Productvoorwaarden registratie en gebruik van vertrouwensdiensten

Version 1.0.1
21-08-2023

Table of Contents

1. Inleiding en begrippen

Dit zijn de Productvoorwaarden voor registratie voor en gebruik van Vidua vertrouwensdiensten. Vidua is een handelsnaam en merk van Cleverbase ID B.V.. Cleverbase ID B.V. (hierna: Vidua of Wij) is een ETSI/eIDAS geaccrediteerde Qualified Trust Service Provider en staat onder toezicht van het Agentschap Telecom. Wij zijn gevestigd aan de Maanweg 174, 2516 AB te Den Haag en geregistreerd bij de Kamer van Koophandel onder nummer 67419925. Vidua is ook het merk waaronder Wij de diensten aan jou als Gebruiker leveren.

Omdat Vidua meerdere diensten levert hebben we onze Voorwaarden opgedeeld per dienst. Zo houden we de omvang beperkt. Deze Productvoorwaarden (dit document) gelden vanaf het moment dat je registreert voor een gekwalificeerd certificaat. Ze zijn van toepassing op:

1.1 Welke begrippen hanteren Wij in deze Productvoorwaarden?

Begrippen zoals gedefinieerd in de Algemene Voorwaarden worden hier ook gehanteerd. Aanvullend hanteren we de volgende begrippen:

Certificaat: een elektronisch document die cryptografische sleutels met een bepaalde persoon verbindt en de identiteit van die persoon bevestigt om daarmee een persoon te koppelen aan het gebruik van een vertrouwensdienst. In de context van Vidua is ieder certificaat tevens een gekwalificeerd certificaat.

Certificaathouder: een Gebruiker die wordt geïdentificeerd in een Certificaat als de houder van de private sleutel behorende bij de publieke sleutel die in het Certificaat gegeven wordt. De Certificaathouder zal in het geval van persoonsgebonden Certificaten een natuurlijke persoon zijn; in het domein Burger zijn Certificaathouder en Gebruiker daarom altijd dezelfde partij.

Gekwalificeerd certificaat: een certificaat dat voldoet aan de hoogste betrouwbaarheidseisen volgens de Europese eIDAS verordening. Geschikt voor gebruik van gekwalificeerde vertrouwensdiensten.

Gekwalificeerde vertrouwensdienst (binnen Vidua): een elektronische dienst voor het elektronisch ondertekenen of identificeren volgens de hoogste betrouwbaarheidseisen volgens de Europese eIDAS verordening. Gelijk aan de meest betrouwbare analoge dienst.

EU vertrouwenslijst: een lijst van EU-lidstaten met informatie over de gekwalificeerde vertrouwensdienstverleners waarvoor de lidstaat verantwoordelijk is, samen met de informatie over de gekwalificeerde vertrouwensdiensten die door hen verleend worden.

Certificate Revocation List (CRL): een publiek beschikbare lijst van certificaten uitgegeven door Cleverbase die niet meer valide zijn door intrekking of verloop van geldigheid.

1.2. Hiërarchie van documentatie

In geval van dispuut tussen documentatie wordt de volgende hiërarchie aangehouden:

  • Certification practice statement
  • PKI disclosure statement
  • Algemene voorwaarden in het Nederlands
  • The terms & conditions in English
  • De product voorwaarden in het Nederlands
  • The product conditions in English
  • Andere publieke communicatie door Cleverbase

2. Kosten verbonden aan de dienst

Aan het registreren, houden of gebruiken van een certificaat (in een vertrouwensdienst) zijn geen kosten verbonden voor de Gebruiker.

3. Wat mag je als Gebruiker van ons verwachten?

Je mag als Gebruiker van Vidua diverse zaken verwachten op het gebied van registratie en gebruik van gekwalificeerde vertrouwensdiensten.

3.1 Certificaten

Vidua maakt gebruik van certificaten voor het maken van elektronische handtekeningen en voor het inloggen. Voor elke natuurlijke persoon maakt Vidua een of meerdere certificaten aan. Door de Nederlandse overheid en de Europese Unie worden strenge regels gesteld aan de uitgifte van certificaten. Dit brengt zowel verplichtingen voor ons als Vidua als voor jou als Gebruiker met zich mee. Vidua leeft de verplichtingen die zij zichzelf heeft opgelegd in haar interne procedures na. Zij verplicht zich hiertoe ook tegenover haar Gebruikers en de partijen die vertrouwen op de certificaten die door Vidua zijn uitgegeven en worden beheerd. Vidua heeft zich laten certificeren tegen de normen die aan haar zijn opgelegd vanuit PKIoverheid.

