Hoffmann Bedrijfsrecherche rondt naar verwachting in september de eerste versie van zijn onderzoek naar de ondergang van Diginotar af. Het recherchebureau uit Almere voert het onderzoek uit in opdracht van Vasco Data Security, de voormalige moedermaatschappij van Diginotar. De bevindingen moeten het Amerikaanse beveiligingssoftwarebedrijf verklaringen bieden voor het mislukken van de overname van Diginotar begin 2011. Deze leverancier van ict-beveiligingscertificaten uit Beverwijk ging vorig jaar zomer na een digitale inbraak hack ten onder.
Diginotar kwam in de zomer van 2011 in moeilijkheden nadat er digitale beveiligingscertificaten waren gehackt. Nadat de toenmalige minister Donner van Binnenlandse Zaken en Koninkrijksrelaties het vertrouwen in de onderneming opzegde, was het einde verhaal. Het bedrijf werd op 20 september 2011 failliet verklaard.
Wijze les
Naar de achtergronden van het echec zijn inmiddels diverse onderzoeken uitgevoerd. Ook Vasco heeft in september 2011 een onderzoek laten instellen. Het bedrijf was niet onder de indruk van de bevindingen uit het onderzoek van Fox-IT en nam Hoffmann Bedrijfsrecherche uit Almere in de arm. 'Wij zijn het onszelf, onze aandeelhouders en onze klanten verplicht na te gaan wat er is misgegaan met deze overname. Het inzicht daarin kan ons helpen bij eventuele nieuwe overnames', zegt topman Jan Valcke.
Achteraf gezien denkt de president en chief operation officer dat het Vasco-management zich na de overname intensiever met de bedrijfsvoering van Diginotar had moeten bemoeien. 'We hadden het gelijk vanaf dag één erbij moeten betrekken en niet eerst met rust moeten laten. En er moeten eigenlijk altijd twee mensen van de moedermaatschappij aanwezig zijn als de directie belangrijk zaken bespreekt. Maar omdat we op dat moment nog volop bezig waren met de ontwikkeling van onze nieuwe internationale product, Mydigipass.com, hebben we deze aspecten veronachtzaamd. De overname kwam eigenlijk een jaar te vroeg. Dat is voor mij wel een wijze les geweest: bij een overname direct focussen en niet als een bijzaak oppakken.'
Schadeclaims?
Hoffmann rondt naar verwachting de eerste versie van het onderzoek in september af, een jaar nadat de opdracht werd verstrekt. Het bleek volgens Valcke voor het recherchebureau niet altijd even makkelijk om alle direct betrokkenen te spreken te krijgen. Het eindrapport zal ook moeten uitwijzen of Vasco de grootaandeelhouders van Diginotar nog om schadeloosstelling gaat vragen. Valcke noemt dit een advocatenkwestie waar hij zelf weinig mee te maken heeft.
'Maar het is niet de bedoeling om ze tot in de eeuwigheid na te jagen', benadrukt hij. 'Zo'n bedrijf is Vasco niet. We verdedigen ons als het moet, maar we willen geen polemiek over grove fouten beginnen.' De aandeelhouders hebben sowieso een deel van de overnamesom niet gekregen. Vasco betaalde voor Diginotar tien miljoen (in aandelen), maar liet wel een 'earn out'-bepaling in het contact opnemen: een deel (1,4 miljoen euro) van de verkoopsom zou pas worden uitgekeerd na behaalde prestaties.
De Nederlandse overheid is nog in de slag met de curator van Diginotar voor een schadeclaim, maar Valcke is niet op de hoogte over de status daarvan. De topman wijst er op dat Diginotar sinds het faillissement niet meer van Vasco is maar van de curator. Hij verwacht niet dat de overheid ook tegen Vasco een claim zal indienen. 'Er liggen nog wel wederzijdse claims tussen de curator en Vasco. Daar moeten we nog uit zien te komen.'
Rol onderbelicht
Bij de onderzoeken die tot nu toe zijn verricht, is de rol van Vasco onderbelicht gebleven. De moedermaatschappij is bij de onderzoeken ook altijd op afstand gehouden, stelt de directeur vast. 'Wij hebben zoveel mogelijk meegewerkt en alle informatie verstrekt die nodig was. Maar van de Nederlandse overheid hoorden we nooit wat terug. Ik heb nog een keer een presentatie voor de Dutch Safety Board gehouden en dat was het dan. Van het Openbaar Ministerie, dat een strafonderzoek zou instellen, hebben wij helemaal nooit meer iets vernomen. Terwijl wij ook 'slachtoffer' zijn in deze zaak.'
Ook op de vraag van Vasco of de Nederlandse overheid wel streng genoeg was bij uitgifte van certificaten bleef een antwoord uit. Valcke is dan ook blij met het kritische rapport van de Nederlandse Onderzoeksraad voor Veiligheid naar aanleiding van de Diginotar-zaak, waarin staat dat overheidsorganisaties hun digitale veiligheid vaak niet in orde hebben. Al betreurt hij het dat het rapport sterk op Nederland is gericht en dat er amper naar het buitenland is gekeken over wat daar de heersende opvattingen en oplossingen op het terrein van pki en authenticatie zijn.