De website Mijnpensioenoverzicht.nl is tijdelijk uit de lucht. Ook deze site maakt gebruikt van de beveiligingscertificaten van Diginotar en moet de digitale garantiebewijzen vervangen. Stichting Pensioenregister heeft daarom nieuwe certificaten besteld bij Quo Vadis en Getronics. Bij de laatste partij bestaat een lange wachtlijst. Mocht het te lang duren voordat de bestellingen binnen zijn, dan zoekt het Pensioenregister een andere authenticatiedienstverlener.
Via Mijnpensioenoverzicht.nl kan iedere burger een overzicht krijgen van alle bij pensioenfondsen en pensioenverzekeraars opgebouwde pensioenaanspraken en toekomstige rechten én van de aanspraken in het kader van de Algemene Ouderdomswet (AOW). Atos Origin bouwde dit Pensioenregister en beheert het ook in opdracht van de Stichting Pensioenregister.
Cor Franke, programmamanager Pensioenregister, vertelt dat het register op drie niveaus met Diginotar-certificaten werkt. Alle certificaten moeten door de digitale inbraak bij Diginotar worden vervangen. 'Op websiteniveau doen we dat met de SSL-certificaten van Quo Vadis. Dat is inmiddels gebeurd. Daarnaast gebruiken we pki-certificaten voor de versleuteling van informatie en om bij het gegevensverkeer met de rekencentra van de pensioenfondsen aan beide kanten de servers te identificeren. Die Diginotar-certificaten willen we met Getronics-certificaten vervangen. We hebben een bestelling uitstaan, maar we weten ook dat Getronics wordt overladen met opdrachten. Mocht het te lang duren voordat de bestelling binnenkomt, dan gaan we naar een andere authenticatieleverancier.'
Tijdrovend
Dat de site Mijnpensioenoverzicht.nl tijdelijk uit de lucht is gehaald, is een bewuste keuze, vertelt Franke. Het heeft te maken met het ontbreken van een spoedeisend belang, zoals de Belastingdienst dat wel heeft met zijn digitale dienstverlening. 'Het is jammer dat de website uit de lucht is, maar mensen kunnen ook heus een aantal dagen zonder de mogelijkheid om via internet hun pensioenopbouw te raadplegen. Bovendien hadden we een nieuwe release op de planning staan voor deze week, en één voor oktober. Het is dan handiger te wachten met de invoering van die releases totdat de nieuwe certificaten er zijn.'
Het omwisselen van de certificaten blijkt een tijdrovende bezigheid, merkt Franke. 'We moeten ons als Stichting Pensioenregister weer helemaal opnieuw inschrijven. Dat hield ook in dat er bestuursleden bij Quo Vadis langs moesten gaan om zich ter plekke met hun paspoort te identificeren.' Verder is er een contractmanager aan het werk voor het omzetten van de contracten en een servicemanager die samen met Atos de invoering van de digitale certificaten en beveiligingstesten coördineert.
Schadeclaim
De stichting probeert de kosten die de vervanging met zich meebrengt te verhalen op Diginotar. 'Het gaat niet om astronomische bedragen', zegt Franke, 'maar we hebben ze niet begroot. Voor een kleine organisatie als de onze is dit toch een financiële strop. We proberen de schade dan ook te verhalen en leggen al onze kosten vast. In eerste instantie volgen we het Rijk: die onderzoekt momenteel of een gezamenlijke claim haalbaar is. Lukt dat niet dan leggen we als individuele partij een claim neer bij Diginotar of het moederbedrijf Vasco.'
Vervanging
Het Pensioenregister werkt samen met 24 pensioenuitvoerders. Diverse uitvoerders werken ook met de Diginotar-certificaten. Franke: 'Wij hebben hen dringend geadviseerd om ze ook te vervangen. Ik verwacht niet dat er pensioenuitvoerders zijn die het advies naast zich neerleggen. Als stichting nemen we het advies van het Rijk ter harte. Als die zegt dat die certificaten niet meer volledig te vertrouwen zijn, dan hebben wij er ook geen vertrouwen meer in.' Overigens wijst de programmamanager er op dat de beveiliging van het Pensioenregister niet afhangt van de digitale certificaten. Die vormen een onderdeel van de ict-beveiliging, net als firewalls en webservices.
