Certificaten

Voor de uitwisseling van gegevens via SBR, is een certificaat van het hoogste betrouwbaarheidsniveau nodig: een Public Key Infrastructure (PKI) voor de overheid, kortweg PKIoverheid-certificaat. Dit certificaat werkt als een digitaal paspoort. Bij het uitwisselen van gegevens wordt het certificaat van beide partijen gecontroleerd. Door elkaar te identificeren verkleint de kans dat iemand zich kan voordoen als iemand anders. Digitale certificaten waarborgen dus betrouwbaarheid.

Waarom heb ik een PKIoverheid services certificaat nodig?

De berichten die naar Digipoort worden verzonden, zijn vaak privacygevoelig en vertrouwelijk: ze bevatten immers persoonsgegevens en financiële gegevens. Voor het uitwisselen van berichten wordt een beveiligde verbinding opgezet. Hierbij gebruikt u een PKIoverheid services certificaat. Een PKIoverheid services certificaat is gebonden aan een organisatie. Alle informatie wordt versleuteld verstuurd, en alleen de uitvragende partij heeft de sleutel om uw bericht te lezen. De identificatie en authenticatie is hiermee geborgd. PKIoverheid services certificaten hebben daarom een hoog betrouwbaarheidsniveau.

Wat is een verzamelcertificaat en wat zijn de mogelijkheden rond de aanschaf?

Een verzamelcertificaat is een wijze van gebruik van een standaard PKIoverheid services certificaat. Met een verzamelcertificaat wordt een certificaat bedoelt dat uitgegeven is aan één organisatie, waarvan door meerdere andere organisaties gebruik gemaakt wordt. Bij de aanschaf is het dus niet nodig om aan te geven dat u het certificaat als een verzamelcertificaat wilt gebruiken. U kunt klanten aanbieden dat zij niet zelf een certificaat aanschaffen, maar via een verzamelcertificaat met SBR werken.

Hieronder enkele aandachtspunten vanuit juridisch oogpunt ten aanzien van het gebruik van verzamelcertificaten:

  • U dient als certificaathouder te voldoen aan de eisen die het PKIoverheid-stelsel aan hem stelt en de verplichtingen jegens zijn Trust Service Provider (TSP).
  • Wanneer u uw certificaat ter beschikking stelt voor gebruik door klanten, zult u daarnaast moeten voorzien in de nodige waarborgen om te reguleren (afbakenen) wie - en voor welk gebruik -  toegang heeft tot het certificaat.
  • Ook zal u moeten voorzien in de nodige waarborgen om te kunnen vastleggen en aantonen wie, wanneer, hoe, waarvoor het certificaat gebruikt wordt. 
  • Door uw certificaat voor gebruik ter beschikking te stellen, bent u een schakel in de keten van elektronisch bestuurlijk verkeer. U bent daarom, net als de andere betrokken partijen in de keten, verantwoordelijk voor het nemen van maatregelen (organisatorisch en technisch) voor voldoende betrouwbaarheid en vertrouwelijkheid van de informatie-uitwisseling.

Let op! De verzamelcertificaten kunnen niet voor Serviceberichten Aanslag, Servicebericht Uitstel, Aanvraag beconregeling uitstel, Servicebericht Toeslag en de vooraf ingevulde aangifte worden gebruikt. Daarvoor is een certificaat van een intermediair of ondernemer zelf nodig. Het gebruik van een verzamelcertificaat biedt namelijk onvoldoende waarborgen voor het beschikbaar stellen van gevoelige (persoons)gegevens.

Moeten intermediairs over een eigen PKIoverheid services certificaat beschikken?

U moet de aangiftes IB en VpB met behulp van een PKIoverheid services certificaat versturen naar Digipoort. Mogelijk kunt u ook gebruik maken van een verzamelcertificaat. Partijen die alleen maar een beperkt aantal aangiften insturen, kunnen daarvan gebruik maken. Voor het verkrijgen van SBA's heeft u een eigen certificaat nodig.

Welk certificaat moet ik gebruiken voor de aanlevering aan de bank?

Dit is hetzelfde PKIoverheid services certificaat dat u ook moet gebruiken voor aanlevering aan Digipoort. Meer informatie over aanlevering aan de Bancaire Infrastructurele Voorziening (BIV) is te vinden op  https://www.sbrnexus.nl.

