Vertrouwende Partij Voorwaarden UZI-register Het UZI-register koppelt op unieke wijze de fysieke identiteit aan een elektronische identiteit en legt deze vast in een certificaat. Hierbij maakt het UZI-register gebruik van een Public Key Infrastructure (PKI). Het UZI-register heeft als functie het verstrekken en beheren van certificaten en sleutelinformatie, met inbegrip van de hiervoor voorziene dragers (UZI-pas). Het UZI-register vervult daarmee de rol van Certification Service Provider (CSP); Zorgaanbieders kunnen zich tot het UZI-register richten voor registratie in het UZI-register. Na een positieve identificatie en authenticatie vindt registratie plaats en kunnen de volgende certificaten worden uitgegeven: -
certificaten certificaten certificaten certificaten
voor voor voor voor
zorgverleners medewerkers op naam medewerkers niet op naam systemen, databases en websites.
Bovenvermelde certificaten worden op de hiervoor voorziene dragers (UZI-passen) gezet. Het UZI-register kent de volgende UZI-passen: -
pas voor de ‘zorgverlener’ pas voor de ‘medewerker op naam’ pas voor de ‘medewerker niet op naam’
Daarnaast geeft het UZI-register certificaten uit voor systemen: -
servercertificaten
Artikel 1 Definities Aanvrager
Een zorgverlener of vertegenwoordiger van de organisatie van de Abonnee , die gemachtigd is door de Abonnee om uit zijn naam aanvragen tot uitgifte van UZI-passen in te dienen bij de Registration Authority van het UZI-register.
Abonnee
Een natuurlijk persoon of rechtspersoon die met het UZI-register een overeenkomst sluit waardoor deze persoon afnemer wordt van certificatiediensten.
Certificaat
Elektronische bevestiging die gegevens voor het verifiëren van een een bepaalde persoon verbindt met gegevens over de vertrouwelijkheid en authenticiteit en/of elektronische handtekening en daarmee de identiteit van die persoon bevestigt. Een certificaat is een publiekelijk toegankelijk document dat is uitgegeven door een CSP en dat een aantal door die CSP geverifieerde gegevens bevat. Een certificaat bevat tenminste:
a) b) c) d)
e)
f) g) h) i)
j)
de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven; de identificatie en het land van vestiging van de afgevende certificatiedienstverlener (UZI-register); de naam van de ondertekenaar; ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het gekwalificeerde certificaat, wordt vermeld; gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de ondertekenaar staan; vermelding van het tijdstippen van het begin en van het einde van de geldigheidsduur van het gekwalificeerde certificaat; de identiteitscode van het gekwalificeerde certificaat; de elektronische handtekening van de afgevende certificatiedienstverlener (UZI-register); eventuele beperkingen betreffende het gebruik van het gekwalificeerde certificaat (toepassingsgebied), en de identiteitscode van het gekwalificeerde certificaat; eventuele grenzen met betrekking tot de waarde van de transacties waarvoor het gekwalificeerde certificaat kan worden gebruikt.
Certificaathouder
Een natuurlijk persoon of rechtspersoon voor wie een certificaat is afgegeven en van wie de identiteit kan worden vastgesteld met behulp van het certificaat.
Certificate Policy (CP)
Een document met een benoemde verzameling eisen die kaders aangeeft waarbinnen het UZI-register certificaten uitgeeft. Het CP wordt opgesteld door de Policy Authority van de PKI voor de overheid. Met behulp van onder andere het CP, kunnen eindgebruikers en vertrouwende partijen bepalen hoeveel vertrouwen zij stellen in het UZI-register worden.
Certificatiediensten
Het afgeven, beheren en intrekken van certificaten door certificatiedienstverleners, alsmede andere diensten die samenhangen met het gebruik van elektronische handtekeningen, identiteit en vertrouwelijkheid.
Certificaten Revocatie Lijst (CRL)
Een lijst van ingetrokken (=gerevoceerde) certificaten. Deze lijst is openbaar toegankelijk en raadpleegbaar via de website. De lijst is beschikbaar gesteld door en onder verantwoordelijkheid van het UZI-register. De CRL is zelf ook elektronisch ondertekend door de CA van het UZI-register.
