Certificats eHealth

Tout sur le service

Qu'est-ce qu’un certificat eHealth?

Les certificats délivrés par la plate-forme eHealth permettent à un individu ou une organisation de s’authentifier en tant que prestataire de soins ou institution reconnue.

Lorsqu'un prestataire de soins souhaite avoir accès à certains services de base de la plate-forme eHealth en utilisant une connexion de système à système et non une application web, il doit disposer d'un certificat eHealth. Ce certificat permet d'identifier et d'authentifier le partenaire “système” tandis que l'eID ou le token permet d'identifier et d'authentifier l'utilisateur (la personne).

Ceci est valable tant pour l'utilisation de services de base que pour l'utilisation d'applications proposées sous forme de services web.

Le certificat, une fois configuré dans le logiciel du prestataire ou de l’institution, permet d’utiliser les services mis à disposition par la plate-forme eHealth et requérant une authentification.

Un certificat eHealth peut être demandé et installé grâce à une application téléchargeable ( wcag.label.externalLink) .

Si vous disposez d'une version Java plus récente que Java 8, le lien ci-dessus ne peut plus être utilisé pour démarrer l'application. C'est pourquoi l'application est également proposée via ce lien (wcag.label.file wcag.label.externalLink) dans un fichier ZIP. Dans ce cas, vous pouvez extraire le fichier dans un dossier sur votre ordinateur et démarrer le programme via le fichier .cmd (Windows) ou .sh (MacOS, Linux).

Les intégrateurs de logiciels (et non les prestataires de soins) peuvent par ailleurs demander des certificats de test. Ces certificats permettent aux collaborateurs IT de ces intégrateurs de logiciels qui sont actifs dans le secteur belge des soins de santé, de tester l'intégration de nos services de base. Plus d’informations sur les certificats d’acceptation.

Quelles sont les fonctionnalités d’un certificat eHealth?

Le certificat offre les fonctionnalités suivantes :

  • la possibilité pour le prestataire ou l’institution de s’authentifier lors de l’utilisation des services web eHealth, notamment en demandant un jeton d’accès permettant l’accès à ces services
  • la possibilité de chiffrer des messages, par exemple dans le cadre de l’utilisation d’une eHealthBox
    • le certificat et le mot de passe associé servent alors de clé privée de chiffrement
  • la possibilité pour un prestataire ou une institution de recevoir des messages chiffrés
    • une clé publique est en effet créée en même temps que le certificat et mise à disposition du public grâce à un web service dédié (ETEE ETKDepot)

En pratique

Dépendances, recommandations & avertissements

Pour un prestataire de soins individuel, il faut

  • que son profil soit enregistré dans une source authentique validée
  • disposer d'un moyen d'authentification considéré comme fort (eID)
    • pour les prestataires non-Belges, qui ne disposent de facto pas d’une eID, mais qui, exerçant sur le territoire belge, ont besoin d’un accès aux services en ligne et dès lors d’un certificat, il existe une solution hybride 

Pour les institutions de soins, il faut

  • que son profil soit enregistré dans une source authentique validée en ce compris le titulaire du certificat autorisé au nom de l'institution
  • le détenteur du certificat doit disposer d'un moyen d'authentification considéré comme fort
  • respecter les normes minimales de la sécurité sociale
  • le fonctionnement interne de l'institution de soins doit garantir que seules les personnes autorisées ont accès au système
  • une autorisation contenant les conditions de partage des données relatives aux soins de santé entre les institutions de soins de santé

Afin d’utiliser un certificat eHealth pour s’authentifier dans un service web, le prestataire ou l’institution devra disposer d’un logiciel médical intégrant l’utilisation des certificats eHealth (ce qui est le cas de l’ensemble des logiciels enregistrés par la plate-forme eHealth).

Avant de procéder à la demande / l’utilisation d’un certificat eHealth, veillez à prendre connaissance des informations disponibles dans le «Welcome Pack», du règlement d’utilisation, ainsi que des directives pour un usage des certificats eHealth en toute sécurité dans un contexte médical.

Demande de certificat - Mode d'emploi

Qui peut demander un certificat ?

