Hoofdinhoud
Inleiding
Doelgroep en gebruik van deze pagina
Deze toelichting is specifiek bedoeld voor organisaties die op BSNk aansluiten met de rollen Authenticatiedienst (vanaf nu AD genoemd), eIDAS-berichtenservice (EB), Machtigingenregister (MR) of Middelenuitgever (MU).
Deze pagina is gebaseerd op de specificaties van BSNk. Deze zijn toegankelijk via Confluence. De processtappen waar een (re)actie verwacht wordt van het Ministerie van BZK moeten nog worden afgestemd.
Tot slot wordt vooralsnog niet voorzien dat organisaties gebruik gaan maken van een eigen activatie HSM. Dit is dan ook buiten beschouwing gelaten van het processchema en deze toelichting.
Gerelateerde documenten
Document | Inhoud |
---|---|
BSNk PP technische specificaties | De specificaties van de verschillende koppelvlakken. |
Proces aansluiten op BSNk | Een processchema voor het aansluiten op BSNk voor de rollen Authenticatiedienst, eIDAS-berichtenservice, Machtigingenregister en Middelenuitgever. Er is ook een toelichting op dit processchema beschikbaar. |
Voorwaarden (Preproductieomgeving) BSNk | De voorwaarden om aan te sluiten op (de preproductieomgeving van) BSNk. |
Verwerkersovereenkomst BSNk Machtigingenregister | Overeenkomst waarmee een Machtigingenregister gemachtigd wordt om het BSN te bewerken. Deze overeenkomst komt te vervallen na intreding van de Wet Digitale Overheid. |
Checklist Testen | De testcriteria die Logius aan de aansluiting op BSNk stelt. |
De laatste versie van deze pagina
Logius verbetert en verduidelijkt deze pagina met regelmaat. Logius informeert de aan te sluiten en aangesloten organisaties per e-mail bij wijzigingen met een grote impact.
Verbetersuggesties
Logius ontvangt graag uw suggesties om deze pagina te verbeteren. Deze suggesties kunt u sturen naar de aansluitcoördinator van BSNk via bsnkoppelregister@logius.nl.
Toelichting per processtap
Ondertekenen aansluitdocumenten
Input | Melden interesse in nieuwe aansluiting |
---|---|
Activiteit |
De AD, EB, MR of MU meldt zich bij het Ministerie van BZK met het verzoek aan te willen sluiten op BSNk. Het Ministerie van BZK start de erkenningsprocedure en informeert de AD, EB, MR of MU over de te nemen stappen. Als onderdeel van deze procedure ondertekent een tekenbevoegd persoon namens de AD, EB, MR of MU de aansluit- en bewerkersovereenkomst*. De secretaris van het Ministerie van BZK zorgt dat de minister deze documenten ook ondertekend, en stuurt daarna een kopie naar het Logius Servicecentrum. Na ontvangst autoriseert de technisch aansluitcoördinator van BSNk de algemeen- en technisch contactpersoon van de AD, EB, MR of MU voor toegang tot de Confluence omgeving van BSNk. Hier worden de huidige en toekomstige specificaties van BSNk gepubliceerd. Ook deelt de technisch aansluitcoördinator van BSNk de SNO en DAP met de algemeen contactpersoon van de AD, EB, MR of MU. *) Bewerkersovereenkomst komt te vervallen na intreding Wet Digitale Overheid |
Output |
|
Wie? |
|
Realiseren aansluiting en (optioneel) inrichten eigen transformatie test-HSM
Input |
|
---|---|
Activiteit |
De AD, EB of MU realiseert de aansluiting van de/het eigen syste(e)m(en) met BSNk conform de koppelvlakspecificaties. Voor zover niet reeds beschikbaar vraagt de AD, EB, MR of MU (een) PKIo certifica(a)t(en) aan voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten. Als de AD of EB gebruik mag maken van een eigen transformatie HSM plaatst deze de test-HSM in het juiste rack en maakt deze benaderbaar vanaf het eigen netwerk. Vervolgens wordt deze ingericht door BSNk Sleutelbeheer. Dit gebeurt conform de procesbeschrijvingen SBP-001, 002 en 003. |
Output |
|
Wie? |
|
Koppelen met preproductieomgeving BSNk
Input |
|
---|---|
Activiteit |
De technisch contactpersoon van de AD, EB, MR of MU stuurt de URL waarop de eigen metadata voor de ketentestomgeving wordt gepubliceerd op naar de technisch aansluitcoördinator van BSNk. Deze metadata is opgezet conform de specificaties van BSNk en bevat de publieke sleutel(s) van de PKIo certifica(a)t(en) welke gebruikt gaan worden voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten, en eventuele affiliations (d.w.z. relaties tussen AD en MU). BSNk Stelselbeheer voegt de URL toe aan de aggregator voor import in de preproductieomgeving van BSNk. De technisch contactpersoon van de AD, EB, MR of MU stuurt de IP-adressen vanaf waar getest gaat worden op naar de technisch aansluitcoördinator van BSNk. BSNk Stelselbeheer voegt deze IP-adressen toe aan de whitelist voor de relevante omgevingen:
