Veelgestelde vragen
Algemeen
TVS maakt het voor overheidsorganisaties en zorginstellingen mogelijk om eenvoudig via erkende inlogmiddelen zoals DigiD, eHerkenning en eIDAS en Machtigen hun digitale dienstverlening te ontsluiten voor ondernemers en burgers.
Deze inlogmiddelen worden beschikbaar gesteld door publieke en private partijen. TVS fungeert als toegangspoort voor dienstverleners. Daardoor is het niet langer nodig dat overheidsorganisaties en zorginstellingen zelf aansluitingen ontwikkelen en beheren voor deze inlogmiddelen. TVS neemt deze zorg uit handen. De overheid is van plan het aantal erkende inlogmiddelen uit te breiden. TVS zal ook die middelen gaan ontsluiten.
U sluit uw webdienst of portaal aan op TVS. Als uw klant gaat inloggen, dan gaat uw klant naar de inlogpagina van TVS. Op basis van de keuze van de klant handelt TVS het inloggen met DigiD, eHerkenning, eIDAS of Machtigen af. Na het afronden van de inlog ontvangt uw webdienst of portaal de identificerende gegevens van uw klant en kan de klant zijn eigen gegevens in uw omgeving gaan benaderen.
- Eén koppelvlak
- Eén aanspreekpunt
- Eén contract
- Veilig: TVS voldoet aan strenge beveiligingseisen voor veilige digitale gegevensuitwisseling.
- Robuust: De TVS is gebouwd op een bewezen platform voor Identity en Access management.
- Flexibel: Nieuwe identificatiemiddelen zijn eenvoudig toe te voegen en te wijzigen.
- Eén standaard: Ondernemers en burgers ervaren overal dezelfde wijze van toegang tot overheidsdienstverlening.
- Schaalbaar: De TVS is voorbereid op een toename van intensiever gebruik.
- Hoge beschikbaarheid: De TVS kent een hoge beschikbaarheid door de dubbele uitvoering van onderliggende infrastructuur.
TVS is een overheidsvoorziening. TVS is beschikbaar voor (semi-)overheidsorganisaties, waaronder zorgorganisaties.
TVS is een routeringsdienst, geen authenticatiedienst. U kunt via TVS aangesloten worden op DigiD, maar ook op eHerkenning, Machtigen en eIDAS.
TVS biedt ondersteuning voor de volgende authenticatiediensten:
- DigiD
- Machtigen
- eHerkenning
- eIDAS
Voor het onderwerp SSO (Single Sign-on) in combinatie met de routeringsdienst TVS lopen op dit moment geen initiatieven. Er is al wel eens onderzoek gedaan naar mogelijke oplossingsmogelijkheden voor dit onderwerp. Dit is nog niet concreet verder opgepakt.
Aanvraagproces
Aanmelden voor TVS is heel eenvoudig en kan online via het aanmeldformulier. We adviseren wel om eerst het stappenplan door te lezen. Dit kunt u hier vinden.
TVS streeft ernaar om het aansluitproces zo soepel mogelijk te laten verlopen, op voorwaarde dat we tijdig de vereiste gegevens ontvangen. De vereiste documenten en bestanden verschillen per type aanvraag. Om de aansluiting tot stand te kunnen brengen hebben we de volgende gegevens nodig:
- Een ingevuld aanmeldformulier, ondertekend door een tekenbevoegde van uw organisatie.
- Geldige PKIO-certificaten (G1, private root)
- Een SAML-metadatabestand met de technische aansluitgegevens op basis van de koppelvlakspecificaties.
- Leveranciers die met hun systeem meerdere dienstverleners aansluiten leveren tevens aan:
- Het aansluitbestand met gegevens van de dienstverleners en voor het aansluiten op productie een ondertekende akkoordverklaring per dienstverlener. Op de pagina documentatie en links vindt u voorbeeldbestanden hiervoor.
Uw organisatie is een (semi-)overheidsorganisatie of u bent leverancier van een portaal of webdienst die door (semi-)overheidsorganisaties wordt gebruikt.
