Hoofdinhoud

Deze pagina bevat een toelichting op het processchema voor aansluiten op BSNk. Voor alle stappen uit het processchema is uitgewerkt wat het startpunt (input) is, welke activiteiten uitgevoerd moeten worden, wat het resultaat (output) is en welke organisaties/rollen hier een rol bij spelen. Deze pagina draagt bij aan een snelle en succesvolle aansluiting.

Versiegegevens

Publicatiedatum: 11 oktober 2018

Versie: 1.1

Inleiding

Doelgroep en gebruik van deze pagina

Deze toelichting is specifiek bedoeld voor organisaties die op BSNk aansluiten met de rollen Authenticatiedienst (vanaf nu AD genoemd), eIDAS-berichtenservice (EB), Machtigingenregister (MR) of Middelenuitgever (MU).

Deze pagina is gebaseerd op de specificaties van BSNk. Deze zijn toegankelijk via Confluence. De processtappen waar een (re)actie verwacht wordt van het Ministerie van BZK moeten nog worden afgestemd.

Tot slot wordt vooralsnog niet voorzien dat organisaties gebruik gaan maken van een eigen activatie HSM. Dit is dan ook buiten beschouwing gelaten van het processchema en deze toelichting.

Gerelateerde documenten

Document Inhoud
BSNk PP technische specificaties De specificaties van de verschillende koppelvlakken.
Proces aansluiten op BSNk Een processchema voor het aansluiten op BSNk voor de rollen Authenticatiedienst, eIDAS-berichtenservice, Machtigingenregister en Middelenuitgever. Er is ook een toelichting op dit processchema beschikbaar.
Voorwaarden (Preproductieomgeving) BSNk De voorwaarden om aan te sluiten op (de preproductieomgeving van) BSNk.
Verwerkersovereenkomst BSNk Machtigingenregister Overeenkomst waarmee een Machtigingenregister gemachtigd wordt om het BSN te bewerken. Deze overeenkomst komt te vervallen na intreding van de Wet Digitale Overheid.
Checklist Testen De testcriteria die Logius aan de aansluiting op BSNk stelt.

De laatste versie van deze pagina

Logius verbetert en verduidelijkt deze pagina met regelmaat. Logius informeert de aan te sluiten en aangesloten organisaties per e-mail bij wijzigingen met een grote impact.

Verbetersuggesties

Logius ontvangt graag uw suggesties om deze pagina te verbeteren. Deze suggesties kunt u sturen naar de aansluitcoördinator van BSNk via bsnkoppelregister@logius.nl.

Toelichting per processtap

Ondertekenen aansluitdocumenten

Input Melden interesse in nieuwe aansluiting
Activiteit

De AD, EB, MR of MU meldt zich bij het Ministerie van BZK met het verzoek aan te willen sluiten op BSNk. Het Ministerie van BZK start de erkenningsprocedure en informeert de AD, EB, MR of MU over de te nemen stappen. Als onderdeel van deze procedure ondertekent een tekenbevoegd persoon namens de AD, EB, MR of MU de aansluit- en bewerkersovereenkomst*.

De secretaris van het Ministerie van BZK zorgt dat de minister deze documenten ook ondertekend, en stuurt daarna een kopie naar het Logius Servicecentrum.

Na ontvangst autoriseert de technisch aansluitcoördinator van BSNk de algemeen- en technisch contactpersoon van de AD, EB, MR of MU voor toegang tot de Confluence omgeving van BSNk. Hier worden de huidige en toekomstige specificaties van BSNk gepubliceerd. Ook deelt de technisch aansluitcoördinator van BSNk de SNO en DAP met de algemeen contactpersoon van de AD, EB, MR of MU.

*) Bewerkersovereenkomst komt te vervallen na intreding Wet Digitale Overheid

Output
  • Aansluitdocumenten ingevuld en ondertekend
  • Autorisaties voor Confluence omgeving BSNk geregeld
  • SNO en DAP gedeeld
Wie?
  • AD, EB, MR of MU
  • BSNk Stelselbeheer
  • Ministerie van BZK

Realiseren aansluiting en (optioneel) inrichten eigen transformatie test-HSM

Input
  • Ontvangst kopie ondertekende aansluitdocumenten bij BSNk Stelselbeheer
  • Autorisaties voor Confluence omgeving BSNk geregeld
  • (Optioneel) Test-HSM in juiste rack geplaatst en benaderbaar vanaf netwerk AD of EB
Activiteit

De AD, EB of MU realiseert de aansluiting van de/het eigen syste(e)m(en) met BSNk conform de koppelvlakspecificaties.

Voor zover niet reeds beschikbaar vraagt de AD, EB, MR of MU (een) PKIo certifica(a)t(en) aan voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten.

Als de AD of EB gebruik mag maken van een eigen transformatie HSM plaatst deze de test-HSM in het juiste rack en maakt deze benaderbaar vanaf het eigen netwerk. Vervolgens wordt deze ingericht door BSNk Sleutelbeheer. Dit gebeurt conform de procesbeschrijvingen SBP-001, 002 en 003.

