Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Voorwaarden bedrijfstestomgeving UZI-register Versie 2.0 Datum Status
5 februari 2015 Definitief
Pagina 1 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Inhoud
Inleiding—5 1 1.1 1.2 1.3 1.3.1 1.3.2 1.3.3 1.4
Achtergrondinformatie—7 Introductie UZI-register—7 Certificate Policy (CP) en Certificate Practice Statement (CPS)—7 Betrokken partijen en toepassing—8 Toepassingsgebied—8 Soorten certificaten—9 CA-model—9 Contactgegevens—11
2 2.1 2.2 2.3 2.4
Publicatie en verantwoordelijkheid voor elektronische opslagplaats—12 Elektronische opslagplaats—12 Publicatie van CSP informatie—12 Frequentie van publicatie—12 Toegang tot publicatie—12
3 3.1 3.2 3.3 3.4
Identificatie en authenticatie—13 Initiële registratie—13 Routinematige vernieuwing van het certificaat—13 Vernieuwing van sleutels na intrekking van het certificaat—13 Verzoeken tot intrekking—13
4 4.1 4.2 4.3 4.4 4.4.1 4.4.2 4.4.3 4.5 4.6 4.7 4.8 4.9
Operationele eisen certificaatlevenscyclus—14 Aanvraag van certificaten—14 Uitgifte van certificaten—14 Acceptatie van certificaten—14 Intrekking van certificaten—14 Beschikbaarheid on line controle van intrekkingstatus—14 Vereisten on line controle intrekkingstatus—14 Andere vormen publiceren intrekkingstatus—14 Procedures ten behoeve van beveiligingsaudits—14 Archivering van documenten—15 Vernieuwen van sleutels—15 Aantasting en continuïteit—15 CSP beëindiging—15
5
Fysieke, procedurele en personele beveiliging—16
6 6.1 6.2 6.3 6.4 6.5 6.6 6.7
Technische beveiliging—17 Genereren en installeren van sleutelparen—17 Private sleutel bescherming—17 Andere aspecten van sleutelpaar management—17 Activeringsgegevens—17 Toegangsbeveiliging van CSP-systemen—17 Beheersingsmaatregelen technische levenscyclus—18 Cryptografische module—18
7 7.1
Certificaat en CRL profielen—19 Certificaatprofielen—19
Pagina 2 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
7.1.1 7.1.2 7.1.2.1 7.1.2.2 7.1.3 7.1.4 7.2 7.2.1 7.2.2 7.2.3 7.3
Basis attributen—19 Extensies—20 Standaard extensies—21 Private extensies—21 Emailadressen—22 SubjectAltName.otherName—22 CRL profielen—24 Attributen—24 Extensies—25 CRL Distribution Points—25 CSP en CA certificaten—27
8
Conformiteitbeoordeling—29
9 9.1 9.1.1 9.1.2 9.2 9.3 9.4 9.5 9.5.1 9.5.2 9.6 9.7 9.8 9.9 9.10
Algemene bepalingen en voorwaarden—30 Verplichtingen—30 Verplichtingen van UZI-register—30 Verplichtingen van de gebruikers—30 Aansprakelijkheid—30 Interpretatie en handhaving—30 Tarieven—31 Aansprakelijkheid—31 Aansprakelijkheid van het UZI-register—31 Aansprakelijkheid van abonnees en certificaathouders—31 Conformiteitsbeoordeling / audit—31 Vertrouwelijkheid—31 Intellectuele eigendomsrechten—31 Wijzigingen—31 Overige bepalingen—31
Pagina 3 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Revisiehistorie
Versie
Datum
Status
Opmerking
1.0 1.1
15-06-2005 30-08-2005
definitief definitief
1.2
05-04-2006
definitief
2.0
05-02-2015
definitief
Eerste versie voor externe verspreiding Levensduur van gebruikerscertificaten is gewijzigd van zes maanden naar drie jaren Wijziging aangebracht in de maximale geldigheidsduur van de CRL (was 4 uur, wordt 48 uur) Geheel nieuwe versie. Het CPS voor de bedrijfstestomgeving is omgevormd tot een voorwaardendocument. Het Certificate Policy (CP) is vervallen.
Pagina 4 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Inleiding
Om veilige communicatie en raadplegen van vertrouwelijk informatie in het zorgveld mogelijk te maken, zijn drie domeinen onderscheiden: de zorgconsumenten, de zorgverzekeraars en de zorgaanbieders. Het Unieke Zorgverlener Identificatie register (kortweg UZI-register) is de certificatiedienstverlener (CSP) 1 die certificaten uitgeeft voor de unieke identificatie en authenticatie van zorgaanbieders. Het UZIregister heeft als doel zorgaanbieders bij elektronische communicatie en toegang tot gegevens uniek te identificeren. 0F
Een van de diensten aangeboden door het UZI-register betreft een bedrijfstestomgeving. Het doel van deze omgeving is tweeledig. Het UZI-register zelf gebruikt de bedrijfstestomgeving voor de test van wijzigingen voordat zij in de productieomgeving worden geïmplementeerd. Daarnaast geeft het UZI-register vanuit de bedrijfstestomgeving testpassen uit die door anderen kunnen worden gebruikt om applicaties of processen geschikt te maken voor de toepassing van producten van het UZI-register. Passen uit de bedrijfstestomgeving kunnen door belanghebbenden in het zorgveld worden gebruikt om testen uit te voeren. De testpassen hebben een ander vertrouwensniveau dan de passen uit de operationele omgeving. Zij worden op andere gronden en na uitvoering van veel beperktere controles uitgegeven. Doel van dit document Het document “Voorwaarden bedrijfstestomgeving UZI-register” beschrijft de wijze waarop invulling wordt gegeven aan de dienstverlening vanuit de bedrijfstestomgeving van het UZI-register. Ook beschrijft dit document de voorwaarden en beperkingen die hierop van toepassing zijn. Het document beschrijft de processen, procedures en beheersingsmaatregelen voor het aanvragen, produceren, verstrekken, beheren en intrekken van testcertificaten. Dit document geeft geen inzicht in de werking van het operationele UZI-register. Hiervoor wordt verwezen naar het CPS UZI-register.
1
Voor een verklaring van de gebruikte begrippen en afkortingen wordt verwezen naar bijlage 1 ‘Afkortingen en begrippen’ van het CPS UZI-register.
