icon

eHealth-certificaten

Alles over deze dienst

Wat is een eHealth-certificaat?

De certificaten die uitgereikt worden door het eHealth-platform laten toe aan een persoon of een organisatie om zich te authentiseren als zorgverlener of erkende instelling.

Wanneer een zorgverlener toegang wenst tot bepaalde basisdiensten van het eHealth-platform met gebruik van een system-to-systemverbinding en niet een webtoepassing, moet hij over een eHealth-certificaat beschikken. Op basis van dit certificaat kan de “systeem”-partner worden geïdentificeerd en geauthentiseerd terwijl het op basis van de eID of de token mogelijk is om de gebruiker (de persoon) te identificeren en authentiseren.

Dit geldt zowel voor het gebruik van basisdiensten als voor het gebruik van toepassingen die aangeboden worden in de vorm van webservices.

Eenmaal het certificaat geconfigureerd is in de software van de zorgverlener of de instelling kan gebruik worden gemaakt van de diensten die door het eHealth-platform ter beschikking worden gesteld en die een authenticatie vereisen.

Een eHealth-certificaat kan worden aangevraagd en geïnstalleerd via een toepassing die gedownload kan worden op de site van het eHealth-platform.

De software-integratoren (niet de zorgverleners) kunnen bovendien test-certificaten aanvragen. Op basis van deze certificaten kunnen de IT-medewerkers van deze software-integratoren, die actief zijn in de Belgische gezondheidszorg, de integratie van onze basisdiensten testen. Meer informatie over acceptatie-certificaten.

Welke functionaliteiten biedt een eHealth-certificaat?

Het certificaat biedt de volgende functionaliteiten:

  • de mogelijkheid voor de zorgverlener of de instelling om zich te authentiseren in het kader van het gebruik van de eHealth-webservices, onder meer door een toegangsjeton aan te vragen op basis waarvan toegang verleend wordt tot deze diensten
  • de mogelijkheid om berichten te vercijferen, bijvoorbeeld in het kader van het gebruik van een eHealthBox
    • het certificaat en het daaraan verbonden paswoord dienen dan als private sleutel voor de vercijfering
  • de mogelijkheid voor een zorgverlener of instelling om vercijferde berichten te ontvangen
    • samen met het certificaat wordt immers een publieke sleutel aangemaakt en ter beschikking gesteld van het publiek via een daartoe bestemde webservice (ETEE ETKDepot)

In de praktijk

Afhankelijkheden, aanbevelingen & waarschuwingen

Voor een individuele zorgactor betekent dit dat:

  • de doelgroep in een gevalideerde authentieke bron geregistreerd is
  • de actor over een sterk authenticatiemiddel beschikt (eID)
    • voor niet-Belgische zorgverleners, die de facto niet over een eID beschikken, maar die wel actief zijn in België en behoefte hebben aan toegang tot de online diensten en die dus een certificaat nodig hebben, bestaat er een hybride oplossing 

Voor zorgorganisaties betekent dit dat:

  • de doelgroep in een gevalideerde authentieke bron geregistreerd is, incl. de gevolmachtigde certificaathouder namens de zorginstelling
  • de certificaathouder over een sterk authenticatiemiddel beschikt
  • de minimale veiligheidsnormen van de KSZ worden gerespecteerd
  • de interne werking van de zorgorganisatie moet garanderen dat enkel geautoriseerde personen toegang hebben tot het systeem
  • de beraadslagingen van het informatieveiligheidscomité inzake het delen van zorggegevens tussen zorgorganisaties worden gerespecteerd

Om een eHealth-certificaat te gebruiken voor de authenticatie in het kader van een webservice, dient de zorgverlener te beschikken over een medisch softwarepakket dat deze dienst geïntegreerd heeft (dit is het geval voor alle softwarepakketten die geregistreerd werden door het eHealth-platform).

Vooraleer aan de slag te gaan met (de aanvraag van) een eHealth certificaat: neem steeds kennis van de project onboarding informatie in het Welcome Pack, het gebruiksreglement alsook de richtlijnen voor veilig gebruik van eHealth certificaten in het kader van een medische context.

Aanvraag van een certificaat - Werkwijze

Wie kan een certificaat aanvragen?