  • les prestataires de soins actifs dans le secteur des soins de santé belge

Important :

  • il y a lieu d’opérer une distinction entre un certificat individuel (personnel) et un certificat pour une organisation (pour un établissement de soins)
    • dans le cas d’un certificat pour une organisation ou un établissement, un titulaire de certificat mandataire est responsable, au nom de la personne morale, de la gestion et de l’utilisation correctes du certificat. Ceci signifie que ce titulaire du certificat est responsable du respect rigoureux des conditions d’utilisation
  • un certificat eHealth est valide 36 mois (peut être renouvelé à partir de 90 jours avant la fin de la période des 36 mois/3 ans)

Processus de demande

Introduisez votre demande via l’application eHealth Certificate Manager ( wcag.label.externalLink)

Cette application permet les opérations suivantes:

  • demander un certificat eHealth et des clés d’encryption (voir cryptage end-to-end pour les clés);
  • renouveler un certificat (endéans la période de renouvellement de trois mois);
  • révoquer un certificat;
  • modifier le mot de passe des clés d'encryption
eHealth platform Certificates Manager (CertRA – EtkRA) – V2

Les services EtkRA et CertRA constituent le back-end du gestionnaire de certificats de la plate-forme eHealth. Ce cookbook décrit les services du certificate manager et explique la structure et les aspects de fond des requêtes éventuelles et des réponses de ces services web.

Version 0.4 (15/03/2021) - 1.19 MB Fichier PDF (Ce document est en anglais)

eHealth Certificates Manager (CertRA-EtkRA) - Annexe

Ce fichier contient plusieurs références du eHealth certificate manager (CertRA – EtkRA) :

  • algorithme du Check digit
  • exemples de contrats
  • contrat de service : wsdl et xsd

Version 0.4 (29/10/2015) - 519.7 KB Fichier ZIP (Ce document est en anglais)

eHealth PlatformTrusted Certificates List

Les logiciels destinés aux acteurs des soins de santé utilisent des trust stores contenant tous les certificats fiables dans le domaine d’ehealth. Etant donné que la liste des certificats de confiance évolue dans le temps, ces magasins de confiance doivent être mis à jour de temps à autre. Pour réduire les risques de sécurité et les coûts de maintenance, ce processus doit être automatisé et il doit être possible d'ajouter ou de supprimer rapidement un certificat. Par conséquent, la liste des certificats de confiance doit être mise à disposition en ligne de manière sécurisée.
Ce document décrit une solution où la liste des certificats est diffusée selon la spécification technique ETSI TS 119 612: « Signatures électroniques et infrastructure (ESI); Listes de confiance ».

Version 1.0 (16/10/2015) - 677.33 KB Fichier PDF (Ce document est en anglais)

Formulaire de procuration pour l’obtention d’un certificat d’acceptance eHealth

Certificat d’acceptance
Formulaire de procuration pour l’obtention d’un certificat d’acceptance pour un projet déterminé, une période déterminée et par le responsable du projet.

Version 1.1 (05/04/2018) - 202.54 KB

Contrat certificats producteurs de logiciels

Certificat d’acceptance
Contrat avec une firme logicielle pour la demande d’un certificat de test 

Version 1.2 (05/04/2018) - 252.98 KB Fichier PDF

Formulaire de mandat pour la demande d'un certificat au nom d'une organisation ou institution

Certificat de production
Formulaire de procuration pour la demande d'un certificat au nom d'une organisation ou institution. Si le demandeur du certificat est un travailleur de l'organisation qui est un acteur du secteur des soins de santé belge, celui-ci doit disposer d'une procuration enregistrée (écrite) du représentant légal de l'organisation ou institution.

Version 1.2 (06/04/2018) - 385.53 KB Fichier PDF

Procédure de révocation d'un certificat eHealth

Certificat de production.
Procédure de révocation d'un certificat eHealth.

Version 1.2 (05/04/2018) - 286.74 KB Fichier PDF

Request testcase template

Certificat d’acceptance
Formulaire de demande de profils pour tester le service en acceptation.