Pagina 5 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
1
Achtergrondinformatie
1.1
Introductie UZI-register Het UZI-register heeft als doel zorgaanbieders bij elektronische communicatie en toegang tot gegevens uniek te identificeren. Het UZI-register koppelt hiertoe op unieke wijze de fysieke identiteit aan een elektronische identiteit en legt deze vast in certificaten. De certificaten en de hierbij behorende cryptografische sleutels bevinden zich op een smartcard, met uitzondering van servercertificaten. Voor een nadere toelichting op het UZI-register en de producten van het UZI-register wordt verwezen naar https://www.uzi-register.nl/ onder het kopje ‘publicaties’. Naast de productie omgeving ten behoeve van de uitgifte van de UZI-passen zoals hiervoor aangeduid, heeft het UZI-register een bedrijfstestomgeving ingericht.
1.2
Certificate Policy (CP) en Certificate Practice Statement (CPS) Op de bedrijfstestomgeving is geen certificate policy van toepassing. Ook is geen Certificate Practice Statement van toepassing. Beide documenten zijn vervangen door dit voorwaardendocument. Dit document volgt zoveel mogelijk de algemene indeling van het CPS van het operationele UZI-register. Object Identifiers (OIDs) zijn in de certificaten opgenomen. De volgende OIDs zijn van toepassing. Functie CP Authenticiteit Voorliggend voorwaardendocument bedrijfstestomgeving UZI-register Onweerlegbaarheid (handtekening) Vertrouwelijkheid Authenticiteit Vertrouwelijkheid Server Tabel 1: OID van de CP’s van de bedrijfstestomgeving en tweede generatie SHA-1)
OID 2.16.528.1.1007.99.1 2.16.528.1.1007.99.2 2.16.528.1.1007.99.3 2.16.528.1.1007.99.4 2.16.528.1.1007.99.5 2.16.528.1.1007.99.6 UZI-register (eerste
Gebruikertestcertificaten SHA-2 generatie (G21) Tabel 2 geeft een overzicht PolicyIdentifiers (OID’s) voor de SHA-2 generatie (G21). De waarden zijn gewijzigd omdat PKI overheid in de productieomgeving nieuwe OID’s vereist aangezien het domein is gewijzigd van domein overheid naar domein organisatie. Naam testpas/certificaat 2
OID (PolicyIdentifier)
Omschrijving 2 1F
De Certificate Policies zijn vervallen. Alleen voorliggend voorwaardendocument bedrijfstestomgeving UZIregister is nog van toepassing.
Pagina 7 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Naam testpas/certificaat
OID (PolicyIdentifier)
Omschrijving 2
Authenticiteitcertificaten:
2.16.528.1.1007.99.211
OID van de CIBG Certificate Policy voor authenticiteitscertificaten in de UZI-register acceptatieomgeving. Nieuw domein.
2.16.528.1.1007.99.212
OID van de CIBG Certificate Policy voor onweerlegbaarheidcertificaten in de UZI-register acceptatieomgeving. Nieuw domein.
2.16.528.1.1007.99.213
OID van de CIBG Certificate Policy voor vertrouwelijkheidcertificaten in de UZI-register acceptatieomgeving. Nieuw domein.
2.16.528.1.1007.99.214
OID van de CIBG Certificate Policy voor Services authenticiteitcertificaten in de UZIregister acceptatieomgeving. Nieuw domein.
2.16.528.1.1007.99.215
OID van de CIBG Certificate Policy voor Services vertrouwelijkheidcertificaten in de UZI-register acceptatieomgeving. Nieuw domein.
UZI-register Servertestcertificaat
2.16.528.1.1007.99.216
OID van de CIBG Certificate Policy voor server certificaten in de UZIregister acceptatieomgeving. Nieuw domein.
ZOVAR Servertestcertificaat
2.16.528.1.1007.98.211
OID van de CIBG Certificate Policy voor server certificaten in de ZOVAR acceptatieomgeving. Nieuw domein.
Zorgverlenertestpas
Medewerkertestpas op
naam Onweerlegbaarheidcertificaten
Zorgverlenertestpas
Medewerkertestpas op
naam Vertrouwelijkheidcertificaten
Zorgverlenertestpas
Medewerkertestpas op
naam Authenticiteitcertificaten
Medewerkertestpas niet op naam
Vertrouwelijkheidcertificaten
Medewerkertestpas niet op naam
1F
Tabel 2: OID van de CP’s van de bedrijfstestomgeving UZI-register (G21) 1.3
Betrokken partijen en toepassing De gebruikersgemeenschap bestaat uit belanghebbenden bij het uitvoeren van testen met producten van het UZI-register. Voorbeelden van belanghebbenden uit de gebruikersgemeenschap van de bedrijfstestomgeving van het UZI-register zijn leveranciers van systemen voor zorgaanbieders en (ICT medewerkers van) zorginstellingen die de UZI-pas willen gaan gebruiken.
1.3.1
Toepassingsgebied Het toepassingsgebied van uit de UZI-register bedrijfstestomgeving uitgegeven certificaten is beperkt tot testsituaties. De uitgegeven certificaten zijn bedoeld voor belanghebbenden bij de test. Nadrukkelijk is vereist dat de belanghebbenden zijn gerelateerd aan het domein van de zorgaanbieders (zorgverleners en zorginstellingen). De producten van het UZI-register zijn bedoeld voor zorgaanbieders bij
Pagina 8 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
elektronische communicatie en toegang tot gegevens. De toepasbaarheid van de certificaten wordt in Tabel 4: Toepassingsgebied certificaten nader toegelicht. Type certificaat Authenticiteitcertificaat
Doel Dit certificaat wordt gebruikt om de certificaathouder of zorginstelling te identificeren en authenticeren. Handtekeningcertificaat Dit certificaat wordt gebruikt om een (onweerlegbaarheidcertificaat) elektronische handtekening te verifiëren die door de certificaathouder is gezet. Vertrouwelijkheidcertificaat Dit certificaat wordt gebruikt voor het versleutelen van de communicatie met de certificaathouder of de zorginstelling. Tabel 3: Toepassingsgebied certificaten 1.3.2
Soorten certificaten De verschillende pastypen worden kort toegelicht. Zorgverlener test In deze pas is naast fictieve persoons- en abonneegegevens ook informatie betreffende de status zorgverlener opgenomen in de vorm van de beroepstitel en een eventueel specialisme. De zorgverlener test pas bevat drie certificaten en sleutelparen (authenticatie, vertrouwelijkheid en onweerlegbaarheid). Medewerker test op naam In deze pas zijn fictieve persoons- en abonneegegevens opgenomen. De pas medewerker test op naam bevat drie certificaten en sleutelparen (authenticatie, vertrouwelijkheid en onweerlegbaarheid). Medewerker test niet op naam In deze pas zijn fictieve functie- en abonneegegevens opgenomen. De pas medewerker test niet op naam bevat twee certificaten en sleutelparen (authenticatie en vertrouwelijkheid). Services test Voor services (applicaties, websites, servers etc.) kunnen servicescertificaten verkregen worden. Deze certificaten bevatten fictieve abonneegegevens en een door de aanvrager aan te leveren URL en publieke sleutel. Voor services zijn het authenticiteit- en vertrouwelijkheidcertificaat gecombineerd in één certificaat.