Er zijn 2 verschillende manieren van aansluiten
- Als ICT-leverancier die een systeem voor één of meerdere dienstverleners aansluit.
Als u een ICT-leverancier bent van een systeem dat door meerdere dienstverleners gebruik wordt, zoals bijvoorbeeld een SAAS oplossing of een DVZA binnen het MedMij stelsel, kunt u aansluiten met een zogenaamde een clusteraansluiting. U maakt dan gebruik van één aansluiting met TVS waarover u uw klanten eenvoudig toegang tot TVS en de authenticatiediensten kan bieden. Zie verder factsheet .. en de specificatie van het eID koppelvlak van de routeringsdienst met de rol leverancier clusteraansluiting (LC). - Als dienstverlener die een eigen webdienst/portaal aansluit.
Als u een dienstverlener bent met een eigen website die inlogmiddelen als DigiD of eHerkenning op een eenvoudige wijze beschikbaar wil stellen voor uw bezoekers. dan maakt u gebruik van een directe aansluiting. Indien u gebruik maakt van een ICT-leverancier voor uw website, contacteer deze om de mogelijkheden wat betreft TVS te verkennen. Zie verder specificatie koppelvlak van de routeringsdienst met de rol dienstverlener (DV).
Bij een aansluiting maken we onderscheid tussen een preproductie- en productie-aansluiting. Wanneer u zich voor het eerst aanmeldt wordt u op de preproductie omgeving aangesloten. Als dit succesvol is doorlopen, kunt u een aanvraag indienen op de productie-omgeving.
Het aansluitproces op preproductie ziet er als volgt uit:
- U dient een aanvraag in voor een aansluiting op de preproductie-omgeving.
- TVS bevestigt de aanvraag en controleert deze op correctheid en volledigheid.
- U levert de metadata incl. certificaten aan. Leveranciers geven tevens het aansluitbestand door.
- TVS realiseert de verbinding en levert u de testaccounts om uw aansluiting te kunnen testen.
- U voltooit de aansluiting door de berichtuitwisseling met TVS te realiseren. U test uw werkende aansluiting aan de hand van de checklist testen. Als u aan de gestelde eisen voldoet kunt u ons verzoeken de aansluiting te testen.
- Nadat de test akkoord is krijgt u groen licht om een aanvraag in te dienen op de productie-omgeving.
Het aansluitproces op productie ziet er als volgt uit:
- U dient een aanvraag in voor een aansluiting op de productie-omgeving nadat de aanvraag op de preprod-omgeving is afgerond.
- TVS bevestigt de aanvraag en controleert deze op correctheid en volledigheid.
- U levert de metadata incl. certificaten aan. Leveranciers geven tevens het aansluitbestand door.
- TVS realiseert de verbinding en vraagt u om de verbinding te testen.
- Nadat de test akkoord is bent u klaar met de aansluiting en kunt u gebruik maken van TVS.
Uitgebreide informatie over het aansluitproces kunt u ook vinden in de TVS Factsheet.
Alleen de personen die tekenbevoegd zijn namens uw organisatie mogen een TVS-aanvraag indienen.
De Autorisatielijst BSN is de lijst met dienstverleners die gerechtigd zijn voor het gebruik en verwerking van het BSN, beschikbaar gesteld en ondertekend door de Beheerorganisatie BSNk. Deze dienstverlener moet daarvoor minimaal één dienst hebben waarvoor hij een wettelijke taak uitvoert waarbij een BSN nodig is. Bron.
Als een dienstverlener via een aansluiting op TVS DigiD wil gebruiken, dan dient de dienstverlener vermeld te staan op de AutorisatieLijst BSN. De ICT-leverancier hoeft niet voor te komen op de AutorisatieLijst BSN.
Het aantal aangesloten ICT-leveranciers op TVS veranderd. U kunt daarom het beste contact opnemen met uw ICT-leverancier.
Kennis van de gebruikte techniek bij de leverancier heeft veel invloed op de doorlooptijd. Gemiddeld duurt het ongeveer 3 maanden. Het traject neemt soms ook wat langere tijd in beslag.
