Alleen (zorg)dienstverleners die aan de gestelde criteria voldoen om het BSN te verwerken komen in aanmerking om DigiD, de machtingsvoorziening en Europese erkende inlogmiddelen (via de eIDAS-verordening) als inlogmiddel te gebruiken.

Er is een landelijke lijst (zogeheten ALB-register) waar BSN-gerechtigde organisaties worden geregistreerd. Controleer in het ALB-register of de (zorg)dienstverlener wellicht al in het ALB-register is opgenomen. In het geval van zorgpartijen is een registratie in het UZI-register ook voldoende.

Een servercertificaat is een computerbestand dat fungeert als een digitaal paspoort. Het bevat gegevens die nodig zijn voor beveiligd internetverkeer. Digitale certificaten zijn een onmisbare schakel in beveiligd internetverkeer. Zowel ICT-leveranciers als (zorg)dienstverleners hebben certificaten nodig.

Voor u als ICT-leveranciers geldt:

1. U heeft nog geen certificaat. In dat geval moet u een  PKIO-certificaat van het type G1 Private Root aanschaffen als u gebruik wilt maken van TVS.
2. U beschikt over een PKIO-certificaat van het type G1 Private Root. Dan hoeft u geen actie te ondernemen. Dit certificaat kan ook worden gebruikt voor de aansluiting op TVS. Het certificaat moet wel tijdig worden verlengd.

Voor de (zorg)dienstverleners die via een ICT-leverancier worden aangesloten geldt:

1. De (zorg)dienstverlener heeft nog geen certificaat. In dat geval moet de (zorg)dienstverlener er een aanschaffen voor de versleuteling van het BSN.
2. De (zorg)dienstverlener heeft hierbij de keuze uit een UZI-certificaat (via het CIBG) of een PKIO-certificaat (via een gecertificeerde aanbieder, zogeheten Trust Service Provider).
3. De aan te sluiten (zorg)dienstverlener beschikt al over een UZI-certificaat. Dan hoeft de (zorg)dienstverlener geen actie te ondernemen. Dit certificaat kan ook voor deze doeleinden worden gebruikt. Het certificaat moet wel tijdig worden verlengd.

Benodigde certificaten:

Certificaat nodig voor:                                                  Wie:

DICTU-verbinding met TVS                                         Leverancier
Signen van berichten                                                   Leverancier
Versleuteling van het BSN                                           (Zorg)dienstverlener

Voor meer informatie raadpleeg de link: https://www.logius.nl/diensten/routeringsvoorziening/documentatie/guidance-gebruik-pkioverheid-certificaten-bij-routeringsdienst

Let op: er zijn aparte certificaten nodig voor de preproductie-omgeving en de productie-omgeving.

Aandachtspunten

• Houd rekening met een doorlooptijd bij het aanvragen van een certificaat, zowel voor de registratie als de aanschaf zelf.
• Verwerk de certificaten in de metadata bij het maken van de technische aansluiting op TVS preproductie en productie.

Alle organisaties die door de overheid erkende inlogmiddelen gebruiken moeten voldoen aan een set beveiligingsnormen. Via een ICT-beveiliging assessment wordt dit getest. Als u als ICT-leverancier meerdere (zorg)dienstverleners bedient, kan mogelijk worden volstaan met een meervoudig assessment. Dit is afhankelijk van de wijze waarop de dienstverlening is ingericht. Het oordeel hiervoor ligt bij de auditor en hangt af van veel variabelen. Twee belangrijke (maar niet uitputtende) criteria daarvoor zijn:

• De digitale diensten zijn voor de aangesloten (zorg)dienstverleners gelijk (meer van hetzelfde).
• De digitale diensten kunnen centraal door de RE-auditor beoordeeld worden.

Logius heeft de informatie over assessments aangevuld met informatie over meervoudige assessments.

Let op: de voorbereidingen voor het assessment zijn geen randvoorwaarde voor het aansluitproces zelf. Het is wel als aparte stap opgenomen, omdat het verstandig is tijdig actie te ondernemen.

Actie ICT-leverancier

• Tijdig zelf verdiepen in mogelijkheden, mede aan de hand van informatie op Logius.nl.
• Ga zo nodig in gesprek met een erkend auditor of adviseur om nader inzicht te krijgen.
• Start ongeveer twee maanden voor live-gang op de productieomgeving met het plannen van het assessment.

Is een meervoudig assessment niet mogelijk? Ga dan in gesprek met de (zorg)dienstverleners om de individuele assessments voor te bereiden. Overweeg om een pre-assessment uit te laten voeren, zodat u weet welke voorbereidingen u nog moet treffen.