Kunnen er vreemde tekens worden opgenomen in organisatienaam in het certificaat?

Ja, vanuit het Programma van Eisen van PKIoverheid is er geen beperking op vreemde tekens en zou iedere naam vanuit Nederlands Handelsregister in het certificaat passen.

Wie moet ik aanwijzen als certificaatbeheerder?

Het staat u vrij om een certificaatbeheerder aan te wijzen. Vrij gebruikelijk is dat deze rol wordt belegd bij de IT- of security-beheerder. Als u niet zelf uw IT beheert en hiervoor een externe partij heeft, zal deze daarmee logischerwijs ook de certificaatbeheerder kunnen zijn.

Wie moet face-2-face verschijnen, de abonnee of certificaatbeheerder?

De certificaatbeheerder moet face-2-face verschijnen. De abonnee hoeft niet per se. De certificaatleveranciers gaan met de controle van de abonnee verschillend om.

Heb ik een KVK-nummer nodig of heb ik genoeg aan mijn BECON-nummer?

U hebt een inschrijving in het handsregister nodig. Er wordt bij de aanvraag van het PKIoverheid services certificaat niets gedaan met uw BECON-nummer. Op basis van de OIN-systematiek wordt vanuit het handelsregister het RSIN- of KVK-nummer opgenomen in het certificaat en ziet de uitvragende partij welke intermediair u bent.

Moet ik per BECON-nummer een certificaat aanvragen?

Dit is niet nodig. Er wordt bij de aanvraag van het PKIoverheid services certificaat niets gedaan met uw BECON-nummer. Op basis van uw OIN (handelregisternummer) ziet de uitvragende partij wie u bent.

Maar 'hoeveel certificaten moet ik aanschaffen als er meerdere BECON-nummers in de organisatie zijn', is ook een veelgestelde vraag. Afhankelijk van de eigen interne organisatie kunt u insturen met 1 certificaat. In het kader van de SBA's moet worden bepaald wat wenselijk is, aangezien de klant een bericht krijgt van de geregistreerde machtiging.

Ons kantoor gaat van rechtsvorm wijzigen. Als we een PKIoverheidcertificaat aanvragen, is het dan nodig om daarop iets te wijzigen?

De naam/rechtsvorm van een organisatie wordt gecontroleerd op het moment van abonneeregistratie. Belangrijker is te kijken naar de inschrijving in het Handelsregister. Als de verandering van rechtsvorm leidt tot een ander nummer (RSIN / KVK-nr) dan heeft nu aanvragen geen nut, want dan moet er een ander certificaat komen voor onder meer het verkrijgen van SBA's (voorheen EKA). Abonneeregistratie kan vermoedelijk al wel worden gestart op onderdelen, maar vermeldt wel de aanstaande wijziging (bijvoorbeeld van maatschap naar BV).

Wat moet ik doen als mijn KVK-nummer is gewijzigd en mijn certificaat nog geldig is?

Doorloop de volgende stappen:

  1. Haal uw serviceberichten en/of gegevens van de vooraf ingevulde aangifte op met uw - nog geldige - certificaat.
  2. Trek de bestaande machtigingsregistraties in.  
  3. Installeer uw nieuwe certificaat en installeer deze in uw software. Raadpleeg uw handleiding of neem zo nodig contact op met uw softwareleverancier.  
  4. Registreer machtigingsaanvragen met uw nieuwe certificaat.
  5. Informeer uw klanten dat zij registratiebrieven ontvangen. Verzend de activeringscode voor de de vooraf ingevulde aangifte en service berichten toeslagen met uw software, zodat de machtiging actief wordt. 

Als u problemen heeft met uitvoeren van deze stappen dan kunt u contact opnemen met de Helpdesk Intermediairs van de Belastingdienst. Geef hierbij aan dat u “problemen ondervindt met het ophalen van serviceberichten of vooraf ingevulde aangifte via SBR (Digipoort), én dat u te maken heeft met wijzigingen in uw PKIo-certificaat”.

Wat moet ik doen als mijn KvK-nummer is gewijzigd en mijn certificaat verlopen is?

