RFC0065 (Patch), AF-1349 Gebruik publieke certificaten in afsprakenstelsel 1.5

1. Samenvatting

Waarom is deze RFC nodig?

PKIOverheid stopt per 4 december 2022 met het aanbieden van publieke certificaten. Bij al het frontchannel verkeer binnen MedMij, alsmede mogelijk bij een deel van het backchannel verkeer, wordt gebruiktgemaakt van deze publieke (EV) certificaten.

Oplossingsrichting

Deelnemers moeten voor 4 december 2022 overgestapt zijn naar andere publieke certificaten voor frontchannel verkeer. Deze certificaten moeten aan een nieuwe set van eisen voldoen, die zijn overgenomen uit de beleidslijnen van VWS. Daarnaast moeten publieke certificaten die gebruikt worden voor backchannel verkeer vervangen worden door PKIoverheid private (G1) certificaten.

Nieuwe deelnemers moeten direct gebruikmaken van andere publieke certificaten voor frontchannelverkeer, voor backchannel verkeer gebruiken zij direct PKIoverheid private (G1) certificaten.

RACI

  • Responsible: @Casper van der Harst 

  • Accountable: @Egbert van Gelder 

  • Consulted

    • Ontwikkelteam (ontwikkeling@medmij.nl)

    • Security Management (secmgt@medmij.nl)

    • Acceptatie (acceptatie@medmij.nl)

    • Stelselregie

    • Deelnemers (Expertgroepsessie)

  • Informed

    • Communicatie

    • Loket (info@medmij.nl)

    • Leveranciersmanagement



Aanpassing van

Afsprakenstel versie 1.5 en 1.6

4 december 2022 moeten de uitzonderingen verwijderd worden uit afsprakenstelsel versie 1.6 en 1.7, zoals in de uitzonderingen benoemd is.

Impact op rollen

MedMij Beheer, DVP, DVA

Impact op beheer

Bestaand proces moet gevolgd worden.

Impact op RnA

Bestaand proces moet gevolgd worden.

Impact op Acceptatie

Proces blijft hetzelfde, controle op de certificaten wordt net wat anders.

PIA noodzakelijk



Gerelateerd aan (Andere RFCs, PIM issues)

Motivatie verkorte RFC procedure (patch)

Binnen een jaar zijn de publieke certificaten van PKIoverheid niet meer te gebruiken. Het is van belang de deelnemers in het aankomende jaar goed te begeleiden en te informeren. Om de deelnemers goed voor te bereiden op deze wijziging, is daarom gekozen een wijziging door te voeren op de versies 1.4 en 1.5 van het afsprakenstelsel.

2. Uitwerking epic

Uitwerking Epic AF-1273, PKIoverheid stopt met uitgeven publiek vertrouwde webserver (SSL/TLS) certificaten

3. Wijzigingen afsprakenstelsel

3.1. Beveiliging

Huidige inhoud

Nieuwe inhoud

Huidige inhoud

Nieuwe inhoud









3.2. TLS en certificaten

Huidige inhoud

Nieuwe inhoud

Huidige inhoud

Nieuwe inhoud



























































4. Principe's

Principe



Principe



Principe



Principe



1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

 

11 Stelselfuncties worden vanaf de start ingevuld

 

2 Dienstverleners zijn transparant over de gegevensdiensten 

 

12 Het afsprakenstelsel is een groeimodel

 

Dienstverleners concurreren op de functionaliteiten

 

13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders

 

Dienstverleners zijn aanspreekbaar door de gebruiker

14 Uitwisseling is een keuze

De persoon wisselt gegevens uit met de zorgaanbieder

15 Het MedMij-netwerk is gebruiksrechten-neutraal

MedMij spreekt alleen af wat nodig is

16 De burger regisseert zijn gezondheidsinformatie als uitgever

De persoon en de zorgaanbieder kiezen hun eigen dienstverlener

17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld

De dienstverleners zijn deelnemers van het afsprakenstelsel

18 Afspraken worden aantoonbaar nageleefd en gehandhaafd

10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling

19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat

Toelichting



5. Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging

Kans

Impact

DreigingsID (intern)

Maatregelen

Dreiging

Kans

Impact

DreigingsID (intern)

Maatregelen

Nieuwe deelnemers nemen toch een publiek vertrouwd PKIoverheid certificaat af, waardoor ze binnen een jaar extra kosten maken om over te schakelen naar een andere aanbieder

Klein

Klein



Nieuwe deelnemers goed informeren in het voortraject.

Het moeten gaan toestaan van meerdere certificaat leveranciers binnen het stelsel met de controle via CAB browser forum. Risico op foutieve uitgifte serverceritifcaten

Klein

Midden



Deelnemers informeren en vergelijkbare eisen stellen aan TSP voor de betreffende certificaat leveranciers.

6. Bijlagen

7. Goedkeuring

Beoordelaar

Datum

Toelichting

Beoordelaar

Datum

Toelichting

Beoordelaar

Datum

Toelichting

Beoordelaar

Datum

Toelichting

Productmanager Stichting MedMij





Productmanager Beheerorganisatie





Leadarchitect Stichting MedMij





Leadarchitect Beheerorganisatie





Ontwerpteam











Deelnemersraad





Eigenaarsraad