1.3.3
CA-model Het CA-model dat is ingericht voor de uitgifte van de hiervoor beschreven typen UZI-passen wordt geschetst in Figuur 2: CA-model. De hiërarchie van de bedrijfstestomgeving van het UZI-register is door het UZI-register zelf ondertekend. De hiërarchie van de productie omgeving en de bedrijfstestomgeving van het UZIregister zijn identiek gelaagd.
Pagina 9 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Figuur 1: CA-model bedrijfstestomgeving (eerste + tweede generatie SHA1) Toelichting tweede generatie:
De rechter tak in de figuur is toegevoegd om de productiesituatie te kunnen testen waarbij er een vernieuwing plaatsvindt van het CSP certificaat en onderliggende sub-CA’s, terwijl het Root CA certificaat en het domein certificaat van PKI voor de Overheid ongewijzigd blijven. De motivatie om alle vernieuwde (sub-) CA’s een andere subject.CommonName in het CA certificaat te geven is opgenomen in CA model, pasmodel en certificaatprofielen. Voor de TEST UZI-register Services CA is ‘Services’ gewijzigd in ‘Server’. Desondanks is ‘G2’ toegevoegd voor de consistentie.
Pagina 10 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Figuur 2: CA-model bedrijfstestomgeving (SHA-2) 1.4
Contactgegevens Informatie over dit document of de dienstverlening van het UZI-register kan worden verkregen via onderstaande contactgegevens. UZI-register Wijnhaven 16 Postbus 16114 2500 BC Den Haag Servicedesk UZI-register 0900 – 232 43 42 (1 cent per minuut)
[email protected] www.uzi-register.nl
Pagina 11 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
2
Publicatie en verantwoordelijkheid voor elektronische opslagplaats
2.1
Elektronische opslagplaats Het UZI-register publiceert certificaten. Betrokken partijen kunnen certificaten raadplegen via de directory dienst. Informatie over de status van een testcertificaat is door middel van een Certificate Revocation List (CRL) te raadplegen. Het UZI-register streeft naar maximale beschikbaarheid tijdens kantoortijden, maar geeft geen garanties.
2.2
Publicatie van CSP informatie Dit document wordt gepubliceerd op http://www.uziregister.nl/uzipas/softwareleveranciers/testomgeving/. Het CIBG geeft geen garanties af met betrekking tot de beschikbaarheid van dit document.
2.3
Frequentie van publicatie Het UZI-register genereert en publiceert ieder uur automatisch een CRL ongeacht het feit of er sinds de voorafgaande publicatie certificaten zijn ingetrokken.
2.4
Toegang tot publicatie Geen opmerkingen
Pagina 12 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
3
Identificatie en authenticatie
3.1
Initiële registratie De naamformaten die worden gehanteerd in de bedrijfstestomgeving van het UZIregister zijn gelijk aan de naamformaten in het operationele UZI-register. Voor een nadere toelichting wordt verwezen naar het CPS UZI-register. In de bedrijfstestomgeving van het UZI-register wordt gewerkt met fictieve namen om natuurlijke en niet natuurlijke personen aan te duiden. Namen in certificaten uit de bedrijfstestomgeving worden voorafgegaan door het woord ‘test’. Het UZI-register tracht ook in de bedrijfstestomgeving de uniciteit van het ‘subject’veld te waarborgen. De onderscheidende naam die is gebruikt in een uitgegeven certificaat, zal niet worden toegewezen aan een ander subject, tenzij geen onderscheidende subject.serialNumber meer beschikbaar zijn (zie sectie 7.1.1).
3.2
Routinematige vernieuwing van het certificaat Er zijn geen maatregelen getroffen voor routinematige vernieuwing van certificaten uit de bedrijfstestomgeving.
3.3
Vernieuwing van sleutels na intrekking van het certificaat Er zijn geen maatregelen getroffen voor vernieuwing van sleutels na intrekking van certificaten uit de bedrijfstestomgeving.
3.4
Verzoeken tot intrekking Intrekking van certificaten uit de bedrijfstestomgeving kan via e-mail worden aangevraagd bij de helpdesk van het UZI-register (
[email protected]). Alle verzoeken tot intrekking worden door de helpdesk van het UZI-register in behandeling genomen.
Pagina 13 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
4
Operationele eisen certificaatlevenscyclus
4.1
Aanvraag van certificaten Aanvragen van certificaten kunnen door belanghebbenden bij het uitvoeren van testen met producten van het UZI-register worden gedaan. Voorbeelden van belanghebbenden uit de gebruikersgemeenschap van de bedrijfstestomgeving van het UZI-register zijn leveranciers van systemen voor zorgaanbieders en (ICT medewerkers van) zorginstellingen die de UZI-pas willen gaan gebruiken. Het afdelingshoofd van het UZI-register bepaalt of een partij wordt aangemerkt als belanghebbende bij het uitvoeren van testen met producten van het UZI-register. Bij de aanvraag dienen de volgende gegevens te worden vermeld:
Naam en adresgegevens van de aanvrager. Contactpersoon voor de aanvrager. Doel van de aanvraag.
Bij de aanvraag dient de aanvrager te verklaren dat de certificaten uit de bedrijfstestomgeving van het UZI-register worden gebruikt voor testdoeleinden ter voorbereiding van het gebruik van de UZI-pas uit het operationele UZI-register. 4.2
Uitgifte van certificaten Na productie worden de UZI-passen en de bijbehorende pincodebrieven naar de aanvrager gestuurd.