  • de zorgverleners die actief zijn in de Belgische gezondheidszorgsector

Belangrijk:

  • er moet een onderscheid worden gemaakt tussen een individueel (persoonlijk) certificaat en een certificaat voor een organisatie (voor een zorginstelling)
    • in het geval van een certificaat voor een organisatie of een instelling is een gevolmachtigd certificaathouder namens de rechtspersoon verantwoordelijk voor het correcte beheer en gebruik van het certificaat. Dit betekent dat deze certificaathouder verantwoordelijk is voor de strikte naleving van de gebruiksvoorwaarden.
  • een certificaat is 36 maanden geldig (hernieuwbaar vanaf 90 dagen vóór het einde van de periode van 36 maanden/3 jaar)

Aanvraagprocedure

Dien uw aanvraag in via de toepassing eHealth Certificate Manager

Deze toepassing biedt de volgende functionaliteiten:

  • aanvraag van een eHealth-certificaat en encryptiesleutels (zie End-to-end vercijfering voor de sleutels)
  • hernieuwing van een certificaat (binnen de hernieuwingsperiode van drie maanden);
  • intrekking van een certificaat;
  • wijziging van het paswoord voor de encryptiesleutels.
eHealth platform Certificates Manager (CertRA – EtkRA) – V2

The services EtkRA and CertRA form the back end for the Certificate Manager of the eHealth platform.
This cookbook describes the services of eHealth certificates manager and explains the structure and the content aspects of the possible requests and the replies of these web services.

Versie 0.3 (21/12/2017) - 726.3 KB

eHealth Certificates Manager (CertRA-EtkRA) - Annexe

This file contains various references of eHealth Certificates Manager (CertRA-EtkRA) :

  • Check digit algorithm
  • Contract samples
  • Contract service: wsdl et xsd 

Versie 0.4 (29/10/2015) - 519.7 KB

eHealth PlatformTrusted Certificates List

Software packages for healthcare actors use truststores which contain all the certificates that may be trusted in the ehealth domain. As the list of trusted certificates changes over time, these truststores need to be updated from time to time. To reduce security risks and maintenance cost, this process should be automated and it should be possible to quickly add or remove a certificate. Therefore, the list of trusted certificates should be made available online in a secure manner.

This document describes a solution where the list of certificates is distributed following the technical specification ETSI TS 119 612 : “Electronic Signatures and Infrastructures (ESI); Trusted Lists”.

Versie 1.0 (16/10/2015) - 677.33 KB

Procuratieformulier voor het verkrijgen van een acceptatiecertificaat

Acceptatiecertificaat
Procuratieformulier voor het verkrijgen van een acceptatiecertificaat voor een bepaald project, voor een bepaalde periode en door de projectverantwoordelijke.

Versie 1.1 (05/04/2018) - 208.43 KB

Overeenkomst certificaten voor softwarefirma

Acceptatiecertificaat
Overeenkomst met een softwarehuis voor het aanvragen van een testcertificaat

Versie 1.2 (18/05/2010) - 211.72 KB

Volmachtformulier voor een certificaataanvraag namens een organisatie of instelling

Productiecertificaat
Volmachtformulier voor een certificaataanvraag namens een organisatie  of instelling. Indien de certificaataanvrager werknemer is van de organisatie, actor in de Belgische gezondheidssector moet deze over een geregistreerde (geschreven) volmacht beschikken van de wettelijke vertegenwoordiger van de organisatie of instelling.

Versie 1.2 (06/04/2018) - 387.84 KB

Procedure voor de herroeping van een eHealth-certificaat

Productiecertificaat
De procedure voor het herroepen van eHealth-certificaten.

Versie 1.2 (05/04/2018) - 288.57 KB

Request testcase template

Acceptatiecertificaat
Aanvraagformulier voor gebruikersprofielen om de dienst in acceptatie te testen.

Versie 2.0 (22/02/2018) - 38.17 KB

Formulier revocatieaanvraag eHealthcertificaat

Productiecertificaat
Formulier revocatieaanvraag eHealthcertificaat.

Versie 1.1 (29/10/2013) - 103.36 KB

Procedure voor het verkrijgen van een acceptatie-certificaat

Acceptatiecertificaat
Omvat de aanvraag van een acceptatiecertificaat aan de hand van de aanvraagtool bestemd voor de oplossingsintegrator in de sector van de gezondheidssector.

Versie 1.2 (17/12/2013) - 8.23 MB

Procedure voor de aanvraag van het eHealth-certificaat

Productiecertificaat
Omvat de aanvraag van een eHealth-certificaat en van een ETK aan de hand van de aanvraagtool.

Versie 3.1 (17/12/2013) - 7.93 MB

Aanmaakprocedure voor eHealth-certificaten

Geactualiseerde handleiding bij de eHealth Certificate Manager met toevoeging van de methode voor niet-ingezeten zorgverleners, niet-eID houders, via CSAM.