Output
  • Technische aansluiting met BSNk gerealiseerd
  • PKIo certifica(a)t(en) beschikbaar voor opzetten beveiligde verbinding en ondertekenen berichten
  • (Optioneel) Transformatie test-HSM van AD of EB ingericht
Wie?
  • AD, EB, MR of MU
  • BSNk Sleutelbeheer

Koppelen met preproductieomgeving BSNk

Input
  • Ontvangst kopie ondertekende aansluitdocumenten bij BSNk Stelselbeheer
  • Technische aansluiting met BSNk gerealiseerd
  • PKIo certifica(a)t(en) beschikbaar voor opzetten beveiligde verbinding en ondertekenen berichten
  • (Optioneel) Transformatie test-HSM van AD of EB ingericht
Activiteit

De technisch contactpersoon van de AD, EB, MR of MU stuurt de URL waarop de eigen metadata voor de ketentestomgeving wordt gepubliceerd op naar de technisch aansluitcoördinator van BSNk. Deze metadata is opgezet conform de specificaties van BSNk en bevat de publieke sleutel(s) van de PKIo certifica(a)t(en) welke gebruikt gaan worden voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten, en eventuele affiliations (d.w.z. relaties tussen AD en MU). BSNk Stelselbeheer voegt de URL toe aan de aggregator voor import in de preproductieomgeving van BSNk.

De technisch contactpersoon van de AD, EB, MR of MU stuurt de IP-adressen vanaf waar getest gaat worden op naar de technisch aansluitcoördinator van BSNk. BSNk Stelselbeheer voegt deze IP-adressen toe aan de whitelist voor de relevante omgevingen:

  • EB/MR/MU: Koppeldienst, Inzageregister en Stelselbeheer;
  • AD: Koppeldienst en Stelselbeheer..

BSNk Sleutelbeheer genereert voor de preproductieomgeving van BSNk sleutelmateriaal voor de EB, MR of MU in de sleutelbeheer HSM en importeert deze samen met BSNk Koppeldienst in de transformatie HSM. Als de AD of EB gebruik mag maken van een eigen transformatie HSM wordt het sleutelmateriaal hierop geïmporteerd. De AD,EB, MR of MU voegt de definitieve versie van het sleutelmateriaal toe aan de eigen metadata. BSNk Sleutelbeheer zorgt voor registratie van de verstrekte sleutels. Dit alles gebeurt conform de procesbeschrijving SBP-006 of 008 (deel A en B).

Het Ministerie van BZK bepaalt of persoonsgegevens die ingestuurd worden door de EB of MU bij een activatie geverifieerd moeten worden bij de GBA-V. Als dit niet noodzakelijk is voegt BSNk Koppeldienst het OIN van de EB of MU toe aan de zgn. GBA-V bypass lijst voor de preproductieomgeving van BSNk. Deze activiteit is niet relevant voor een AD of MR.

Output
  • Netwerkmetadata in preproductieomgeving BSNk geïmporteerd
  • IP-adressen toegevoegd aan whitelist voor relevante omgevingen
  • Sleutelmateriaal geïmporteerd in transformatie test-HSM van BSNk of AD of EB
  • Verstrekt sleutelmateriaal geregistreerd
  • (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst
Wie?
  • AD, EB, MR of MU
  • BSNk Koppeldienst
  • BSNk Sleutelbeheer
  • BSNk Stelselbeheer
  • Ministerie van BZK

Testen op preproductieomgeving BSNk

Input
  • Netwerkmetadata in preproductieomgeving BSNk geïmporteerd
  • IP-adressen toegevoegd aan whitelist voor relevante omgevingen
  • Sleutelmateriaal geïmporteerd in transformatie test-HSM van BSNk of AD of EB
  • (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst
Activiteit

De technisch contactpersoon van de AD, EB, MR of MU stemt minimaal 5 werkdagen voorafgaand aan de start de planning van de testen op de preproductieomgeving af met de technisch aansluitcoördinator van BSNk. De technisch aansluitcoördinator van BSNk zorgt dat er gedurende de testperiode op werkdagen tussen 8.00 en 17.00 uur capaciteit beschikbaar is voor eventuele vragen en/of het analyseren van problemen.

De AD, EB, MR of MU voert de testen uit conform de Checklist Testen. BSNk Stelselbeheer beoordeelt de resultaten verkregen van de technisch contactpersoon van de AD, EB, MR of MU.

Als de testen niet succesvol zijn uitgevoerd worden deze opnieuw ingepland.

De algemeen contactpersoon van de AD, EB, MR of MU geeft de technisch aansluitcoördinator van BSNk akkoord op de SNO en stuurt de ingevulde DAP retour.

Output
  • Testrapportage met bewijslast succesvol uitgevoerde testen
  • Akkoord op SNO en ingevulde DAP retour
Wie?
  • AD, EB, MR of MU
  • BSNk Stelselbeheer

Afronden erkenningsprocedure BZK

Input
  • Testrapportage met bewijslast succesvol uitgevoerde testen
  • Transformatie HSM van AD of EB ingericht
Activiteit

Als de AD of EB gebruik mag maken van een eigen transformatie HSM laat deze een onafhankelijk onderzoek uitvoeren. Hierbij moet worden vastgesteld dat de HSM voldoet aan de vereisten zoals voorgeschreven door het Ministerie van BZK. De technisch contactpersoon van de AD of EB levert de conformiteitsverklaring op aan de technisch aansluitcoördinator van BSNk.