BSNk Sleutelbeheer genereert voor de preproductieomgeving van BSNk sleutelmateriaal voor de EB, MR of MU in de sleutelbeheer HSM en importeert deze samen met BSNk Koppeldienst in de transformatie HSM. Als de AD of EB gebruik mag maken van een eigen transformatie HSM wordt het sleutelmateriaal hierop geïmporteerd. De AD,EB, MR of MU voegt de definitieve versie van het sleutelmateriaal toe aan de eigen metadata. BSNk Sleutelbeheer zorgt voor registratie van de verstrekte sleutels. Dit alles gebeurt conform de procesbeschrijving SBP-006 of 008 (deel A en B). Het Ministerie van BZK bepaalt of persoonsgegevens die ingestuurd worden door de EB of MU bij een activatie geverifieerd moeten worden bij de GBA-V. Als dit niet noodzakelijk is voegt BSNk Koppeldienst het OIN van de EB of MU toe aan de zgn. GBA-V bypass lijst voor de preproductieomgeving van BSNk. Deze activiteit is niet relevant voor een AD of MR. |
Output |
|
Wie? |
|
Testen op preproductieomgeving BSNk
Input |
|
---|---|
Activiteit |
De technisch contactpersoon van de AD, EB, MR of MU stemt minimaal 5 werkdagen voorafgaand aan de start de planning van de testen op de preproductieomgeving af met de technisch aansluitcoördinator van BSNk. De technisch aansluitcoördinator van BSNk zorgt dat er gedurende de testperiode op werkdagen tussen 8.00 en 17.00 uur capaciteit beschikbaar is voor eventuele vragen en/of het analyseren van problemen. De AD, EB, MR of MU voert de testen uit conform de Checklist Testen. BSNk Stelselbeheer beoordeelt de resultaten verkregen van de technisch contactpersoon van de AD, EB, MR of MU. Als de testen niet succesvol zijn uitgevoerd worden deze opnieuw ingepland. De algemeen contactpersoon van de AD, EB, MR of MU geeft de technisch aansluitcoördinator van BSNk akkoord op de SNO en stuurt de ingevulde DAP retour. |
Output |
|
Wie? |
|
Afronden erkenningsprocedure BZK
Input |
|
---|---|
Activiteit |
Als de AD of EB gebruik mag maken van een eigen transformatie HSM laat deze een onafhankelijk onderzoek uitvoeren. Hierbij moet worden vastgesteld dat de HSM voldoet aan de vereisten zoals voorgeschreven door het Ministerie van BZK. De technisch contactpersoon van de AD of EB levert de conformiteitsverklaring op aan de technisch aansluitcoördinator van BSNk. De AD, EB, MR of MU rond de erkenningsprocedure van het Ministerie van BZK af. De secretaris van het Ministerie van BZK informeert de technisch aansluitcoördinator van BSNk als de AD, EB, MR of MU formeel is erkend. |
Output |
|
Wie? |
|
(Optioneel) Inrichten eigen transformatie HSM
Input |
|
---|---|
Activiteit | Als de AD of EB gebruik mag maken van een eigen transformatie HSM plaatst deze de HSM in het juiste rack en maakt deze benaderbaar vanaf het eigen netwerk. Vervolgens wordt deze ingericht door BSNk Sleutelbeheer. Dit gebeurt conform de procesbeschrijvingen SBP-001, 002 en 003. |
Output | Transformatie HSM van AD of EB ingericht |
Wie? |
|
Koppelen met productieomgeving BSNk
Input |
|
---|---|
Activiteit |
De technisch contactpersoon van de AD, EB, MR of MU stuurt de URL waarop de eigen metadata voor de productieomgeving wordt gepubliceerd op naar de technisch aansluitcoördinator van BSNk. Deze metadata is opgezet conform de specificaties van BSNk en bevat de publieke sleutel(s) van de PKIo certifica(a)t(en) welke gebruikt gaan worden voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten, en eventuele affiliations (d.w.z. relaties tussen AD en MU). BSNk Stelselbeheer voegt de URL toe aan de aggregator voor import in de productieomgeving van BSNk. BSNk Sleutelbeheer genereert voor de productieomgeving van BSNk sleutelmateriaal voor de EB, MR of MU in de sleutelbeheer HSM en importeert deze samen met BSNk Koppeldienst in de transformatie HSM. Als de AD of EB gebruik mag maken van een eigen transformatie HSM wordt het sleutelmateriaal hierop geïmporteerd. De AD,EB, MR of MU voegt de definitieve versie van het sleutelmateriaal toe aan de eigen metadata. BSNk Sleutelbeheer zorgt voor registratie van de verstrekte sleutels. Dit alles gebeurt conform de procesbeschrijving SBP-006 of 008 (deel A en B). Het Ministerie van BZK bepaalt of persoonsgegevens die ingestuurd worden door de EB of MU bij een activatie geverifieerd moeten worden bij de GBA-V. Als dit niet noodzakelijk is voegt BSNk Koppeldienst het OIN van de EB of MU toe aan de zgn. GBA-V bypass lijst voor de productieomgeving van BSNk. Deze activiteit is niet relevant voor een AD of MR. |
Output |
|
Wie? |
|
Bevestigen aansluiting BSNk
Input |
|
---|---|
Activiteit |
De AD, EB, MR of MU voert een smoketest uit om vast te stellen dat succesvol gekoppeld is met de productieomgeving van BSNk. De algemeen contactpersoon van de AD, EB, MR of MU bevestigt de aansluiting bij het Ministerie van BZK en de technisch aansluitcoördinator van BSNk. De algemeen contactpersoon van de AD, EB, MR of MU informeert de technisch aansluitcoördinator van BSNk wie geïnformeerd moet worden bij onderhoud of storing van BSNk. BSNk Stelselbeheer zorgt dat deze personen toegevoegd worden aan de contactlijsten voor deze berichten. |
Output |
|
Wie? |
|