De interne procedures van Vidua zijn vastgelegd in haar Certification Practice Statement (CPS). Vidua mag de Certification Practice Statement of daarin opgenomen procedures wijzigen, maar daarbij zal ze er voor zorgen dat deze procedures blijven voldoen aan de eisen die vanuit PKIoverheid gelden.

Ten behoeve van de certificaten archiveert Vidua de logbestanden en overige registratiegegevens met betrekking tot een bepaald Certificaat gedurende de geldigheidsduur van dat Certificaat. Na afloop van die geldigheidsduur zal Vidua de logbestanden van dat Certificaat nog zeven jaar bewaren.

Ten behoeve van de certificatiedienstverlening conformeert Vidua zich aan ETSI 319 411-1, 319 411-2 en het Programma van Eisen PKIoverheid. Dit is door een externe auditor vastgesteld, conform het certificeringsschema ETSI 319 403-1.

3.2 Beschikbaarheid diensten

De certificaatstatusinformatie zal nooit langer dan vier uur achter elkaar onbereikbaar zijn. De certificaatstatusinformatie zal ook na afloop van de geldigheidsduur van het Certificaat beschikbaar zijn gedurende een periode die overeenkomstig is met wet- en regelgeving op het gebied van certificaten. Vidua beschikt over een beëindigingsplan om deze verplichting te kunnen nakomen.

4. Wat verwachten Wij van jou als Gebruiker?

4.1 Informatieverstrekking

Als Vidua daar om vraagt, verstrekt de Gebruiker zo snel als mogelijk alle informatie die nodig is om de dienstverlening naar behoren uit te voeren. De Gebruiker verstrekt bewijsstukken ter onderbouwing van deze informatie binnen veertien dagen.

Indien informatie in het Certificaat niet juist is of door een wijziging niet langer juist is, informeert de Gebruiker Vidua onmiddellijk over deze situatie.

4.2 Continuïteit van gebruik

Na verloop van de geldigheidsduur van het Certificaat, is het Certificaat niet meer te gebruiken. Je bent als Gebruiker zelf verantwoordelijk voor de tijdige verlenging van certificaten. Je kunt als Gebruiker geen rechten ontlenen aan intern beleid dat Vidua de Gebruiker aan het einde van de geldigheidsduur van het Certificaat informeert over het verlopen van de geldigheidsduur van het Certificaat.

Ook ben je zelf verantwoordelijk voor noodvervanging indien het sleutelmateriaal gecompromitteerd is of er zich een andere calamiteit voordoet.

4.3 Intrekking en oneigenlijk gebruik

De Gebruiker voorkomt oneigenlijk gebruik van het Certificaat. Een Certificaat wordt uitgegeven voor een vooraf bepaald doel, namelijk Authenticatie of Ondertekening. Als Gebruiker mag je het Certificaat dan ook niet gebruiken voor een ander doel dan waarvoor het Certificaat is uitgegeven.

De Gebruiker zorgt ervoor dat er geen ongeautoriseerd of onrechtmatig gebruik wordt gemaakt van de diensten of certificaten. In ieder geval zorgt zij ervoor dat er niet in strijd met de wet of regelgeving wordt gehandeld, dat men geen strafbare feiten pleegt of daarbij helpt, en geen schade toebrengt aan Vidua, haar reputatie of integriteit. Dit brengt met zich mee dat de Gebruiker redelijke maatregelen treft om:

  • de vertrouwelijkheid van de PIN-code te waarborgen, waaronder ten minste:
    • voorkomen dat een ander meekijkt bij het invoeren van de PIN-code,
    • de PIN-code niet op schrift stellen
    • en de PIN-code niet aan een ander verstrekken;
  • vertrouwelijkheid van het gebruik van de Vidua app te waarborgen.

Je trekt als Gebruiker het Certificaat zo spoedig mogelijk in en maakt geen gebruik meer van het Certificaat, wanneer:

  1. het sleutelmateriaal mogelijk is gecompromitteerd,
  2. de pincode mogelijk is gecompromitteerd,
  3. je zelf geen toegang tot het sleutelmateriaal meer hebt (bijvoorbeeld: je bent je mobiele telefoon verloren),
  4. de informatie in het Certificaat niet (meer) juist is, of
  5. er enige andere reden is die een intrekking van het Certificaat rechtvaardigt.

Na een hernieuwde registratie kan gebruik van diensten worden hervat.