De AD, EB, MR of MU rond de erkenningsprocedure van het Ministerie van BZK af. De secretaris van het Ministerie van BZK informeert de technisch aansluitcoördinator van BSNk als de AD, EB, MR of MU formeel is erkend.

Output
  • Onafhankelijke conformiteitsverklaring
  • Notificatie erkenning AD, EB, MR of MU
Wie?
  • AD, EB, MR of MU
  • BSNk Sleutelbeheer
  • Ministerie van BZK

(Optioneel) Inrichten eigen transformatie HSM

Input
  • Notificatie erkenning AD of EB
  • (Optioneel) HSM in juiste rack geplaatst en benaderbaar vanaf netwerk AD of EB
Activiteit Als de AD of EB gebruik mag maken van een eigen transformatie HSM plaatst deze de HSM in het juiste rack en maakt deze benaderbaar vanaf het eigen netwerk. Vervolgens wordt deze ingericht door BSNk Sleutelbeheer. Dit gebeurt conform de procesbeschrijvingen SBP-001, 002 en 003.
Output Transformatie HSM van AD of EB ingericht
Wie?
  • AD of EB
  • BSNk Sleutelbeheer

Koppelen met productieomgeving BSNk

Input
  • Akkoord op SNO en ingevulde DAP retour
  • Notificatie erkenning AD, EB, MR of MU
  • PKIo certifica(a)t(en) beschikbaar voor opzetten beveiligde verbinding en ondertekenen berichten
  • (Optioneel) Transformatie HSM van AD of EB ingericht
  • (Optioneel) Onafhankelijke conformiteitsverklaring
Activiteit

De technisch contactpersoon van de AD, EB, MR of MU stuurt de URL waarop de eigen metadata voor de productieomgeving wordt gepubliceerd op naar de technisch aansluitcoördinator van BSNk. Deze metadata is opgezet conform de specificaties van BSNk en bevat de publieke sleutel(s) van de PKIo certifica(a)t(en) welke gebruikt gaan worden voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten, en eventuele affiliations (d.w.z. relaties tussen AD en MU).

BSNk Stelselbeheer voegt de URL toe aan de aggregator voor import in de productieomgeving van BSNk.

BSNk Sleutelbeheer genereert voor de productieomgeving van BSNk sleutelmateriaal voor de EB, MR of MU in de sleutelbeheer HSM en importeert deze samen met BSNk Koppeldienst in de transformatie HSM. Als de AD of EB gebruik mag maken van een eigen transformatie HSM wordt het sleutelmateriaal hierop geïmporteerd. De AD,EB, MR of MU voegt de definitieve versie van het sleutelmateriaal toe aan de eigen metadata. BSNk Sleutelbeheer zorgt voor registratie van de verstrekte sleutels. Dit alles gebeurt conform de procesbeschrijving SBP-006 of 008 (deel A en B).

Het Ministerie van BZK bepaalt of persoonsgegevens die ingestuurd worden door de EB of MU bij een activatie geverifieerd moeten worden bij de GBA-V. Als dit niet noodzakelijk is voegt BSNk Koppeldienst het OIN van de EB of MU toe aan de zgn. GBA-V bypass lijst voor de productieomgeving van BSNk. Deze activiteit is niet relevant voor een AD of MR.

Output
  • Netwerkmetadata in productieomgeving BSNk geïmporteerd
  • Sleutelmateriaal geïmporteerd in transformatie HSM van BSNk of AD of EB
  • Verstrekt sleutelmateriaal geregistreerd
  • (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst
Wie?
  • AD, EB, MR of MU
  • BSNk Koppeldienst
  • BSNk Sleutelbeheer
  • BSNk Stelselbeheer
  • Ministerie van BZK

Bevestigen aansluiting BSNk

Input
  • Netwerkmetadata in productieomgeving BSNk geïmporteerd
  • Sleutelmateriaal geïmporteerd in transformatie HSM van BSNk of AD of EB
  • (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst
Activiteit

De AD, EB, MR of MU voert een smoketest uit om vast te stellen dat succesvol gekoppeld is met de productieomgeving van BSNk. De algemeen contactpersoon van de AD, EB, MR of MU bevestigt de aansluiting bij het Ministerie van BZK en de technisch aansluitcoördinator van BSNk.

De algemeen contactpersoon van de AD, EB, MR of MU informeert de technisch aansluitcoördinator van BSNk wie geïnformeerd moet worden bij onderhoud of storing van BSNk. BSNk Stelselbeheer zorgt dat deze personen toegevoegd worden aan de contactlijsten voor deze berichten.

Output
  • Notificatie bevestiging aansluiting
  • Betrokkenen toegevoegd aan contactlijsten onderhouds- en storingsberichten
Wie?
  • AD, EB, MR of MU
  • BSNk Stelselbeheer