4.3
Acceptatie van certificaten Geen opmerkingen.
4.4
Intrekking van certificaten Intrekking van certificaten uit de bedrijfstestomgeving kan door de gebruiker via email worden aangevraagd bij de helpdesk van het UZI-register (
[email protected]). Het UZI-register behoudt zich het recht voor om certificaten uit de bedrijfstestomgeving in te trekken zonder opgaaf van redenen. De CRL-uitgiftefrequentie is ieder uur. Ingetrokken certificaten blijven op de CRL staan zolang hun oorspronkelijke geldigheidsdatum niet is verstreken.
4.4.1
Beschikbaarheid on line controle van intrekkingstatus Niet van toepassing.
4.4.2
Vereisten on line controle intrekkingstatus Niet van toepassing.
4.4.3
Andere vormen publiceren intrekkingstatus Niet van toepassing.
4.5
Procedures ten behoeve van beveiligingsaudits
Pagina 14 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Niet van toepassing. 4.6
Archivering van documenten Het UZI-register legt digitaal gegevens vast over de aanvraag van testcertificaten en over verzoeken tot intrekking van certificaten. UZI-register legt ook eventuele relevante correspondentie vast.
4.7
Vernieuwen van sleutels Sleutels van certificaathouders zullen niet opnieuw worden gebruikt na het verstrijken van de geldigheidsduur of na het intrekken van de bijbehorende certificaten.
4.8
Aantasting en continuïteit Het UZI-register heeft beveiligingsmaatregelen genomen om de kans op aantasting of calamiteiten te beperken. Het UZI-register geeft geen garanties over het herstel van dienstverlening ingeval van een calamiteit.
4.9
CSP beëindiging Het UZI-register behoudt zich het recht voor om de dienstverlening met betrekking tot de bedrijfstestomgeving per direct te beëindigen. Het UZI-register zal de aanvragers/contractpersonen van geldige testcertificaten hierover informeren.
Pagina 15 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
5
Fysieke, procedurele en personele beveiliging
Geen opmerkingen.
Pagina 16 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
6
Technische beveiliging
6.1
Genereren en installeren van sleutelparen De procedures voor het genereren en installeren van sleutelparen in de bedrijfstestomgeving zijn in beginsel vergelijkbaar met de productie omgeving van het operationele UZI-register.
6.2
Private sleutel bescherming Niet van toepassing.
6.3
Andere aspecten van sleutelpaar management Voor de sleutelparen en certificaten van de CA’s van de bedrijfstestomgeving van het UZI-register wordt een geldigheidsduur gehanteerd die zoveel mogelijk gelijk loopt met de productie CA’s. CA certificaat Geldigheidstermijn TEST UZI-register Root CA 30 maart 2005 - 29 maart 2018 TEST UZI-register Level 2 CA 30 maart 2005 - 29 maart 2017 TEST UZI-register Zorg CSP CA 16 oktober 2007 - 26 maart 2017 TEST UZI-register Zorgverlener CA G2 15 oktober 2007 - 8 september 2013 (en alle overige issuing CA’s) Tabel 4: eerste en tweede generatie SHA-1 CA certificaat TEST UZI-register Root CA G21 TEST UZI-register Level 2 CA G21 TEST Zorg CSP CA G21 TEST UZI-register Zorgverlener CA G21 (en alle overige issuing CA’s) Tabel 5: SHA-2 generatie (G21)
Geldigheidstermijn 20 januari 2010 t/m 25 maart 2020 20 januari 2010 t/m 24 maart 2020 20 januari 2010 t/m 23 maart 2020 3 februari 2010 t/m 22 maart 2020
Voor de certificaten op de UZI-pas uit de bedrijfstestomgeving, inclusief de bijbehorende sleutelparen, wordt een maximale geldigheidsduur van 3 jaren na de uitgiftedatum gehanteerd. 6.4
Activeringsgegevens De UZI-pas blokkeert na de derde ingave van een foutieve PIN-code. Deblokkering kan gebeuren met behulp van een PUK-code. Indien de PUK-code drie maal onjuist is ingevoerd, is de smartcard definitief geblokkeerd en daarmee onbruikbaar gemaakt. De PIN-code en de PUK-code worden aan de certificaathouder kenbaar gemaakt in een pincodebrief. Deze pincodebrief wordt samen met de testpas (aangetekend) aan de gebruiker toegestuurd of overhandigd.
6.5
Toegangsbeveiliging van CSP-systemen Het UZI-register treft adequate maatregelen om de beschikbaarheid, integriteit en exclusiviteit van de bedrijfstestomgeving te borgen op het niveau dat passend is bij
Pagina 17 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
de aard van de dienstverlening. 6.6
Beheersingsmaatregelen technische levenscyclus Het UZI-register neemt beheersingsmaatregelen op een niveau dat passend is bij de aard van de dienstverlening van de bedrijfstestomgeving.
6.7
Cryptografische module Geen specifieke opmerkingen.
Pagina 18 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
7
Certificaat en CRL profielen
7.1
Certificaatprofielen De certificaatprofielen uit de bedrijfstestomgeving zijn zo veel mogelijk gelijk aan de certificaten uit het operationele UZI-register met dien verstande dat het bij de bedrijfstestomgeving niet gaat om gekwalificeerde certificaten. Een X.509 certificaat bestaat uit een verzameling objecten. Ieder object heeft een naam, en ieder object bestaat uit een aantal attributen. Een attribuut kan diverse zaken bevatten: sleutels, algoritmen, namen, types, andere objecten etc. Een certificaatprofiel beschrijft welke objecten worden gebruikt en welke waarden de attributen van deze objecten kunnen bevatten. Voorliggend hoofdstuk geeft op hoofdlijnen een overzicht van de certificaatprofielen van het UZI-register. Met name de velden die voor pashouders relevante gegevens bevatten komen aan de orde. De basis structuur van een certificaat bestaat uit een to-be-signed gedeelte (tbsCertificate) en een handtekening van de uitgever. Het tbsCertificate bestaat uit een aantal verplichte basisattributen gevolgd door extensies. De basis attributen en extensies zijn in de navolgende subparagrafen weergegeven.