4.4 Uitsluiting gebruik certificaat als identiteitsdocument

Een Certificaat is niet in de Wet op de identificatieplicht (Wid) als identiteitsdocument aangewezen. Het kan niet worden gebruikt voor het identificeren van personen in gevallen waarbij de wet vereist dat de identiteit van personen met een in de Wet op de identificatieplicht aangewezen document wordt vastgesteld. Ten overvloede vloeit hieruit voort dat een Certificaat niet kan worden gebruikt bij het afnemen van overheidsdiensten waarbij de wet vereist dat de identiteit van personen met een in de Wet op de identificatieplicht aangewezen document wordt vastgesteld.

4.5 Vertrouwende partij

Als de vertrouwende partij de status opvraagt van een Certificaat, dan zal deze de elektronische handtekening moeten verifiëren en het bijbehorende certificatie pad moeten controleren. Voor deze controle kan hij de crl van Vidua (handelsnaam van Cleverbase ID B.V.) bevragen op https://pki.cleverbase.com/cleverbase3c.crl of een OCSP statuscontrole uitvoeren. Zie paragraaf 4.10 van het Certification Practice Statement voor een verdere toelichting van het opvragen van de certificaatstatus. Daarnaast dient de vertrouwende partij te weten dat, om te kunnen vertrouwen op een certificaat als zijnde een gekwalificeerd EU-certificaat, de CA (het vertrouwensanker) voor de validatie van het certificaat moet zijn zoals geïdentificeerd in een digitale service-ID van een EU vertrouwenslijst met het servicetype-ID https://uri.etsi.org/TrstSvc/Svctype/CA/QC/. ETSI TS 119 615 biedt richtlijnen voor vertrouwende partijen bij het valideren van een certificaat tegen de EU vertrouwensdienst.

Verder verdient het de aanbeveling dat de vertrouwende partij op de hoogte is van de beperkingen van het gebruik van het certificaat, zoals kan worden afgeleid uit het certificaat zelf en uit de Algemene Voorwaarden.

5. Geen gebruik meer maken van de dienst

Het kan zijn dat je besluit om geen Gebruiker meer te zijn van de diensten onder deze Productvoorwaarden. Dit dien je ons schriftelijk of per e-mail laten weten.

5.1 Beëindiging door Vidua

Als een Certificaat door Vidua of door PKIoverheid wordt ingetrokken, dan blijft je Gebruiker van de dienst. Vidua houdt zich het recht voor een Gebruiker gebruik van de dienst te ontzeggen op gronden benoemd in paragraaf 7.2 van de Algemene Gebruikersvoorwaarden.

6. Wijziging Productvoorwaarden

Het kan zijn dat Vidua door nieuwe wetten of regelgeving haar diensten of onderdelen van haar diensten moet wijzigen. Als Vidua deze wijziging van haar diensten of significante wijziging van de Productvoorwaarden moet doorvoeren, zullen Wij jou als Gebruiker van tevoren via de website www.vidua.nl informeren. Deze wijzigingen gelden dan met ingang van 30 kalenderdagen nadat Vidua jou heeft geïnformeerd.

Ook heeft Vidua het recht om de Productvoorwaarden te wijzigen of aan te vullen. Als Wij besluiten tot een significante wijziging of aanvulling, dan zullen Wij jou als Gebruiker vooraf via de website www.vidua.nl informeren. Deze wijziging geldt dan met ingang van 30 kalenderdagen na kennisgeving aan jou als Gebruiker voor alle lopende abonnementsovereenkomsten en voor alle nog door jou af te nemen diensten.

Mocht het zo zijn dat bepaalde voorwaarden of afspraken in deze Productvoorwaarden niet geldig zijn of vernietigd (kunnen) worden, dan heeft dat geen invloed op de geldigheid van de andere voorwaarden en afspraken die hier staan omschreven. Voor de voorwaarde of afspraak die dan niet meer geldig is en dus moet worden vervangen, heeft Vidua het recht om een nieuwe voorwaarde en afspraak voor te schrijven die de inhoud en strekking van de voorgaande afspraak zo dicht mogelijk benaderd.

Alleen als dit schriftelijk vooraf door Vidua wordt bevestigd, kan er van deze Productvoorwaarden worden afgeweken. Wat dan schriftelijk tussen Vidua en de Gebruiker wordt afgesproken en afwijkt van wat hier is bepaald, gaat dan voor. De rest van de voorwaarden waar niet van wordt afgeweken, blijft bestaan en geldig.