Er is geen sprake van een aanpassing: het is belangrijk dat de tekenbevoegde correct in het KVK is geregistreerd. De aanvraag tot aansluiting op de TVS moet namelijk ondertekend worden door de tekenbevoegde. KVK dient daarvoor ter controle.
Ja, voor een PGO-aansluiting geldt een aparte aansluiting op TVS ten opzichte van het patiëntenportaal.
Er dienen twee of meer aansluithouders gebruik te (gaan) maken van de functionaliteit van de leverancier.
ICT-Leveranciers
Een aansluiting via een ICT-Leverancier is een zogenaamde Clusteraansluiting. De ICT-leverancier treedt op als tussenpartij tussen TVS en dienstverleners. Dienstverleners melden zich aan bij hun ICT-leverancier om aangesloten te worden op TVS.
U kunt u aanmelden via het online aanmeldformulier. Kies bij stap 4 voor de optie IT-Leverancier
Voor een Clusteraansluiting vragen wij om de volgende gegevens:
- Een ingevuld aanmeldformulier dat ondertekend is door een tekenbevoegde van uw organisatie
- Geldige PKIO certificaten op basis van het OIN van de aan te sluiten partij (G1, private root)
- Een SAML metadatabestand dat voldoet aan de koppelvlak specificatie eID SAML 4.4
- Een aansluitbestand met de gegevens van de dienstverleners
- Een ondertekend akkoordverklaring van elke dienstverlener die u wilt aansluiten
Het is mogelijk om nieuwe dienstverleners toe te voegen. De gegevens van de nieuwe dienstverleners geeft u door via het aansluitbestand dat u van ons ontvangt na het afronden van de initiële aanvraag. U breidt uw metadata uit met het certificaat van de dienstverlener. De dienstverlener geeft een akkoordverklaring af.
Het is mogelijk om de gegevens van dienstverleners aan te passen. Hiervoor maakt u gebruik van het aansluitbestand waarin u de gegevens van de dienstverleners opgeeft. Ook het metadatabestand past u aan door de af te melden dienstverlener te verwijderen.
Het is mogelijk om een dienstverlener af te melden. Hiervoor maakt u gebruik van het aansluitbestand waarin u de gegevens van de dienstverleners opgeeft. Ook het metadatabestand past u aan door de af te melden dienstverlener te verwijderen.
Een ICT-leverancier kan zijn applicatie in preproductie aansluiten op TVS zonder in eerste instantie een dienstverlener te hoeven aansluiten. De ICT -leverancier definieert dan zijn eigen organisatie als testdienstverlener in het aansluitbestand en de metadata (inclusief het bijbehorend certificaat voor encryptie). Op basis van deze gegevens wordt dan de aansluiting voor de preproductie in TVS en achterliggende voorzieningen als DigiD en Machtigen gerealiseerd.
Directe aansluitingen
Bij een directe aansluiting op TVS sluit de dienstverlener zijn systeem direct aan op TVS. Er zijn geen andere dienstverleners die de aansluiting gebruiken zoals bij een Clusteraansluiting van een ict-leverancier.
U kunt uw organisatie aanmelden via het online aanmeldformulier. Kies bij stap 4 voor een Directe aansluiting dienstverlener.
Voor een directe aansluiting vragen wij om de volgende data:
- Een ingevuld aanmeldformulier dat ondertekend is door een tekenbevoegde van uw organisatie
- Bij gebruik van Digid vermelding op de ALB-Lijst
- Geldige PKIO-certificaten.
- Een SAML metadata-bestand
U kunt altijd een wijziging indienen bij TVS.
Certificaten
Nee. Om de betrouwbaarheid van onze dienstverlening te waarborgen dient al het dataverkeer middels een geldig PKIO-certificaat ondertekend en vercijferd te zijn.