Is uw KvK-nummer gewijzigd en uw certificaat verlopen? Laat de bestaande machtigingsregistraties intrekken door de Belastingdienst. U kunt daarvoor contact opnemen met de Helpdesk Intermediairs an de Belastingdienst.

Moet ik een server hebben om een PKIoverheid services certificaat te kunnen krijgen?

Nee, een PKIoverheid services certificaat is de benaming die technisch wordt gegeven aan het certificaat. Het is echter een service certificaat. Sowieso kan een PKI certificaat ongeacht benaming in iedere omgeving worden gebruikt.

Is het mogelijk om een PKIoverheid services certificaat te installeren op meerdere verzendservers?

In principe is het mogelijk een certificaat op meerdere verzendservers te gebruiken. Ze moeten dan wel deel uitmaken van de 'veilige' omgeving. Afhankelijk van de architectuur van de verzendserver moet de FQDN (Fully Qualified Domain Name) opgenomen in het certificaat, wel onderdeel zijn van de technische omgeving.

Wat betekent een 'veilige' omgeving?

Een certificaat moet worden gebruikt in een 'veilige' omgeving. Deze 'veilige' omgeving moet ervoor zorgen dat het praktisch onmogelijk is de sleutels ongemerkt te stelen of te kopiëren. U dient bij de registratie bij de certificaatleverancier schriftelijk te verklaren dat er maatregelen zijn getroffen die hieraan voldoen. In de overeenkomst tussen u en de certificaatleverancier wordt opgenomen dat deze het recht heeft een controle uit te voeren naar de getroffen maatregelen. De taak om te controleren of een PKIoverheid services certificaat in een 'veilige' omgeving staat en / of op meerdere systemen is geïnstalleerd ligt bij de certificaatleverancier (Trust Service Provider, TSP), zoals ook opgenomen is in de Programma van Eisen PKIoverheid.

Moet het FQDN verwijzen naar de server / service waarop de processen ook daadwerkelijk draaien?

Nee, in het PKIoverheid stelsel staat opgenomen dat het een geldige verwijzing in het DNS moet zijn, niet dat het naar een specifieke locatie wijst. Technisch gezien wordt het FQDN alleen op moment van uitgifte van het certificaat gecontroleerd.

De aanvrager van een PKIoverheid services certificaat moet kunnen beschikken over een domein; is een subdomein ook toegestaan?

Ja. In het FQDN moet een controleerbaar domein zijn opgenomen die is geregistreerd bij SIDN. Bijvoorbeeld l1jpl.hosts.cx. Het opnemen van een hostname als bijvoorbeeld jansenacc in combinatie met de domeinnaam inclusief de top level (in dit voorbeeld l1jpl.hosts.cx) is toegestaan. Er mogen zelfs meerdere FQDN's in het certificaat worden opgenomen. Deze FQDN's moeten wel uit dezelfde domeinnaam range komen. In het voorbeeld betekent dit dat naast jansenacc-l1jpl.hosts.cx ook pietersenacc-l1jpl.hosts.cx, devriesacc-l1jpl.hosts.cx, klaassenacc-l1jpl.hosts.cx etc. etc. mogen worden opgenomen.

Ik heb geen eigen domein. Is dat vereist om een certificaat te kunnen krijgen?

Nee, een abonnee moet formeel gerechtigd zijn om een domein te gebruiken. Dit kan dus een eigen domein zijn, maar zou ook een (sub)domein van een derde kunnen zijn, mist er dan maar een verklaring is dat het gebruikt mag worden. De certificaatleveranciers hebben hierover ook meer informatie.

Is het mogelijk om meerdere certificaten aan te schaffen met hetzelfde OIN?

Ja, dit is mogelijk. Het OIN is een identificerend nummer en kan vaker gebruikt worden. Een organisatie kan meerdere services/servers hebben die het wil laten identificeren en dan is het natuurlijk mogelijk om dit vanuit hetzelfde OIN (= identificerend organisatienummer uit het Handelsregister) te doen.

Moet ik zelf sleutels aanmaken of doet de TSP dit?