Versie 2.0 (28/03/2018) - 2.86 MB

FAQ - Business Continuity Pharmacy
Handleiding voor veilig gebruik van eHealth-certificaten

Productiecertificaat
Handleiding voor veilig gebruik van eHealth-certificaten.

Versie 1.0 (10/09/2012) - 469.04 KB

SLA eHealth Certificates

The objective of this document is to define the Service Level Agreement for the set of Base Service Certificate proposed by the eHealth platform.

Versie 1.0 (23/07/2018) - 717.54 KB

Algemene voorwaarden over de eHealth certificaten

Algemene voorwaarden over de eHealth certificaten.

Versie 1.1 (20/07/2018) - 405.1 KB

Contract met algemene voorwaarden gebruik eHealth-certificaten

De buitenlandse zorgverlener die via deze ‘hybride methode’ een eHealth-certificaat wenst aan te vragen, dient vooraf deze goed ingevulde en ondertekende overeenkomst samen met een duidelijk leesbare recto-verso-kopie van zijn/haar geldige identiteitsdocument te versturen naar de dienst eHealth Certificates.

Versie 1.1 (20/07/2018) - 413.58 KB

Certificate Entity Authentification - Acceptance

Zip file met de certificate chain, i.e. het certificaat van de uitreikende CA en het certificaat van de bovenliggende root CA.

Versie 1.0 (14/02/2019) - 18.44 KB

Certificate Entity Authentication - Production
SSL certificaat

ANNEXE - Wijzigen SSL certificaat voor *.ehealth.fgov.be – METADATA

Het nieuwe SSL server certificaat voor het domein “*.ehealth.fgov.be” (identiek voor acceptatie en productie) werd uitgereikt door de CA (Certificaat Authoriteit) Quo Vadis.

Versie 1.0 (25/05/2018) - 5.66 KB

Certificaat I.AM Acceptatie

ZIP-bestand dat het I.AM-certificaat bevat voor de acceptatie-omgeving.

(05/07/2018) - 4.97 KB

Certificaat I.AM Productie

ZIP-bestand dat het I.AM-certificaat bevat voor de productie-omgeving.

(05/07/2018) - 4.97 KB

Certificate b2b - Production
Certificate b2b - Acceptance
Certificate b2b – Test

Gebruik onderstaand formulier om ons te contacteren

Uw gegevens
Uw vraag

1500/1500 resterende karakters

Een bestand toevoegen
Opnieuw beginnen

Om de eHealth Service Bus (ESB) niet te overbelasten, zullen de WSDL's en XSD's vanaf 11 mei 2014 alleen via UDDI-downloads beschikbaar zijn.

De "Registry" is de catalogus van webservices die aangeboden worden door het eHealth-platform en zijn partners. De informatie is gestructureerd volgens de UDDI-standaard.
Het gaat om de volgende informatie:

  • technisch : URL, versie, WSDL en XSD
  • functioneel : link naar de beschikbare documentatie, beschrijving van de online diensten

U kunt een abonnement nemen op de Registry, u ontvangt dan een mail als er wijzigingen zijn.

Om een certificaatbeheerder aan te duiden, moeten de medische huizen het RIZIV contacteren via het volgende adres: 
hc-group@riziv.fgov.be met de volgende gegevens:

  • het RIZIV-nummer van het medisch huis;
  • de rol: titularis voor het certificaat;
  • het RIZIV-nummer van de certificaatbeheerder. 

Na controle past het RIZIV de gegevens aan. Vervolgens kan de certificaatbeheerder een eHealth-certificaat vragen.

Vraag

Ik werk vaak als zorgverlener in België en heb een RIZIV-nummer, maar woon in het buitenland (en behoud de buitenlandse nationaliteit). Bijgevolg beschik ik dus niet over een eID-kaart. In de uitoefening van mijn job heb ik elektronische MyCareNet-diensten nodig, waarnaar een beveiligde toegang bestaat via eHealth. Daarvoor is een eID of een eHealth-certificaat vereist. Op welke manier kan ik een eHealth certificaat bekomen?

