ZORG-ID Identiteitscertificaat en Vertrouwensstructuur

Voor persoonsidentificatie/ authenticatie maken ZORG-ID en het UZI-register gebruik van persoonlijke certificaten.

ZORG-ID certificaten

ZORG-ID maakt gebruik van verschillende digitale certificaten om medewerkers veilig te identificeren, authenticeren en autoriseren. Deze certificaten zijn onderdeel van een betrouwbare trust chain met een duidelijke hiërarchie. Het gebruik is vastgelegd in het Certificate Practice Statement (CPS), waarmee ZORG-ID toewerkt naar eIDAS-conforme zekerheid. Voor aansluiting op ZORG-ID door een zorgapplicatie kan een UZI-servercertificaat gebruikt worden of één van de vertrouwde servercertificaten van de ICT-dienstverlener (één certificaat voor meerdere zorgaanbieders). Daarnaast heeft ZORG-ID voor de authenticatie certificaten aangemaakt voor iedere identiteit (gebruiker) per apparaat en/of attribuut. Deze certificaten worden via de beheeromgeving van ZORG-ID (portaal) onderhouden.

  • Verschillende soorten:
    • Persoonscertificaat
    • Mobielcertificaat
    • Tokencertificaat
    • Attribuutcertificaat
  • Wat is een trust chain
  • Hiërarchie van certificaten
  • Certificate Practice Statement (CPS)

 

Verschillende soorten

Persoonscertificaat

Is een persoonscertificaat

  • Koppelt de identiteit van een medewerker aan een certificaat, gebruikt voor digitale handtekeningen.
  • Gebaseerd op een UZI-nummer of ZORG-ID-registratie.
  • Gebruikt voor authenticatie binnen ZORG-ID.

 

 Mobielcertificaat

  • Koppelt de identiteit van een medewerker aan een certificaat, gebruikt voor authenticatie.
  • Voor gebruik in de ZORG-ID Mobiel App.
  • Ondersteunt moderne app-gebaseerde authenticatie via een QR-code

 

 Tokencertificaat

  • Voor gebruik met fysieke smartcard (ZORG-ID Smartcard), gebruikt voor authenticatie en voor digitale handtekeningen.
  • Gebruikt voor 2-factor authenticatie en veilige toegang tot zorgsystemen.

 

 Attribuutcertificaat (AC)

  • Bevat rol- of taak-specifieke gegevens van de medewerker, gebruikt voor vaststellen van authenticiteit van de herkomst van het attribuut. 
    Nu gebruikt voor “UZI-attributen” overgenomen van een UZI-pas (landelijk zichtbaar) én TaakCode, onder beheer van de zorgaanbieder (alleen per zorgaanbieder zichtbaar).
  • Wordt cryptografisch gekoppeld aan het persoonscertificaat.
  • Onder beheer van de Attribute Authority (AA).
  • Intrekbaar via CRL.

 

Wat is een trust chain?

Een trust chain is een reeks van digitale certificaten die samen een pad vormen van vertrouwen tussen een eindgebruiker (zoals jij) en een vertrouwde autoriteit (CA).

 

Hiërarchie van de certificaten

De UZI- en ZORG-ID-certificaten zijn georganiseerd in een hiërarchische structuur met een Root-CA en verschillende onderliggende Intermediate-CA’s.

  • Root- en Intermediate-certificaten worden beschikbaar gesteld via een distributiepunt (binnenkort beschikbaar).
  • Voor lokale applicaties die signatures moeten verifiëren buiten ZORG-ID om, is het noodzakelijk dat het Root-certificaat expliciet als vertrouwd wordt opgenomen in de lokale certificate store.
  • De trust chain zorgt ervoor dat alle persoonsgebonden en attribuutcertificaten uiteindelijk terug te leiden zijn naar dezelfde Root-CA.

 

De CA-structuur en trust chain:

- ZORG-ID Root CA (Persoonsgebonden certificaten)

- - ZORG-ID Medical CA

- - - ZORG-ID Attribute Authority

- - -  ZORG-ID Person CA

- - -  ZORG-ID Mobile CA

- - -  ZORG-ID Token CA

 

- ZORG-ID Root Mgt CA (Systeem gebonden certificaten)

- - ZORG-ID Management CA

- - -  ZORG-ID TLS CA

- - -  ZORG-ID Operator CA

 

Certificate Practice Statement (CPS)

Het CPS (Certification Practice Statement) beschrijft de rechten, plichten, en procedures die gelden voor het aanvragen, gebruiken en intrekken van certificaten. Zie: vzvz.nl/zorg-id/cps

Toelichting:

Voor het gebruik van de certificaten gelden gedragsregels. Ze zijn in de vorm genoteerd, zodat ZORG-ID kan doorgroeien naar eIDAS hoog middel. De huidige stand van zaken is dat de uitgegeven certificaten nog niet eIDAS hoog zijn en bij gebruik derhalve vergezeld gaan met mitigerende maatregelen:

  • Inschrijftoken: ZORG-ID Mobile App en ZORG-ID WID Scan Mobile App ==UZI-medewerkerspas
  • Inschrijftoken / transactietoken: ZORG-ID Smartcard en Signed bewijs uit UZI-pas == UZI-medewerkerspas

 

Implementatiestappen

Elke zorgmedewerker die gebruik wil maken van een ZORG-ID authenticatiemiddel (Smartcard en/of Mobiel) zal kennis moeten nemen van het Certification Practice Statement (CPS).