AMSTERDAM - KPN doet te lang over het vervangen van Diginotar-certificaten en neemt op veiligheidsgebied onacceptabele risico’s.

Dat stelt SRA, een netwerk van accountantskantoren maandag in een brandbrief aan de Belastingdienst en andere betrokken partijen.

KPN moet in opdracht van de overheid zo’n 16.000 certificaten vervangen, nadat de certificaten van het bedrijf Diginotar vorig jaar gehackt werden. Voor 1 juni moeten alle Diginotar-certificaten vervangen zijn. Honderden belastingkantoren gebruiken de certificaten om aangifte te doen voor bedrijven.

Slecht en onvolledig

SRA noemt de communicatie naar belastingconsulenten, die ondernemers helpen bij bijvoorbeeld de maandelijkse omzetbelasting, “slecht, onvolledig of foutief”. “Adviseurs starten aanvraagprocedures op en moeten weken wachten”, stelt een woordvoerder van SRA.

Met name bij het veranderen van een vestigingsplaats en de handelsnaam van een bedrijf ontstaat er volgens SRA een hoop vertraging. Op dit moment zijn 438 van de 16.000 certificaten omgezet, zo blijkt uit een speciale website van KPN over het project. “In dit tempo gaan we 1 juni mogelijk niet halen”, stelt de woordvoerder.

De Jager

Volgen SRA moet minister Jan Kees de Jager van Financiën beter toezicht gaan houden op het proces. “Als de deadline van 1 juni niet gehaald wordt, moet het gebruik van oude Diginotar-certificaat verlengd worden”, stelt de woordvoerder. “Anders lopen ondernemers het risico dat bijvoorbeeld de maandelijkse btw-aangifte te laat is.”

Behalve tijdrovend noemt SRA het KPN-systeem, BAPI genaamd, fraudegevoelig. Vooral het feit dat op de site van KPN certificaten zonder pincode te downloaden zijn stuit op bezwaren van de accountantsorganisatie. SRA, dat de proef op de som nam en enkele certificaten downloadde, noemt de KPN-site “schijnbaar volledig te hacken”.

Zonder pincode is een BAPI-certificaat nog onbruikbaar, beaamt SRA. “Maar het feit dat iedereen in staat is om certificaten van een ander te kunnen downloaden en te bekijken, is gewoon vragen om problemen, zeker met de actieve hackers van tegenwoordig en de opgedane ervaring met DigiNotar.”

Verlenging

Volgens SRA nemen accountantskantoren door de problematiek een afwachtende houding aan bij de aanvraag van nieuwe certificaten. De organisatie wil praten over een verlenging van de overgangstermijn naar bijvoorbeeld 1 oktober, en wil dat boetes bij te late aangiften voorlopig worden ingetrokken.

KPN noemt de veiligheid in een reactie “volkomen gewaarborgd”. “We herkennen ons totaal niet in het beeld dat SRA schetst”, stelt een woordvoerster. Ze benadrukt dat er pas een kwart van de overgangstermijn is verstreken, voordat ondernemers vanaf 1 juni definitief ‘om’ moeten zijn.

KPN moet volgens haar vooral nog veel uitleggen. “Uit de brief van SRA blijkt weer hoeveel onduidelijkheid er is over dit proces.”