Certificatiedienstverlener (Certification Service Provider; CSP)
Een natuurlijk persoon of rechtspersoon die de certificaten afgeeft en/of andere diensten verleent in verband met elektronische handtekeningen, waaronder identiteit en vertrouwelijkheid, verleent. Het UZI-register is een CSP.
Certification Practice Statement (CPS)
Een document dat de door het UZI-register gevolgde procedures en getroffen maatregelen ten aanzien van alle aspecten van de dienstverlening beschrijft. Het CPS beschrijft op welke wijze het UZI-register voldoet aan de eisen zoals gesteld in de CP’s.
Pashouder
De natuurlijke persoon die feitelijk gebruik maakt van de UZI-pas.
Registration Authority (RA)
Het onderdeel van het UZI-register dat de registratiewerkzaamheden uitvoert ter verwerking van de certificaataanvragen.
Stamcertificaat
Dit is het certificaat behorend bij de plek waar het vertrouwen in alle in de PKI uitgegeven certificaten zijn oorsprong vindt. Er is geen hoger liggende CA waaraan het vertrouwen wordt ontleend. Dit certificaat wordt door de houder, de beleidsverantwoordelijke van het hoogste vertrouwenspunt, zelf ondertekend. Alle onderliggende certificaten worden uitgegeven door de houder van het stamcertificaat.
Unieke Zorgverleners Identificatie (UZI)
Het betreft de unieke identificatie van zorgaanbieders.
Vertrouwende Partij
De natuurlijke persoon of rechtspersoon die ontvanger is van een certificaat en die handelt in vertrouwen op dat certificaat.
Vertrouwende Partij Voorwaarden
Voorliggend document waarin de voorwaarden zijn beschreven die van toepassing zijn voor Vertrouwende Partijen.
Zorgaanbieders
Door de minister van Volksgezondheid, Welzijn en Sport aangewezen categorieën van zorgverleners en zorginstellingen.
Zorginstelling
Het organisatorische verband zoals bedoeld in de Kwaliteitswet zorginstellingen aangevuld met door de minister van Volksgezondheid, Welzijn en Sport aangewezen organisatorische verbanden.
Artikel 2 Voorwerp van de voorwaarden - 1.
Deze Vertrouwende Partij Voorwaarden regelen de voorwaarden waaronder en de mate waarin een Vertrouwende Partij mag vertrouwen op een certificaat die uitgegeven is door het UZI-register.
- 2.
Onderdeel van deze Vertrouwende Partij Voorwaarden zijn de CP’s en het CPS die raadpleegbaar zijn op www.uzi-register.nl of die eventueel op verzoek van een Vertrouwende Partij schriftelijk worden toegezonden. Voor dit laatste kunnen administratieve kosten in rekening gebracht worden.
Artikel 3 Toepasselijkheid Deze Vertrouwende Partij Voorwaarden zijn van toepassing op het moment dat: • • •
er vertrouwd wordt op een certificaat uitgegeven door het UZI-register onder het hoogste vertrouwenspunt; langs elektronische weg naar een certificaat wordt gezocht of de status van een certificaat wordt geverifieerd; op enig andere manier wordt vertrouwd op de certificatiediensten of informatie op de website van het UZI-register. Artikel 4 Verplichtingen voor de Vertrouwende Partij
Als Vertrouwende Partij is de Certificaathouder verplicht om: a. Per individueel geval zelfstandig te beoordelen of het gerechtvaardigd is om op het certificaat te vertrouwen; b. De geldigheid van de hiërarchie te controleren waarbinnen het certificaat is uitgegeven, inhoudende de geldigheid van certificaten van bovenliggende CA’s en van het Stamcertificaat van de Staat der Nederlanden; c. De geldigheid van het certificaat te verifiëren door middel van de door het UZIregister gepubliceerde informatie op de CRL; d. Kennis te nemen van alle verplichtingen over het gebruik van het certificaat zoals vermeld in het CPS, hieronder uitdrukkelijk mede begrepen alle beperkingen over het gebruik van het certificaat; e. Alle overige voorzorgsmaatregelen te nemen die in redelijkheid door vertrouwende partijen genomen kunnen worden; f. Zich ervan bewust te zijn dat voorgaande controles slechts de integriteit van de gegevens en de identiteit van een certificaathouder authenticeren, wat uitdrukkelijk geen oordeel inhoudt over de inhoud van de gegevens. Artikel 5 Verplichtingen van het UZI-register - 1.