7.1.1
Basis attributen De certificaten van het UZI-register kennen de navolgende basis attributen: Veld Version SerialNumber Signature
Waarde 2 (X.509v3) Bevat het uniek serienummer van het certificaat Het gebruikte algoritme is: ‘SHA-1 WithRSAEncryption’ in de eerste en tweede generatie. ‘SHA256 with RSA Encryption’ in de SHA-2 generatie (G21) Bevat de naam van de betreffende UZI-register CA behorend bij het type UZI-pas en wordt weergegeven door de attributen OrganizationName, CommonName en CountryName. -
Issuer
De OrganizationName is ‘agentschap Centraal Informatiepunt Beroepen Gezondheidszorg’. De CommonName bevat één van de onderstaande waarden afhankelijk van het pastype voor de SHA-1 generatie (G2) 3: 2F
3
‘TEST UZI-register Zorgverlener CA G2’ ‘TEST UZI-register Medewerker op naam CA G2’
De issuing CA’s van de eerste SHA-1 generatie zijn al volledig verlopen. De profielen van de CA certificaten en testcertificaten zijn daarom niet opgenomen.
Pagina 19 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Veld
Waarde -
Validity Subject
‘TEST UZI-register Medewerker niet op naam CA G2’ ‘TEST UZI-register Server CA G2’
De CountryName is ingesteld op ‘NL’ volgens ISO 3166. De geldigheidsperiode van het certificaat is gesteld op 3 jaren - 1 dag. De naam van het subject wordt weergegeven als een Distinguished Name (DN), en wordt weergegeven door tenminste de volgende attributen: CountryName, CommonName, OrganizationName en SerialNumber. De attributen die worden gebruikt om het subject te beschrijven benoemen het subject op unieke wijze. De CommonName bevat: -
-
voor de Individuele zorgverlenerpas, Zorginstellingzorgverlenerpas en Medewerkerpas op naam de volledige (fictieve) naam van de pashouder:
<spatie>; voor de Medewerkerpas niet op naam de fictieve functie van de medewerker; voor de Servicescertificaten de naam van de service zoals opgegeven door de gebruiker van het certificaat.
De OrganizationName bevat de fictieve naam van de abonnee. De OrganizationalUnitName komt alleen optioneel voor bij de Medewerkerpas niet op naam en de Servicescertificaten en biedt ruimte voor het opnemen van de afdeling van de medewerker of de service. De CountryName is ingesteld op ‘NL’ volgens ISO 3166. Het SerialNumber bevat het fictieve UZI-nummer. Heeft technisch hetzelfde formaat maar valt in de range 000000000 t/m 000009999. Het Title attribuut bevat voor de individuele zorgverlenerpas en de zorginstelling-zorgverlenerpas de formele aanspreektitel (rol) van de zorgverlener (bijv. tandarts of cardioloog). Meer informatie over de invulling van dit veld is opgenomen in bijlage 3 van het CPS van UZI-register. subjectPublicKeyInfo Bevat de PublicKey van de Subject Tabel 6: Basisattributen certificaatprofielen bedrijfstestomgeving 7.1.2
Extensies
Pagina 20 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Het certificaat bevat de standaard en private extensies zoals beschreven in de navolgende secties. 7.1.2.1
Standaard extensies Veld
Essentieel Waarde
AuthorityKeyIdentifier Nee
SubjectKeyIdentifier
Nee
KeyUsage
Ja
KeyIdentifier is ingesteld op 160 bit SHA-1 hash van de publieke sleutel van de CA die het certificaat heeft uitgegeven. KeyIdentifier is ingesteld op 160 bit SHA-1 hash van de publieke sleutel van het subject Verschilt per certificaattype: In authenticiteitcertificaten is uitsluitend het digitalSignature bit opgenomen. In vertrouwelijkheidcertificaten zijn uitsluitend de keyEncipherment, dataEncipherment en de keyAgreement bits opgenomen. In handtekeningcertificaten is uitsluitend het non-Repudiation bit op unieke wijze zijn opgenomen. In de servercertificaten (services) zijn uitsluitend de DigitalSignature, keyAgreement en KeyEncipherment bits opgenomen. Het CA bit is ingesteld op ‘False’ en pathLenConstraint op ‘none’ Bevat: -
BasicConstraints
Ja
CertificatePolicies
Nee
de Object Identifier (OID) voor de van toepassing zijnde Certificate Policy (zie Tabel 3) Een link naar de voorwaarden van de bedrijfstestomgeving. een gebruikerstekst (UserNotice): ‘Certificaat uitsluitend gebruiken ten behoeve van de TEST van het UZI-register. Het UZI-register is in geen geval aansprakelijk voor eventuele schade’. SubjectAltName Nee In dit attribuut zijn in de subjectAltName.otherName diverse nummers opgenomen die binnen de zorgsector betekenis kunnen hebben en het subject als zorgverlener binnen een bepaalde zorginstelling uniek identificeren. CrlDistributionPoints Nee Bevat de URI-waarde van de betreffende CRL, die behoort bij het type Certificaat. Tabel 7: Standaard extensies certificaatprofielen -
7.1.2.2
Private extensies Er wordt GEEN ETSI QC statement opgenomen in de handtekeningcertificaten die
Pagina 21 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
door de bedrijfstestomgeving worden uitgegeven. Het QC statement geeft aan dat een certificaat gekwalificeerd is zoals beschreven in ETSI TS 101 456 en voldoet aan Bijlage I en II of the EU directive 1999/93/EC. Dit is voor de testcertificaten niet gegarandeerd het geval. Het proces niet gecertificeerd door een geaccrediteerde auditor. 7.1.3
Emailadressen In de certificaatprofielen voor het UZI-register is het emailadres niet opgenomen (alleen de servicescertificaten hebben nog ruimte voor de RFC822 Name in de subjectAltname). Om de UZI-pas in een Microsoft Windows/Outlook omgeving te gebruiken moeten de configuratie van een PC aangepast worden conform Microsoft Knowledge Base Article – 276597 (How to Turn Off E-mail Matching for Certificates).