De certificaatbeheerder heeft de keuze uit twee certificaattypen, te weten PKCS#10 en PKCS#12. Welk certificaat het beste bij u past hangt af van uw organisatie en uw eigen wensen op dit gebied. Bij PKCS#10 maakt u zelf de sleutels en bent alleen u in bezit van de privé sleutel. Bij een PKCS#12 zal de TSP de sleutels genereren en deze aan u overdragen.

Mijn softwareleverancier vraagt om een PKCS#12. Mijn TSP levert dit ogenschijnlijk niet. Hoe kan dit?

Softwareleveranciers hebben vrijheid in hetgeen zij communiceren. Voor een aantal pakketten (bijvoorbeeld SaaS-oplossingen) is het ook noodzakelijk dat er een PKCS#12 wordt aangeleverd. Indien de TSP direct een PKCS#12 levert kan deze direct worden gebruikt. Indien de TSP alleen een PKCS#10 verwerkt, zal de TSP behulpzaam zijn bij het omzetten naar het juiste formaat. Ongeacht het gevraagde formaat vanuit een softwarepakket kan dit dus bij iedere TSP worden verkregen (direct of via een eigen conversie).

Is er (beveiligings)technisch een verschil in PKCS#10 en PKCS#12 en hoe is dit te zien?

Het verschil tussen PkCS#10 en PkCS#12 zit in de manier van aanvragen. Bij PKCS#10 heeft u zelf eigen sleutelmateriaal gegenereerd, bij PKCS#12 krijgt u het sleutelmateriaal van de TSP. Beide mogelijkheden zijn toegestaan binnen het PKIoverheidstelsel en bieden dezelfde betrouwbaarheid.

Zijn er kosten verbonden aan het omzetten naar PKCS#12?

Nee, in principe niet. Indien het noodzakelijk is om een certificaat om te zetten naar een ander formaat, zijn hier diverse (gratis) standaard tools voor beschikbaar. Ook ondersteunen sommige TSP’s dit proces met hulpmiddelen.

Wat is een beroepscertificaat?

Met het beroepscertificaat van de Nederlandse Beroepsorganisatie van Accountants (NBA) kan de accountant in het elektronisch verkeer verklaringen en assurance-rapporten ondertekenen. Het beroepscertificaat is een persoonsgebonden PKIoverheid certificaat voor gekwalificeerde elektronische handtekeningen, waarin ook de inschrijving in het AA- of RA-register en de naam van het kantoor van de accountant is opgenomen. Een organisatie die een verklaring of rapport vraagt (publiek of privaat, toezichthouder, dienstverlener etc.) kan het gebruik van het beroepscertificaat voorschrijven. Bij het SBR-berichtenverkeer via Digipoort kan het ondertekenen van een jaarrekening met een beroepscertificaat vereist zijn.

Kan een buitenlandse organisatie die niet in het Nederlands Handelsregister staat een PKIoverheid certificaat voor SBR krijgen?

Ja, dit kan. Neem hiervoor contact op met uw TSP. De volgende info/documenten moeten dan worden opgevraagd en beoordeeld bij Buitenlandse partijen:

  • een inschrijvingsbewijs van de 'Kamer van Koophandel' zoals van toepassing in dat specifieke land én
  • bij Dun & Bradstreet moet worden nagegaan of het bedrijf bestaat, de naam van de organisatie overeenkomt met de naam opgegeven bij de aanvraag en of het bedrijf nog actief is én
  • verder zijn alle overige eisen uit het PKIoverheid PvE (Programma van Eisen) onverkort van toepassing. Dit betekent o.a. dat er een face-to-face identificatie moet plaatsvinden met de certificaathouder dan wel de certificaatbeheerder en, indien van toepassing, dat de domeinnaam aanwezig moet zijn op en moet worden gecontroleerd bij een WHOis dienst (bijvoorbeeld http://whois.arin.net/ui of http://www.iana.org/cgi-bin/whois).

Voor buitenlandse organisaties wordt er in afwachting van een sluitende nummersystematiek, geen identificerend nummer (OIN) door de TSP in het certificaat voor SBR opgenomen.

In geval een buitenlandse organisatie gebruik wil maken van SBA’s, zal contact moeten worden opgenomen met de servicedesk van Digipoort om dit mogelijk te maken.