Procedure voor de herroeping van een ehealth-certificaat VERSIE AUGUSTUS 2012
Inhoud 1. Inleiding...3 2. Hoe een herroeping aanvragen?...3 3. In welke gevallen moet u een certificaat herroepen?...5 4. Wie kan een aanvraag tot herroeping indienen?...5 5. Wat zijn de gevolgen van een herroeping van een certificaat?...5 2
1. Inleiding Het ehealth-certificaat laat u toe om uw informaticasysteem tijdens de verbindingen met beveiligde applicaties te identificeren en te authenticeren. Elke gegevensuitwisseling of elektronische handeling, getekend met het certificaat, valt onder de verantwoordelijkheid van de certificaateigenaar. Elk certificaat bestaat uit twee elementen: een publiek deel en een beveiligd privaat deel. Het is de certificeringsautoriteit die het publieke deel van het paar vercijferingssleutels toekent en certificeert. De eigenaar van het certificaat beschermt daarentegen het private deel van het sleutelpaar aan de hand van een wachtwoord. Elk ehealth-certificaat heeft bovendien zijn eigen vercijferingssleutels. De eigenaar van het certificaat kan dit op elk moment herroepen. Dit laatste zal vanaf dat moment als ongeldig beschouwd worden. 2. Hoe een herroeping aanvragen? Stap 1 : De eigenaar moet het herroepingsformulier dat beschikbaar is op het ehealth-portaal downloaden en invullen: https://www.ehealth.fgov.be/nl/support/basisdiensten/ehealth-certificaten Stap 2 : De eigenaar moet vervolgens de verschillende velden van het formulier invullen: Naam en voornaam van de certificaateigenaar; Type certificaat (als het gaat om een certificaat op naam van een organisatie, is de herroeping alleen toegelaten als de vernieuwing van het bestaande certificaat is aangevraagd); Gebruikersnaam van het certificaat (bijvoorbeeld: CBE= 0123456789); Reden(en) van de herroeping. De herroepingsaanvraag moet getekend worden met behulp van de elektronische identiteitskaart. 3
Stap 3 : De eigenaar moet dit bestand versturen nadat het getekend is met behulp van zijn elektronische identiteitskaart. Om dit te doen, moet hij zijn handtekeningscertificaat selecteren. De PIN-code invoeren van zijn identiteitskaart. De handtekening wordt vervolgens toegevoegd aan het formulier. 4
Het ingevulde en ondertekende formulier moet teruggestuurd worden naar ehealthcertificates@ehealth.fgov.be met als onderwerp Aanvraag tot herroeping van het certificaat met de identifier:. Bv.: Aanvraag tot herroeping van het certificaat met de identifier: CBE =0123456789. Een ontvangstbewijs bevestigt de ontvangst van uw formulier. De herroeping is, in principe, van kracht twee werkdagen na ontvangst van uw formulier. Opmerking voor de organisaties : In geval van herroeping van een certificaat van een organisatie verplicht de certificaateigenaar zich er expliciet toe een nieuw certificaat voor de betrokken organisatie aan te vragen na de herroeping van een certificaat. 3. In welke gevallen moet u een certificaat herroepen? De certificaateigenaar dient zijn certificaat te herroepen wanneer de integriteit van het certificaat of de bijbehorende private sleutel in gevaar is. Bijvoorbeeld, bij verlies, panne of diefstal van de computer, wanneer het wachtwoord kwijt is of bij de niet-toegestane verspreiding van het certificaat of van de bijbehorende private sleutel. 4. Wie kan een aanvraag tot herroeping indienen? De aanvragen tot herroeping kunnen enkel ingediend worden door: dezelfde natuurlijke personen die de certificaataanvraag indienden; de vertegenwoordigers van de organisatie; de veiligheidsconsulenten. 5. Wat zijn de gevolgen van een herroeping van een certificaat? Wanneer een certificaat wordt herroepen, betekent dit dat het certificaat als ongeldig wordt beschouwd. De toegang tot de basisdiensten van het die een verbinding vereisen via het certificaat zal dus niet meer mogelijk zijn (de toegang tot de webapplicaties die een verbinding vereisen via de identiteitskaart blijft wel nog mogelijk). De gebruiker zal bijgevolg bepaalde acties niet meer kunnen uitvoeren of bepaalde functionaliteiten niet langer kunnen gebruiken. 5
Door zijn certificaat te herroepen wordt de publieke vercijferingssleutel van de eigenaar eveneens gedeactiveerd. Dit betekent dus dat personen of organisaties geen vercijferd bericht kunnen versturen naar de eigenaar van het herroepen certificaat zolang die zijn certificaat en zijn vercijferingssleutels niet vernieuwd heeft. Het is dus van groot belang dat de certificaateigenaar die een herroepingsaanvraag indient, zich bewust is van de impact op de continuïteit van zijn dienst. Hij moet zorgen voor de overgang naar een nieuw certificaat. Let op: een certificaat van een organisatie kan alleen herroepen worden als een nieuw certificaat werd aangevraagd voor dezelfde organisatie. 6