Brief regering : Vervanging UZI-certificaten
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 629 BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 4 september 2019
Voor goede zorg is het belangrijk dat patiënten en zorgaanbieders op tijd de juiste
informatie (elektronisch) kunnen uitwisselen. Daarbij moeten mensen er wel op kunnen
vertrouwen dat dit veilig gebeurt. Daarvoor kennen we het UZI-certificaat. UZI staat
voor Unieke Zorgverlener Identificatie. UZI-certificaten worden verstrekt door het
CIBG, een uitvoeringsorganisatie van het Ministerie van VWS.
De UZI-certificaten vallen onder de public key infrastructure (PKI) van de Nederlandse
overheid. Dit is een afsprakenstelsel om digitale certificaten uit te geven en te
beheren, met als doel veilig internetverkeer.
Uitvoeringsorganisatie Logius is namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
toezichthouder op het PKIoverheid-stelsel.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties informeerde uw Kamer
eerder dit jaar over het vervangen van PKIoverheid-certificaten.1 De aanleiding voor deze Kamerbrief was dat een deel van de tussen 30 september 2016
en 30 december 2017 uitgegeven certificaten niet voldoen aan een strengere uitleg
van één van de basiseisen die browserpartijen, zoals Apple, Google en Mozilla, stellen.
Onlangs heeft toezichthouder Logius aan twee certificaatverstrekkers, waaronder CIBG,
laten weten dat deze vervanging versneld moet gebeuren. 1 oktober 2019 is de uiterste
datum waarop deze certificaten vervangen moeten zijn. Met deze Kamerbrief informeer
ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
over de aanleiding van de noodzakelijke versnelde vervanging en mijn aanpak hiervan
voor de UZI-certificaten.
Toezichthouder Logius heeft half april een vervangingsplan in werking gesteld om een
deel van de uitgegeven certificaten die niet aan de strengere uitleg van de basiseis
voldeden, te laten vervangen. Het gaat om certificaten die voor het raadplegen van
websites gebruikt worden en daarmee moeten voldoen aan de eisen die browserpartijen
stellen. UZI-certificaten worden alleen gebruikt voor verkeer tussen computers onderling.
Versnelde vervanging van UZI-certificaten viel daarmee niet onder dit plan. De vervanging
van deze certificaten zou via het natuurlijk verstrijken van de uiterste geldigheidsdatum
verlopen. Het laatste UZI-certificaat zou daarmee omstreeks maart 2020 zijn vervangen.
Onlangs hebben browserpartijen, zoals Apple, Google en Mozilla, gevraagd hoe het staat
met het vervangingsplan. Ook hebben zij nu specifiek een vraag gesteld over de UZI-certificaten.
Hoewel deze certificaten niet voor gebruik in internetverkeer zijn uitgegeven, is
het wel mogelijk ze voor internetverkeer te gebruiken. Hiermee moeten ook deze certificaten
volgens de browserpartijen voldoen aan de eisen die de browserpartijen stellen.
Naar aanleiding van de vraag van browserpartijen heeft Logius de UZI-certificaten
nader onderzocht. Hieruit is gebleken dat deze certificaten niet alleen moeten worden
vervangen vanwege de strengere uitleg van één van de basiseisen, maar dat zij ook
op andere onderdelen niet altijd voldoen aan de basiseisen. De veiligheid van het
uitwisselen van (medische) gegevens in de zorg is hierbij niet in het geding geweest.
De toezichthouder heeft naar aanleiding van deze bevindingen besloten dat het natuurlijk
laten verlopen van deze certificaten schadelijk is voor het vertrouwen in het PKIoverheid-stelsel.
Bovendien bestaat het risico dat browserpartijen deze certificaten niet meer accepteren
wanneer ze te lang worden aangehouden. Daarmee zou de elektronische gegevensuitwisseling
worden gehinderd. De betreffende set UZI-certificaten zal daarom alsnog voor 1 oktober
moeten worden vervangen en ingetrokken. Het CIBG is hier in opdracht van de toezichthouder
nu mee aan de slag.
Alle zorgverleners die een certificaat moeten vervangen, hebben hierover eind augustus
een e-mail en een brief ontvangen. Ook zijn de drie koepels van de grootste doelgroepen
(Stichting InEen, LHV, KNMP) op de hoogte gesteld, zodat zij hun achterban kunnen
oproepen de UZI-certificaten te vervangen. Vernieuwing moet voor dinsdag 17 september
aanstaande bij het CIBG worden aangevraagd. Als het vervangende certificaat is uitgegeven,
wordt het oude certificaat na 7 kalenderdagen ingetrokken.
Elektronische gegevensuitwisseling is de afgelopen jaren steeds belangrijker geworden
in de zorg. Ik wil voorkomen dat zorgprocessen vertragen doordat het meer tijd kost
om geverifieerde informatie beschikbaar te krijgen. Daarom ondersteunt het CIBG zorgaanbieders
waar het kan bij tijdige vervanging. Ik zal zelf dit proces de komende weken bewaken.
Ik zal uw Kamer begin oktober weer informeren over de voortgang van de vervanging
van de certificaten.
De Minister voor Medische Zorg,
B.J. Bruins
Indieners
-
Indiener
B.J. Bruins, minister voor Medische Zorg