Dit is een certificaat dat is uitgegeven binnen de Public Key Infrastructure voor de Overheid. Deze certificaten voldoen aan de veiligheidseisen die de Nederlandse overheid stelt. Dit type certificaat is verplicht bij gegevensuitwisseling met overheidsinstanties. Dit verzorgt de authenticatie en de encryptie van het dataverkeer tussen uw website en TVS. Meer informatie is te vinden op de website van Logius.
Het is niet mogelijk om gebruik te maken van een self-signed certificaat. Het certificaat moet uitgegeven zijn onder de Private G1 root van PKIoverheid.
PKI-Overheid G1: Een PKI-overheid (Public key infrastructure) certificaat waarin het OIN (Organisatie-identificatienummer) van uw organisatie is opgenomen is vereist. Volgens het beleid van PKIoverheid moet het certificaat zijn uitgegeven onder de Private G1 root van PKIoverheid.
UZI-certificaat: Unieke Zorgverlener Identificatienummer certificaat (enkel te gebruiken door zorgdienstverleners).
Let op! : De PKI-Overheid Server CA 2020 root zal vanaf december 2022 niet meer worden voortgezet. Derhalve zullen we certificaten met deze specifieke root per 01-09-2021 niet meer accepteren bij nieuwe aansluitingen of wijzigingen op bestaande aansluitingen en adviseren wij om de G1 root te gebruiken.
Zie ook: Guidance gebruik PKIo certificaten bij routeringsdienst
Ja, het is mogelijk om gebruik te maken van een (bestaand) UZI- certificaat op de productie omgeving.
Voor de pre-productie omgeving geldt dat Test-UZI certificaten kunnen worden gebruikt, mits deze zijn gebaseerd op een uniek URA/abonnee-nummer per organisatie. Indien u niet in bezit bent van een uniek URA/abonnee-nummer op de testomgeving, kunt u deze aanvragen via DICTU TVS. Stuur hiervoor een mail naar tvs@dictu.nl
Deze zal vervangen moeten worden door een nieuw certificaat. Het gebruik van een geldig certificaat is verplicht voor TVS, na het verlopen zal de verbinding niet meer actief zijn. TVS ondersteunt certificate-rollover. U kunt uw nieuwe certificaat al voor einde van de geldigheid van het gebruikte certificaat installeren, zodat de overgang ongestoord kan plaatsvinden.
Nee, u dient voor de productie-omgeving nieuwe certificaten aan te vragen. Dit geldt voor zowel de ICT-leverancier als de dienstverleners. Het maakt geen verschil of deze daarbij direct of via een ICT-leverancier zijn aangesloten.
Elke aansluithouder heeft een eigen certificaat nodig voor de versleuteling van het BSN. Naast een PKIO certificaat mag dat ook een (bestaand) UZI certificaat zijn. Hergebruik van UZI certificaten is mogelijk, dat geldt niet voor PKIO certificaten. Echter, een servercertificaat (UZI) op meerdere servers installeren kan alleen als de servers en het beheer daarvan bij één en dezelfde partij zijn belegd.
Metadata
SAML staat voor Security Assertion Markup Language. Het is een standaard voor communicatie in de IT. In de SAML-metadata wordt beschreven hoe berichten worden uitgewisseld tussen u en TVS. Dit wordt gedaan volgens een bepaalde standaard
De volledige specificaties van de SAML implementatie van TVS kunt u vinden op onze documentatiepagina.
Bij de controle van de metadata letten wij op de volgende zaken:
- Het voldoet aan de SAML-standaard en de code bevat geen fouten.
- In de metadata zijn geldige PKIO-certificaten opgenomen met het OIN van uw eigen organisatie en die van overige aansluitende dienstverleners (in het geval van een clusterleverancier).
- Alle verplichte attributen moeten opgenomen zijn in uw metadata, zoals die staan vermeld in de specificaties.
- De metadata is correct gesigned.
Ontwikkeltools bieden vaak een functie voor het inrichten van een SAML-koppelvlak. Deze functies ondersteunen een basisimplementatie van SAML. Het eID 4.4 SAML koppelvlak van TVS vraagt mogelijk een uitgebreidere toepassing van SAML.