7.1.4
SubjectAltName.otherName Deze paragraaf beschrijft hoe de subjectAltName.othername in de certificaten van de bedrijfstestomgeving van het UZI-register wordt opgenomen. Conform de productie omgeving is een een subjectAltName.othername gespecificeerd met een OID-achtige structuur: -<Subject ID>. De en het <Subject ID> zijn gescheiden door een ‘-‘. De onderstaande tabel geeft de waarden van de in de bedrijfstestomgeving. CA OID TEST UZI register Zorgverlener CA 2.16.528.1.1007.99.7 TEST UZI register Medewerker op naam CA 2.16.528.1.1007.99.8 TEST UZI register Medewerker niet op naam CA 2.16.528.1.1007.99.9 TEST UZI register Services CA 2.16.528.1.1007.99.10 Tabel 8: bedrijfstestomgeving UZI-register (eerste en tweede generatie) De waarden zijn gewijzigd omdat PKI overheid in de productieomgeving nieuwe OID’s vereist aangezien het domein is gewijzigd van domein overheid naar domein organisatie. CA type (G21 en hoger)
waarde voor bijbehorende gebruikerstestcertificaten TEST UZI-register Zorgverlener 2.16.528.1.1007.99.217 TEST UZI-register Medewerker op naam 2.16.528.1.1007.99.218 TEST UZI-register Medewerker niet op naam 2.16.528.1.1007.99.219 TEST UZI-register Server 2.16.528.1.1007.99.2110 Tabel 9: bedrijfstestomgeving UZI-register SHA-2 generatie (G21) Het <Subject ID> is een samengesteld veld, bestaande uit door een ‘-‘ gescheiden velden: <Subject ID> = --<pastype>---
Pagina 22 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
code> De onderstaande tabel geeft een toelichting bij de velden: Veld versie-nr
Type 1NUM
UZI-nr
9NUM
pastype
1CHAR
Abonneenr rol
8NUM
Waarde 1
De volgende codering wordt toegepast: ‘Z’ : Zorginstellingzorgverlenertestpas ‘N’ : Medewerkertestpas op naam ‘M’ : Medewerkertestpas niet op naam ‘S’ : Servicestestcertificaten ‘I’ : Individuele zorgverlenertestpas 4
Toelichting Versienummer van de <Subject ID> t.b.v. mogelijke toekomstige ontwikkelingen. Een uniek nummer voor certificaathouders. UZI-pastype
3F
6CHAR
Afhankelijk van pastypen Voor zorgverlenertestpassen . De =2NUM De =3NUM OF ’00.000’
AGB-code
4
8NUM
Voor Medewerkertestpas op naam, Medewerkertestpas niet op naam en Servicestestcertificaten Zorginstellingzorgverlenertestpas en Individuele zorgverlenertestpas: AGB-code zorgverlener OF Medewerkertestpas op naam, Medewerkertestpas niet op naam en Servicestestcertificaten: AGBcode zorginstelling.
Dit type pas is volledig uitgefaseerd.
Pagina 23 van 31
Een uniek nummer voor de abonnee Bij de Zorginstelling zorgverlenerpas en Individuele zorgverlenerpas heeft de altijd een waarde ongelijk aan nul. De kan wel nul zijn omdat veel beroepstitels geen specialisme kennen en het niet verplicht is om het specialisme op te nemen. De AGB-code zoals uitgegeven door Vektis.
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Tabel 10: Velden <Subject ID> in SubjectAltName.otherName 7.2
CRL profielen De CRL profielen zijn opgemaakt conform deel 3 van het Programma van Eisen van de PKI voor de overheid (zie www.pkioverheid.nl). Het profiel van de CRL voor de certificaten bevat een aantal attributen en extensies. Deze zijn in de navolgende subparagrafen weergegeven.
7.2.1
Attributen De CRL’s voor certificaten van de bedrijfstestomgeving van het UZI-register kennen de navolgende attributen: Veld Version signatureAlgorithm Issuer
Waarde 1 (X.509 versie 2) sha-1 WithRSAEncryption Bevat de naam van de betreffende UZI-register CA behorend bij het type certificaat en wordt weergegeven door de volgende attributen: OrganizationName, CommonName en CountryName. De OrganizationName is ingesteld op ‘agentschap Centraal Informatiepunt Beroepen Gezondheidszorg’. De CommonName bevat afhankelijk van de CA die de CRL ondertekent de volgende waarde: -
‘TEST ‘TEST ‘TEST ‘TEST ‘TEST ‘TEST ‘TEST
UZI-register UZI-register UZI-register UZI-register UZI-register UZI-register UZI-register
Root CA’ Level 2 CA’ Level 3 CA’ Zorgverlener CA G2’ Medewerker op naam CA G2’ Medewerker niet op naam CA G2’ Server CA G2’
Of bij de SHA-2 generatie (G21) -
thisUpdate nextUpdate
‘TEST ‘TEST ‘TEST ‘TEST ‘TEST ‘TEST ‘TEST
UZI-register UZI-register UZI-register UZI-register UZI-register UZI-register UZI-register
Root CA G21’ Level 2 CA G21’ Level 3 CA G21’ Zorgverlener CA G21’ Medewerker op naam CA G21’ Medewerker niet op naam CA G21’ Server CA G21’
De CountryName is ingesteld op ‘NL’ volgens ISO 3166. Datum/tijdstip van uitgifte. Dit is de datum/tijdstip waarop een update van de CRL wordt gepubliceerd. De waarde is ‘thisUpdate’ plus achtenveertig uur.
