betrokken bedrijven geleid tot onderstaande conclusie.

Elektronische aangifte ondernemers

Naar aanleiding van de situatie rond de DigiNotar-beveiligingscertificaten is er intensief overleg gevoerd tussen de Belastingdienst, het ministerie van Financiën, VNO-NCW, MKB-Nederland, ICT~Office en diverse softwareleveranciers en belastingconsulenten. In het overleg is vastgesteld dat de systemen waarmee ondernemers direct of via hun intermediair aangifte doen ook in deze situatie kunnen blijven functioneren. Het systeem kent voldoende aanvullende waarborgen voor een veilige aangifte. Alle betrokken partijen zijn overeengekomen dat de situatie de komende tijd nauwgezet wordt gemonitord. Indien zich nieuwe ontwikkelingen voordoen, wordt in overleg met de betrokken partijen bepaald welke vervolgactie noodzakelijk is. Als zich onverhoopt toch vertragingen voordoen, dan zal de Belastingdienst hier coulant mee omgaan.

Andere sectoren

Over de andere sectoren vindt op dit moment intensieve analyse plaats door overheid en betrokken bedrijfsleven. Zodra deze resultaten bekend zijn worden deze per sector gepubliceerd.

-------------------------------------------------------------------------------------------

Problemen Diginotar zullen effect hebben op aangiftetraject

Dit weekend is crisisoverleg gevoerd op het Ministerie van Binnenlandse Zaken over de gevolgen van de hack bij Diginotar en de waarborging van de veiligheid van overheidswebsites, waaronder die van de Belastingdienst.

BAPI-kanaal betrouwbaar

SRA-bestuursleden Jan Zweekhorst en Fouk Tsang waren uitgenodigd om mee te werken aan een oplossing. Zondagmiddag zijn testen in AFAS-omgeving uitgevoerd waarmee vastgesteld werd dat het proces van machine naar machine werkt. Vooralsnog lijkt het BAPI-kanaal betrouwbaar.

Alle betrokken partijen zijn overeengekomen dat de situatie de komende tijd nauwgezet wordt gemonitord. Bij eventuele problemen zal de Belastingdienst coulance betrachten. Welke coulancemaatregelen zullen gelden, wordt nog vastgelegd.

Advies: neem geen contact op met softwareleverancier

Veel SRA-Kantoren hebben vanmorgen contact opgenomen met hun softwareleveranciers. Let op: dit heeft geen zin. Zij kunnen u op dit moment ook niet meer vertellen.

Aangezien het overleg vanochtend nog niet is afgerond, zijn verdere concrete maatregelen nog niet bekend. Daarvan zullen we u zo snel mogelijk van hoogte brengen.

De Telegraaf melde gisteren (zondag) al dat particulieren en ondernemers wordt aangeraden voorlopig geen aangifte te doen.