Het UZI-register zal er redelijkerwijs alles aan doen wat in haar vermogen ligt om te waarborgen dat de informatie die in haar certificaten is vermeld, actueel, juist en volledig is.
- 2.
Het UZI-register zal er redelijkerwijs alles aan doen wat in haar vermogen ligt om te waarborgen dat de informatie op haar website en in haar registers, bestanden en directories actueel, juist en volledig is.
Artikel 6 Aansprakelijkheid Het UZI-register aanvaardt geen enkele aansprakelijkheid tegenover de vertrouwende partij voor door hem/haar geleden schade in welke vorm dan ook met uitzondering van de hierna genoemde punten. •
Het UZI-register is in beginsel aansprakelijk, in die gevallen waar een vertrouwende partij schade lijdt, overeenkomstig artikel 6:196b eerste tot en met het derde lid van het Burgerlijk Wetboek, met dien verstande dat: -
•
voor “een gekwalificeerd certificaat als bedoeld in artikel 1.1. onderdeel ss Telecommunicatiewet” gelezen wordt “een authenticiteitscertificaat”; voor “ondertekenaar” gelezen wordt “certificaathouder”; voor “elektronische handtekeningen” gelezen wordt “authenticiteitskenmerken”.
Het UZI-register is in beginsel aansprakelijk, in die gevallen waar een vertrouwende partij schade lijdt, overeenkomstig artikel 6:196b eerste tot en met het derde lid van het Burgerlijk Wetboek, met dien verstande dat: -
voor “een gekwalificeerd certificaat als bedoeld in artikel 1.1. onderdeel ss Telecommunicatiewet” gelezen wordt “een vertrouwelijkheidscertificaat”; voor “ondertekenaar” gelezen wordt “certificaathouder”; voor “aanmaken van elektronische handtekeningen” gelezen wordt “aanmaken van vercijferde data”; voor “verifiëren van elektronische handtekeningen” gelezen wordt “ontcijferen van vercijferde data”.
Als de met het vertrouwen gemoeide belangen niet in verhouding zijn ten opzichte van het door het certificaat geboden niveau van betrouwbaarheid, wordt de vertrouwende partij geacht niet in redelijkheid op het certificaat te hebben vertrouwd, zelfs wanneer hij/zij aan alle overige verplichtingen heeft voldaan. Artikel 7 Geschillenbeslechting en toepasselijk recht - 1.
Als er een conflict ontstaat over de interpretatie van de bepalingen van het CPS, geeft het UZI-register de interpretatie van de bepalingen aan. Deze interpretatie dient de algemene doelstelling van het UZI-register in acht te nemen. Leidt deze uitleg of de uitkomst van de geschillenprocedure niet tot een voor betrokkene(n) bevredigend resultaat, dan kan voordat andere (al dan niet juridische) stappen genomen worden, het conflict worden voorgelegd aan een voor alle betrokkenen acceptabele (conflict)bemiddelaar. Over de bekostiging van deze bemiddeling worden alsdan afspraken gemaakt.
- 2.
Als het voorgaande conflict alsnog niet wordt beslecht, wordt ze bij uitsluiting voorgelegd aan de bevoegde rechter te ’s-Gravenhage.
- 3.
In geval van klachten over diensten geleverd door het UZI-register, moet de klacht binnen redelijke termijn schriftelijk ingediend worden bij het UZI-register ter attentie van het Unithoofd UZI-register onder vermelding van ‘Klacht’. Het UZI-register zal de klacht vervolgens afhandelen conform de klachtenprocedure die voortvloeit uit hoofdstuk 9 van de Algemene wet bestuursrecht.
- 4.
Op voorliggende Vertrouwende Partij Voorwaarden is Nederlands recht van toepassing.
Artikel 8 Overige bepalingen -1.
De eventuele nietigheid van één of meerdere van voorgaande bepalingen laat de geldigheid van de andere bepalingen onverlet.
- 2.
In geval van nietigheid van een bepaling zullen partijen gebonden zijn aan een bepaling van zoveel mogelijk overeenkomstige strekking, die niet aan vernietiging blootstaat.
- 3.
Toepasselijkheid van algemene voorwaarden van Vertrouwende Partijen wordt uitdrukkelijk van de hand gewezen.
Den Haag, 18 augustus 2006
UZI-register
©
UZI-register, Ministerie van Volksgezondheid, Welzijn en Sport