Pagina 24 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Veld
Waarde Het UZI-register publiceert elk uur een update van de CRL. revokedCertificates De ingetrokken Certificaten met certificaatserienummer en datum van intrekking. Tabel 11: Attributen CRL bedrijfstestomgeving In het ‘nextUpdate’ attribuut van de CRL staat dat een CRL 48 uur geldig is. Het ‘nextUpdate’ tijdstip uur is de uiterste grens waarop een CRL nog vertrouwd kan worden. In de praktijk zal ieder uur een nieuwe CRL gepubliceerd worden. Daarmee realiseert het UZI-register een zogenaamde 'CRL overlap'. CRL overlap periode is de tijd tussen de publicatie van een nieuwe CRL en het verlopen van de voorafgaande CRL. Dus in het geval van het UZI-register is er een ‘CRL overlap’ van 45 uur. Alleen de laatst gegenereerde CRL staat op de website. De CRL overlap periode is noodzakelijk om voldoende tijd te hebben als de bedrijfstest omgeving door omstandigheden (updates of testen door UZI-register) niet beschikbaar is 7.2.2
Extensies De CRL’s voor certificaten van het UZI-register in de bedrijfstestomgeving kennen de navolgende extensies: Veld
Essentieel Waarde
AuthorityKeyIdentifier
Bevat 160 bit SHA-1 hash van de publieke sleutel van de CA die de CRL heeft ondertekend. CRLNumber Nee Volgnummer Tabel 12: Extensies CRL bedrijfstestomgeving 7.2.3
Nee
CRL Distribution Points Bij de gebruikercertificaten verschilt het CRL Distribution Points per certificaattype afhankelijk van de CA die het certificaat uitgeeft. Onderstaande tabel geeft het overzicht van de CRL Distribution Points per pastype in de bedrijfstestomgeving: Naam UZI-pastype TEST UZI-register Root CA TEST UZI-register Level 2 CA
CRL Distribution Point Geen attribuut CRL distribution point http://www.uzi-register-test-nl/cdp/test_uziregister_root_ca.crl Tabel 13: CRL Distribution points in CA testcertificaten topdomeinen (eerste en tweede generatie SHA-1, zie figuur 2)
Pagina 25 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Naam CA TEST Zorg CSP CA
Waarde CRL Distribution Point in certificaat http://www.uzi-register-test.nl/cdp/test_uziregister_level_2_ca.crl
TEST UZI-register Zorgverlener CA G2 http://www.uzi-registerTEST UZI-register Medewerker op naam test.nl/cdp/test_zorg_csp_ca.crl CA G2 TEST UZI-register Medewerker niet op naam CA G2 TEST UZI-register Server CA G2 TEST ZOVAR Server CA G2 Tabel 14: CRL Distribution points in CA testcertificaten (tweede generatie SHA-1) Naam UZI-pastype Zorgverlenertestpas
CRL Distribution Point
Medewerkertestpas op naam
http://www.uzi-register-test.nl/cdp/test_uziregister_medewerker_op_naam_ca_g2.crl
Medewerkertestpas niet op naam
http://www.uzi-register-test.nl/cdp/test_uziregister_medewerker_niet_op_naam_ca_g2.crl
UZI-register Servertestcertificaat
http://www.uzi-register-test.nl/cdp/test_uzi-register_server_ca_g2.crl
ZOVAR Servertestcertificaat
http://www.csp.zovar-test.nl/cdp/test_zovar_server_ca_g2.crl
http://www.uzi-register-test.nl/cdp/test_uziregister_zorgverlener_ca_g2.crl
Tabel 15: CRL Distribution points in gebruikertestcertificaten (tweede generatie) Naam CA
Waarde CRL Distribution Point in certificaat
TEST UZI-register Root CA G21
GEEN ATTRIBUUT CRL DISTRIBUTION POINT
TEST UZI-register Level 2 CA G21
http://www.uzi-register-test.nl/cdp/test_uziregister_root_ca_g21.crl
TEST Zorg CSP CA G21
http://www.uzi-register-test.nl/cdp/test_uziregister_level_2_ca_g21.crl
TEST TEST TEST TEST TEST
http://www.uzi-registertest.nl/cdp/test_zorg_csp_ca_g21.crl
UZI-register Zorgverlener CA G21 UZI-register Medewerker op naam CA G21 UZI-register Medewerker niet op naam CA G21 UZI-register Server CA G21 ZOVAR Server CA G21
Tabel 16: CRL Distribution points in CA testcertificaten SHA-2 generatie (G21)
Pagina 26 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Naam UZI-pastype Zorgverlenertestpas
CRL Distribution Point
Medewerkertestpas op naam
http://www.uzi-register-test.nl/cdp/test_uziregister_medewerker_op_naam_ca_g21.crl
Medewerkertestpas niet op naam
http://www.uzi-register-test.nl/cdp/test_uziregister_medewerker_niet_op_naam_ca_g21.crl
UZI-register Servertestcertificaat
http://www.uzi-register-test.nl/cdp/test_uziregister_server_ca_g21.crl
ZOVAR Servertestcertificaat
http://www.csp.zovartest.nl/cdp/test_zovar_server_ca_g21.crl
http://www.uzi-register-test.nl/cdp/test_uziregister_zorgverlener_ca_g21.crl
Tabel 17: CRL Distribution points in gebruikertestcertificaten SHA-2 generatie (G21) 7.3
CSP en CA certificaten Een UZI-pas (smartcard) wordt geleverd met de volledige certificaat hiërarchie voor het betreffende gebruikerscertificaat. De CA certificaten van de bedrijfstestomgeving zijn beschikbaar op de volgende locatie: Naam CA TEST UZI-register Root CA
URL van CA certificaat http://www.uzi-register-test.nl/cacerts/test_uziregister_root_ca.cer TEST UZI-register Level 2 CA http://www.uzi-register-test.nl/cacerts/test_uziregister_level_2_ca.cer Tabel 18: URLs van CA certificaten topdomeinen (eerste en tweede generatie SHA-1, zie figuur 2) Naam CA
URL van CA certificaat
TEST Zorg CSP CA
http://www.uzi-registertest.nl/cacerts/test_zorg_csp_ca.cer
TEST UZI-register Zorgverlener CA G2
http://www.uzi-register-test.nl/cacerts/test_uziregister_zorgverlener_ca_g2.cer
TEST UZI-register Medewerker op naam CA G2
http://www.uzi-register-test.nl/cacerts/test_uziregister_medewerker_op_naam_ca_g2.cer
TEST UZI-register Medewerker niet op naam CA G2
http://www.uzi-register-test.nl/cacerts/test_uziregister_medewerker_niet_op_naam_ca_g2.cer
TEST UZI-register Server CA G2
http://www.uzi-register-test.nl/cacerts/test_uziregister_server_ca_g2.cer
TEST ZOVAR Server CA G2
http://www.csp.zovartest.nl/cacerts/test_zovar_server_ca_g2.cer
Tabel 19: URL’s van CA certificaten in acceptatieomgeving (tweede generatie)
Pagina 27 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Naam CA
URL van CA certificaat
TEST UZI-register Root CA G21
http://www.uzi-register-test.nl/cacerts/test_uziregister_root_ca_g21.cer
TEST UZI-register Level 2 CA G21
http://www.uzi-register-test.nl/cacerts/test_uziregister_level_2_ca_g21.cer
TEST Zorg CSP CA G21
http://www.uzi-registertest.nl/cacerts/test_zorg_csp_ca_g21.cer
TEST UZI-register Zorgverlener CA G21
http://www.uzi-register-test.nl/cacerts/test_uziregister_zorgverlener_ca_g21.cer
TEST UZI-register Medewerker op naam CA G21
http://www.uzi-register-test.nl/cacerts/test_uziregister_medewerker_op_naam_ca_g21.cer
TEST UZI-register Medewerker niet op naam CA G21
http://www.uzi-register-test.nl/cacerts/test_uziregister_medewerker_niet_op_naam_ca_g21.cer
TEST UZI-register Server CA G21
http://www.uzi-register-test.nl/cacerts/test_uziregister_server_ca_g21.cer
TEST ZOVAR Server CA G21
http://www.csp.zovartest.nl/cacerts/test_zovar_server_ca_g21.cer
Tabel 20: URL’s van CA certificaten in acceptatieomgeving SHA-2 generatie (G21)
Pagina 28 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
8
Conformiteitbeoordeling
Een conformiteitsbeoordeling vindt niet plaats op de bedrijfstestomgeving.