Version 3.0 (22/02/2018) - 43.45 KB fa-file-o (Ce document est en français, et en néerlandais)

Formulaire de demande de révocation du certificat eHealth

Certificat de production
Formulaire de demande de révocation du certificat eHealth

Version 1.1 (29/10/2013) - 112.07 KB Fichier PDF

Procédure d’obtention d’un certificat d’acceptance eHealth

Certificat d’acceptance
Couvre la demande d’un certificat d’acceptance avec l’utilitaire de demande pour un intégrateur de solution dans le secteur des soins de santé

Version 1.2 (17/12/2013) - 6.62 MB Fichier PDF

Procédure de demande de certificat eHealth

Certificat de production.
Couvre la demande d'un certificat eHealth et d'un ETK avec l'utilitaire de demande.

Version 3.1 (17/12/2013) - 6.24 MB Fichier PDF

Procédure de création des certificats eHealth

Manuel actualisé du eHealth Certificate Manager avec ajout de la méthode via CSAM destinée aux prestataires de soins non-résidents sans eID.

Version 2.0 (28/03/2018) - 2.76 MB Fichier PDF

Guide de bonne pratique sur la gestion des certificats eHealth

Certificat de production
Guide de bonne pratique sur la gestion des certificats eHealth.

Version 1.0 (10/09/2012) - 469.93 KB Fichier PDF

eHealth Certificates - SLA

Le but de ce document est de déterminer le « Service Level Agreement » pour tous les services inclus dans le service de base « Certificats » tel que présenté par la plate-forme eHealth.

Version 1.0 (23/07/2018) - 717.54 KB Fichier PDF (Ce document est en anglais)

Contrat comprenant les conditions générales d’utilisation des certificats eHealth

Le prestataire de soins étranger qui souhaite obtenir un certificat eHealth via cette méthode “hybride” doit préalablement remplir et signer ce contrat et l’envoyer, ainsi qu’une copie recto-verso lisible de son document d’identité valide, au service eHealth Certificates.

Version 1.1 (20/07/2018) - 334.14 KB Fichier PDF

Conditions générales relatives aux certificats eHealth

Conditions générales d'utilisation.

Version 1.1 (20/07/2018) - 325.28 KB Fichier PDF

Certificate Entity Authentification - Acceptance

Fichier ZIP contenant le 'certificate chain', à savoir le certificat de la CA émettrice et le certificat du CA root sus-jacent.

Version 1.0 (14/02/2019) - 18.44 KB Fichier ZIP (Ce document est en anglais)

Certificat I.AM Acceptation

Fichier ZIP contenant le certificat I.AM pour l’environnement d’acceptation.

(05/07/2018) - 4.97 KB fa-file-zip-o (Ce document est en anglais)

Certificat I.AM Production

Fichier ZIP contenant le certificat I.AM pour l’environnement de production.

(05/07/2018) - 4.97 KB fa-file-zip-o (Ce document est en anglais)

Nouveau truststore SSL

Ce truststore est identique pour acceptation et production. Il inclut les nouveaux certificats SSL server pour les domaines "*.ehealth.fgov.be" et "*.ehealth2.be" (environnement BCP). Ces certificats sont émis par la CA (autorité de certification) Quo Vadis.

Version 2.1 (18/08/2020) - 112.66 KB fa-file-zip-o (Ce document est en anglais)

Certificat I.AM Acceptation 2021

Fichier ZIP contenant le certificat I.AM pour l’environnement d’acceptation.

(11/01/2021) - 5.24 KB fa-file-zip-o (Ce document est en anglais)

Certificat I.AM Production 2021

Fichier ZIP contenant le certificat I.AM pour l’environnement de production.

(11/01/2021) - 5.23 KB fa-file-zip-o (Ce document est en anglais)

SSL certificat.ZIP

Nouveaux certificats SSL server pour les domaines "*.ehealth.fgov.be" . Ces certificats sont identiques pour acceptation et production et émis par la CA (autorité de certification) Quo Vadis.