De ICT-leverancier realiseert de aansluiting op TVS voor het inloggen met de erkende middelen. Deze aansluiting is gebaseerd op de standaard SAML 2.0. Zie verder de specificaties van het Koppelvlak specificatie eID SAML 4.4.

MedMij
Als TVS wordt gebruikt binnen een DVZA oplossing, dan dient ook de oplossing aan de gestelde aansluitvoorwaarden te voldoen. DICTU, Logius en MedMij hebben gezamenlijk een handreiking opgesteld hoe de aansluiting op TVS binnen de DVZA vorm te geven. Deze handreiking vindt u in de kennisbank van MedMij.

Actie ICT-leverancier
Realiseren aansluiting aan de hand van de specificaties.

U vraagt de aansluiting op TVS aan via het online aanvraagformulier. De aanvraag van een TVS-aansluiting geldt direct ook als aanvraag voor de achterliggende erkende inlogmiddelen zoals DigiD en de machtigingsvoorziening voor vrijwillig machtigen. Hiervoor hoeft dus geen apart traject te worden doorlopen.

Actie ICT-leverancier:

• Invullen aanvraagformulier TVS.
• Verzamelen gegevens betrokken (zorg)dienstverleners.
• Verzamelen ondertekende akkoordverklaringen betrokken (zorg)dienstverleners.
• Aanleveren benodigde gegevens bij DICTU.

Na het goedkeuren van de aanvraag kunt u de koppeling van uw systeem met de preproductie omgeving van TVS feitelijk inrichten en testen. Voor het tot stand brengen van de koppeling levert u de SAML metadata en een ingevuld aansluitbestand bij DICTU aan. De aangeschafte certificaten worden in de metadata opgenomen. Bij een DigiD-aansluiting ontvangt u een aantal testaccounts met BSN’s waarmee u de aansluiting en uw systeem kunt testen zodra de verbinding op preproductie is gerealiseerd.  Tevens kunt u met behulp van de Checklist Testen nagaan of uw aansluiting voldoet aan de eisen die DICTU stelt. Als uw systeem en de aansluiting goed werken, vraagt u DICTU om goedkeuring voor de aansluiting. Met dat akkoord kunt u de aanvraag voor aansluiten op productie indienen.

Actie ICT-leverancier

• Doorlopen van de stappen in het kader van het testen op de preproductie-omgeving.

Als alle tests goed zijn verlopen kunt u de aanvraag indienen voor de productie-omgeving. Deze procedure komt overeen met het aansluiten op de preproductie-omgeving: aanleveren van informatie(aansluitbestand) en metadata en het tot stand brengen van de aansluiting. Stem vooraf met de (zorg)dienstverleners af of zij hun aansluiting direct in gebruik willen nemen.

Het tweede aspect bij de keuze van het moment is het assessment. Hierbij zijn de volgende twee situaties mogelijk:

• U werkt met een meervoudig assessment. Het moment dat uw aansluiting met de eerste (zorg)dienstverlener in productie wordt genomen is bepalend voor de 2-maandentermijn van het assessment. U dient dan als leverancier voorbereid te zijn op het assessment, zodat u dat binnen twee maanden na aansluiten afgerond hebt.
   
• Als u niet met een meervoudig assessment werkt en iedere (zorg)dienstverleners een assessment uitvoert, dan is het moment dat de dienstverlener in productie wordt aangesloten bepalend voor de 2-maandentermijn van het assessment. In deze situatie zal de (zorg)dienstverlener dus ook voorbereid moeten zijn op het assessment.

Actie ICT-leverancier

• Afspraken maken met de aangesloten (zorg)dienstverleners over het moment waarop ze hun aansluiting daadwerkelijk in gebruik willen nemen.
• Aanvragen aansluiting op TVS op de productie-omgeving.
• Verzamelen gegevens betrokken dienstverleners incl. akkoordverklaringen.

Na het aansluiten op productie dient de ICT-leverancier (in geval van een meervoudig assessment) of de (zorg)dienstverlener (in geval van een individueel assessment) binnen twee maanden een assessment uit te laten voeren en op te leveren aan Logius. Let op: als sprake is van aanpassing van een bestaande koppeling of de verhuizing van een bestaande DigiD aansluiting naar TVS, is een geheel nieuw assessment mogelijk niet noodzakelijk. Overleg hiervoor met een erkend auditor. Ook hiervoor geldt dat het oordeel aan de auditor is.