Pagina 29 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
9
Algemene bepalingen en voorwaarden
9.1
Verplichtingen In deze paragraaf worden de verplichtingen van de diverse partijen gespecificeerd.
9.1.1
Verplichtingen van UZI-register Het UZI-register heeft geen verplichtingen met betrekking tot de bedrijfstestomgeving. Het UZI-register streeft naar een zo hoge beschikbaarheid van de bedrijfstestomgeving tijdens kantooruren. Ook streeft het UZI-register ernaar om de juistheid en volledigheid van dit documenten in lijn te houden met de bedrijfstestomgeving.
9.1.2
Verplichtingen van de gebruikers De gebruiker van (certificaten uit) de bedrijfstestomgeving van het UZI-register is gehouden aan de volgende verplichtingen:
De gebruiker dient zich te houden aan de voorwaarden in dit document. De gebruiker dient zich te houden aan aanwijzingen die hem/haar door het UZI-register zijn of worden meegedeeld. De gebruiker dient de (certificaten uit de) bedrijfstestomgeving alleen gebruiken voor testdoeleinden.
9.2
Aansprakelijkheid De bedrijfstestomgeving van het UZI-register en de certificaten uit de bedrijfstestomgeving zijn uitsluitend te gebruiken voor testdoeleinden. Het UZIregister aanvaardt geen enkele aansprakelijkheid voor schade ontstaan bij natuurlijke personen of rechtspersonen, die voortvloeit uit gebruik van (certificaten uit) de testomgeving, behoudens hetgeen wettelijk is bepaald.
9.3
Interpretatie en handhaving Op de diensten van het UZI-register, voorliggend document en door het UZI-register gesloten overeenkomsten is het Nederlands recht van toepassing. Indien er een conflict ontstaat over de interpretatie van de bepalingen van voorliggend document, geeft het voorliggend document de interpretatie van de bepalingen van het UZI-register aan. Deze interpretatie dient de algemene doelstelling van het UZI-register en met name de doelstelling van de bedrijfstestomgeving in acht te nemen. Wanneer deze uitleg niet tot een voor betrokkene(n) bevredigd resultaat leidt, dan zal, alvorens andere al dan niet juridische stappen genomen worden, het conflict worden voorgelegd aan een voor alle betrokkenen acceptabele conflictbemiddelaar. Over de bekostiging van deze conflictbemiddeling worden alsdan afspraken gemaakt. Indien voorgaande het geschil alsnog niet beslecht, wordt ze bij uitsluiting voorgelegd aan de bevoegde rechter te ’s-Gravenhage. In geval van klachten betreffende diensten geleverd door het UZI-register, moet de klacht schriftelijk ingediend worden bij het UZI-register, ter attentie van het
Pagina 30 van 31
Definitief | Voorwaarden bedrijfstestomgeving UZI-register | 5 februari 2015
Afdelingshoofd UZI-register onder vermelding van ‘Klacht’. Het UZI-register zal de klacht vervolgens afhandelen conform de klachtenprocedure, welke voortvloeit uit hoofdstuk 9 van de Algemene wet bestuursrecht. 9.4
Tarieven Vooralsnog worden testpassen in beperkte aantallen verstrekt. Ten tijde van publicatie van dit document berekent het UZI-register hiervoor geen kosten.
9.5
Aansprakelijkheid
9.5.1
Aansprakelijkheid van het UZI-register Het UZI-register aanvaardt geen enkele aansprakelijkheid betreffende de bedrijfstestomgeving tegenover de partij voor door hem/haar geleden schade in welke vorm dan ook, tenzij hierover schriftelijk afwijkende afspraken zijn gemaakt.
9.5.2
Aansprakelijkheid van abonnees en certificaathouders Abonnees en certificaathouders zijn gehouden aan de bepalingen van het UZIregister met betrekking tot de afname van certificatiediensten zoals deze zijn vastgelegd in dit document en een eventuele overeenkomst tussen CIBG en een partij.
9.6
Conformiteitsbeoordeling / audit Er vindt geen conformiteitsbeoordeling plaats.
9.7
Vertrouwelijkheid In de bedrijfstestomgeving wordt gewerkt met fictieve persoons- en abonneegegevens. Eventuele informatie die wordt verkregen over een persoon of organisatie wordt vertrouwelijk behandeld. De eisen gesteld in de Wet bescherming persoonsgegevens (WBP) zijn hierop van toepassing.
9.8
Intellectuele eigendomsrechten Voorliggend document is eigendom van het UZI-register. Ongewijzigde kopieën van dit document mogen zonder toestemming verspreid en gepubliceerd worden mits dit met bronvermelding geschiedt. Eigendomsrechten met betrekking tot het certificaat en de drager van de private en publieke sleutel blijven ook na uitgifte berusten bij het UZI-register en diens licentiegevers, inclusief rechten van intellectueel eigendom.
9.9
Wijzigingen Het UZI-register heeft het recht dit document te wijzigen of aan te vullen. Wijzigingen gelden vanaf het moment dat het nieuwe voorwaardendocument wordt gepubliceerd.
9.10
Overige bepalingen Als één of meerdere bepalingen van dit document bij gerechtelijke uitspraak ongeldig of anderszins niet van toepassing wordt verklaard, laat dit de geldigheid en toepasselijkheid van alle overige bepalingen onverlet.
Pagina 31 van 31