Version 1.0 (03/03/2021) - 5.74 KB fa-file-zip-o (Ce document est en anglais)

SOA – Error Guide

Tous les services utilisent des codes d’erreur définis de manière uniforme pour signaler les erreurs système. Dans ce document, vous trouverez un aperçu des messages d’erreur possibles et de leur solution.

Version 1.0 (10/06/2021) - 668.68 KB Fichier PDF (Ce document est en anglais)

Renewal Timestamp certificate acceptance

Un nouveau certificat Timestamping sera activé en acceptation du côté eHealth le 03/08/2021.
C'est pour cette raison qu'il est nécessaire que vous activiez, pour le 28/07/2021 au plus tard, le certificats dans l'environnement d’acceptance.
Si vous n'entreprenez pas ces étapes, il est possible que votre software considère, de manière erronée, comme invalide le 'nouveau' timestamp.

Vous trouverez le ZIP file sur notre portail via le lien suivant : https://www.ehealth.fgov.be/ehealthplatform/fr/acceptance.zip (wcag.label.file wcag.label.externalLink)

Nous vous demandons aussi expressément de bien vouloir, le plus rapidement possible, mener une des interventions ci-dessous:

 

  • Si vous utilisez l'eHealth Connector, vous devez adapter le tsacertificate.jks de votre système, vous trouverez la nouvelle version de ce keystore dans le « connector » directory du fichier zip
  • Si vous utilisez le eHealth Timestamping Reference client v2, vous copiez et remplacez les fichiers tsaCertificate.jks du connector dans le folder « config/keystores » pour le mettre à jour
  • Si vous utilisez une implémentation propre pour contrôler/vérifier le timestamp, vous devez installer les nouveaux certificats timestamping sur le système. Vous trouverez ces fichiers dans le « other » directory du fichier zip. Votre fournisseur de software peut vous y aider.

Si vous avez d’autres questions, vous pouvez contacter le "contact center" via support@ehealth.fgov.be ( wcag.label.externalLink) ou au numéro 02/788.51.55 (chaque jour ouvrable de 7 h à 20 h)

Vous pouvez nous joindre en utilisant le formulaire de contact ci-dessous

Vos coordonnées
Votre demande

1500/1500 caractère(s) restant(s)

Remise à zéro

En raison de la migration vers une nouvelle technologie, il ne sera plus possible de télécharger les WSDL et XSD via l’UDDI. Vous trouverez dorénavant ces informations sur l’API Portal.

Le Registry est le catalogue des webservices offerts par la plate-forme eHealth et ses partenaires. Les informations sont structurées selon le standard UDDI.

Il s’agit d’informations :

  • techniques : URL, version, contrat formel (WSDL+XSD)
  • fonctionnelles : liens vers la documentation disponible, description des services en ligne

 

Pour désigner un gestionnaire de certificat, les maisons médicales doivent contacter l’INAMI via l’adresse : mh-mm@riziv-inami.fgov.be avec les informations suivantes :

  • numéro inami de la maison médicale
  • le rôle : titulaire pour le certificat
  • le numéro Inami du (de la ) gestionnaire de certificat.

Après contrôle, l’INAMI adapte les informations. Ensuite, le gestionnaire de certificat peut demander un certificat eHealth.

Question

Je travaille souvent comme prestataire de soins en Belgique et je possède un numéro INAMI, or j'habite à l'étranger (et je maintiens ma nationalité étrangère). Par conséquent, je ne dispose pas d'une carte eID. Dans le cadre de l'exercice de ma profession, j'ai besoin des services électroniques MyCareNet, auxquels eHealth propose un accès sécurisé. Toutefois, ceci requiert une eID ou un certificat eHealth. Comment puis-je me procurer un certificat eHealth ?