Antwoord

Het eHealth-platform verzorgt de beveiliging qua toegangsbeheer, confidentialiteit en bescherming van de privacy op het gebied van de behandeling en ontsluiting van medische gegevens via online diensten (elektronische datacontext). Eén van de belangrijkste elementen hierin is de vereiste van sterke authenticatie van de zorgverleners die in België mogelijk is op basis van de technologie van de elektronische identiteitskaart. België is hierin een pionier waar namelijk elke onderdaan over een elektronische identiteitskaart beschikt. Personen die in België wonen kunnen ongeacht hun nationaliteit dergelijke kaart verkrijgen. Niet-Belgen die niet in België verblijven en gebruik willen maken van deze technologie moeten dus gebruik maken van een op beveiligingsniveau gelijk(w)aardig authenticatiecertificaat.
De problematiek stelt zich voor personen die dus niet in België gedomicilieerd zijn en dus in hun eigen land niet over een gelijkwaardig elektronisch authenticatiemiddel kunnen beschikken. Andere landen beschikken immers nog lang niet allemaal over zulk veralgemeend en gelijkwaardig, sterk authenticatiemiddel. Dat is een materie die door de overheden van elk land afzonderlijk behandeld wordt en waar de Belgische overheid geen directe impact op heeft. Voor deze materie zijn buitenlanders dus de facto aangewezen op de autoriteiten van hun eigen land.
Het eHealth-platform kaartte deze problematiek herhaaldelijk aan bij de Belgische en Europese overheidsinstanties die daartoe bevoegd zijn, omdat ze grens- alsook sectoroverschrijdend is. Onder meer op initiatief van het eHealth-platform werd aan de Minister van Binnenlandse Zaken gevraagd om een specifiek identificatie- en authenticatiemiddel te kunnen aanbieden voor buitenlanders in de vorm van een technisch equivalente kaart aan de Belgische eID-kaart en die dus ook aan buitenlanders kan uitgereikt worden na éénduidige registratie van de natuurlijke persoon bij een erkende registratie-autoriteit. Inmiddels heeft de Minister van Binnenlandse Zaken als gevolg hiervan een concreet project goedgekeurd dat tegen 2018 in zulke oplossing zou voorzien. De prioriteit en timing voor de in te zetten middelen moeten hiervoor wel voortdurend afgemeten worden tegenover andere prioriteiten van de betrokken overheidsdienst, die gevolg zijn van de nieuwe actualiteit op het gebied van vluchtelingenmigratie en terreurdreiging e.a.

Er bevindt zich een registratiekantoor bij de FOD Beleid en Ondersteuning – DG Digitale Transformatie in Brussel, maar u kan ook terecht bij een gemeente met een lokaal registratiekantoor. Een actueel geografisch overzicht van de lokale registratiekantoren waarmee de zorgverlener een afspraak kan maken, vindt u op het helpcentrum van CSAM.

Er zijn verschillende mobiele apps beschikbaar voor het genereren van een unieke tijdgebonden beveiligingscode waarmee u zich kan aanmelden. Elke app die het TOTP-protocol (Time-based One-Time Password) ondersteunt is in principe goed, zoals:

  • Google Authenticator (Android/iPhone/BlackBerry)
  • Duo Mobile (Android/iPhone)
  • Amazon AWS MFA (Android)
  • Authenticator (Windows Phone)

Meer weten over de beveiligingscode via mobiele app

Standaard dient een sessie opgestart met de eID van de zorgverlener door ingave van de eID van de zorgverlener en bijhorende PIN.

Uitzonderlijk, ingeval van onbeschikbaarheid van de eID van de zorgverlener, kan - om de continuïteit van de activiteiten van de zorgverlener te waarborgen - tijdelijk een alternatief fallback-mechanisme gekozen worden met manuele ingave van het paswoord van de eHealth-keystore (certificaat). Systematisch, herhaaldelijk gebruik van deze methode is niet toegelaten om misbruik en fraude door derden te vermijden.

Waarbij:

  • uitzonderlijk: een situatie is waarbij de zorgverlener zijn/haar eID onbeschikbaar is, bv. ingeval van verlies van de eID van de zorgverlener
  • tijdelijk: de sessie beperkt wordt in tijd[1] waarna er opnieuw een identificatie vereist is volgens (1) eID + PIN of (2) het fallback-mechanisme op basis van het persoonlijk eHealth-certificaat met wachtwoord.

N.B.:

  1. Een fallback-sessie heeft een beperktere geldigheidsduur dan een sessie die met de eID is opgestart en wordt beëindigd wanneer het token vervalt. De zorgverlener zal in dat geval opnieuw manueel een sessie moeten opstarten volgens 1 van de methoden (eID + PIN of fallback-methode op basis van eHealth certificaat met wachtwoord).
  2. De veiligheidsrichtlijnen “Handleiding voor veilig gebruik van eHealth-certificaten” zijn steeds van toepassing.