Voor de ontwikkeling van SAML-aansluitingen zijn ook bibliotheken met SAML-basisfuncties beschikbaar. Daarmee kan men uitgebreidere SAML-modules opbouwen. De bibliotheken variëren per ontwikkelplatform. Op internet en bij de diverse fora is hier informatie over te vinden.
De entityID is een uniek identificatienummer waarmee alle betrokken partijen worden geïdentificeerd. Meer informatie vindt u op de documentatiepagina.
Het entityID kent de volgende opbouw:
urn:nl-eid-gdi:1.0:XX:00000009999999990000:entities:0000
De onderdelen worden als volgt bepaald:
- urn:nl-eid-gdi:1.0 is een vast onderdeel
- :XX is de ROLE:
- :LC voor het EntityId van de Leverancier.
- :DV voor het EntityId van de dienstverlener
- :00000003999999990000 is het OIN
- :entities is een vast onderdeel
- :0000 is de Index; hier kan men zijn endpoints definiëren
- Voor productie een nummer tussen 0000 tot en met 8999
- Voor preproductie een nummer tussen 9000 tot en met 9999.
Meer informatie over de opbouw van het OIN is te vinden bij Wat is een Organisatie-identificatienummer (OIN)?
Het Organisatie-identificatienummer (OIN) is een uniek nummer dat Logius toekent aan organisaties om zich te identificeren, authentiseren en/of autoriseren bij digitaal berichtenverkeer met de overheid. Het OIN bestaat uit 20 posities. Het OIN heeft de volgende opbouw: <prefix><nummer><suffix>
- Prefix - 00000003 (nr 3 omdat het een KvK-nummer betreft)
- Nummer - 8 posities
- Suffix - 0000
Prefix
Voor het nummer maakt Logius voor overheidsorganisaties primair gebruik van het Rechtspersonen en Samenwerkingsverbanden Identificatie Nummer (RSIN) uit het HR. In het geval dat een overheidsorganisatie geen RSIN heeft, kan worden uitgeweken naar alternatieven.
00000001
RSIN
Handelsregister (9 posities)
00000003
KvK-nummer
Handelsregister (8 posities)
00000009
UZI Abonnee-nr.
Gereserveerd voor UZI certificaten
Nummer
Afhankelijk van het type certificaat dat gebruikt wordt komt hier het KvK-nummer of het UZI Abonnee-nr. te staanl.
Suffix
De suffix bestaat uit een serie nullen die er voor zorgen dat het OIN in totaal uit 20 posities bestaat. Voor een RSIN nummer bestaat de suffix uit 3 nullen "000", voor het KvK nummer uit 4 nullen "0000".
Meer informatie over OIN kunt u vinden op de website van Logius.
Voorbeelden kunnen worden gevonden op:
TVS Metadata Preprod: https://pp2.toegang.overheid.nl/saml/metadata/rd
TVS Metadata Prod: https://rd2.toegang.overheid.nl/saml/metadata/rd
Aansluitbestand
Een aansluitbestand bevat de technische en administratieve gegevens van een dienstverlener. Een aansluitbestand is verplicht bij een Clusteraansluiting. De Leverancier Clusteraansluiting levert dit aan TVS.
Een voorbeeldbestand is te vinden op de documentatiepagina.
Verstoringen en onderhoud
Via de app eFlash communiceren wij onze onderhoudsmomenten en verstoringen. eFlash is beschikbaar in de Apple Appstore (voor IOS) en de Google Playstore (voor Android).
Binnen eFlash kunt aangeven op de hoogte gehouden te worden van de productie en acceptatie/preproductie-omgeving van TVS, naast andere diensten.
Voor meer informatie over de communicatie vanuit de ketenpartners zie " TVS Keten Communicatiekanalen".
Per e-mail is TVS te bereiken op het volgende emailadres: tvs@dictu.nl
Telefonisch zijn wij op werkdagen van 07:00 tot 18:00 te bereiken via de DICTU Servicedesk op telefoonnummer: 088 042 8888. Vermeld hierbij dat het TVS betreft.