Réponse

La Plate-forme eHealth assure la sécurité en matière de gestion des accès, confidentialité et protection de la vie privée en ce qui concerne le traitement et la mise à disposition de données médicales via des services on-line (contexte de données électroniques). Un des éléments-clés à cet égard est l'exigence d'une authentification forte du prestataire de soins. En Belgique, cette authentification forte est rendue possible grâce à la technologie de la carte d'identité électronique. La Belgique est un pionnier à cet égard car tout ressortissant dispose d'une carte d'identité électronique. Toute personne qui vit en Belgique, quelle que soit sa nationalité, peut obtenir une telle carte. Les étrangers qui ne résident pas en Belgique et qui souhaitent faire appel à cette technologie doivent donc avoir recours à un niveau de sécurité équivalent au certificat d'authentification.
La problématique se pose donc pour les personnes qui ne sont pas domiciliées en Belgique et qui ne disposent pas dans leur pays d'un moyen d'authentification électronique équivalent. En effet, tous les pays ne disposent pas encore d'un tel moyen d'authentification fort, généralisé et équivalent. Il s'agit d'une matière que les autorités de chaque pays règlent individuellement et sur laquelle les autorités belges n'ont aucune influence. Pour cette matière, les étrangers dépendent donc des autorités de leur pays.
La Plate-forme eHealth a abordé cette problématique à plusieurs reprises auprès des instances publiques belges et européennes compétentes en la matière, étant donné qu'il s'agit d'une matière intersectorielle et transfrontalière. Notamment à l'initiative de la Plate-forme eHealth, il a été demandé au ministre de l'Intérieur de prévoir un moyen d'identification et d'authentification spécifique pour les étrangers sous forme d'une carte techniquement équivalente à l'eID belge et qui pourrait être délivrée après un enregistrement univoque de la personne physique auprès d'une autorité d'enregistrement reconnue. Suite à cette proposition, le ministre de l'Intérieur a approuvé un projet concret qui devrait fournir une solution pour 2018. La priorité et le timing pour les ressources à prévoir doivent cependant être évalués en permanence en fonction des autres priorités du service public concerné qui sont la conséquence des nouvelles actualités p.ex. sur le plan de la migration des réfugiés et des menaces terroristes.

Il y a un bureau d’enregistrement auprès du SPF Stratégie et Appui – DG Transformation digitale, mais vous pouvez également vous rendre auprès d’une commune disposant d’un bureau local d’enregistrement. Un aperçu géographique actualisé des bureaux locaux d’enregistrement où le prestataire de soins peut prendre rendez-vous, est disponible sur la page du Centre d’aide de CSAM.

Il existe plusieurs applications mobiles permettant de générer un code de sécurité personnel à usage unique qui permettra de vous connecter. Toute application supportant le protocole TOTP (Time-based One-Time Password) peut en principe être utilisée, p.ex.

  • Google Authenticator (Android/iPhone/BlackBerry)
  • Duo Mobile (Android/iPhone)
  • Amazon AWS MFA (Android)
  • Authenticator (Windows Phone)

En savoir plus sur le code de sécurité via application mobile

De manière standard, une session est lancée au moyen de l'eID du prestataire de soins, qui introduit dans le lecteur eID, son eID ainsi que le code PIN y associé.

Exceptionnellement, en cas d'indisponibilité de l'eID du prestataire de soins, il est possible d'opter temporairement pour un mécanisme de repli (fallback) alternatif afin de garantir la continuité des activités de l'entité. Ce mécanisme fallback consiste à introduire manuellement le mot de passe du eHealth keystore (certificat). Il est important néanmoins de souligner que l'emploi systématique et répété de cette méthode n'est pas permis, afin d'éviter tout abus et toute fraude par des tiers.

Sachant que:

  • exceptionnellement : renvoie à une situation où le prestataire de soins ne dispose pas de son eID, p.ex. en cas de perte;
  • temporairement: signifie que la session est limitée dans le temps[1] et qu'une identification sera ensuite à nouveau requise, basée sur (1) eID + PIN ou (2) le mécanisme de repli (fallback) à l'aide du certificat eHealth personnel en combinaison avec un mot de passe.

N.B. :

  1. Une session de repli a une durée de validité plus courte qu'une session lancée au moyen de l'eID et se termine lorsque le token expire. Le prestataire de soins devra alors manuellement lancer une nouvelle session selon une des méthodes précitées (eID + PIN ou méthode de repli sur base du certificat eHealth en combinaison avec un mot de passe).
  2. Les directives de sécurité “Manuel pratique pour l'usage sécurisé des certificats électroniques” sont d'application.