Zoeken

TVS

ToegangVerleningService

TVS Hoe werkt het? Aanvragen Documentatie en links Veelgestelde vragen

Veelgestelde vragen

Algemeen

TVS maakt het voor overheidsorganisaties en zorginstellingen mogelijk om eenvoudig via erkende inlogmiddelen zoals DigiD, eHerkenning en eIDAS en Machtigen hun digitale dienstverlening te ontsluiten voor ondernemers en burgers.

Deze inlogmiddelen worden beschikbaar gesteld door publieke en private partijen. TVS fungeert als toegangspoort voor dienstverleners. Daardoor is het niet langer nodig dat overheidsorganisaties en zorginstellingen zelf aansluitingen ontwikkelen en beheren voor deze inlogmiddelen. TVS neemt deze zorg uit handen. De overheid is van plan het aantal erkende inlogmiddelen uit te breiden. TVS zal ook die middelen gaan ontsluiten.

U sluit uw webdienst of portaal aan op TVS. Als uw klant gaat inloggen, dan gaat uw klant naar de inlogpagina van TVS. Op basis van de keuze van de klant handelt TVS het inloggen met DigiD, eHerkenning, eIDAS of Machtigen af. Na het afronden van de inlog ontvangt uw webdienst of portaal de identificerende gegevens van uw klant en kan de klant zijn eigen gegevens in uw omgeving gaan benaderen.

  • Eén koppelvlak
  • Eén aanspreekpunt
  • Eén contract
  • Veilig: TVS voldoet aan strenge beveiligingseisen voor veilige digitale gegevensuitwisseling.
  • Robuust: De TVS is gebouwd op een bewezen platform voor Identity en Access management.
  • Flexibel: Nieuwe identificatiemiddelen zijn eenvoudig toe te voegen en te wijzigen.
  • Eén standaard: Ondernemers en burgers ervaren overal dezelfde wijze van toegang tot overheidsdienstverlening.
  • Schaalbaar: De TVS is voorbereid op een toename van intensiever gebruik.
  • Hoge beschikbaarheid: De TVS kent een hoge beschikbaarheid door de dubbele uitvoering van onderliggende infrastructuur.

Publiekrechtelijke organisaties

  • Overheidsinstellingen
  • Uitvoeringsorganisaties

Zorgverleners

  • Ziekenhuizen
  • Huisartsen
  • Tandartsen
  • Fysiotherapeuten
  • Andere zorgverleners die niet onder deze categorieën vallen

Private organisaties met een publieke taak

  • Organisaties met een publieke taak die geen onderdeel zijn van de overheid, maar wel verantwoordelijk zijn voor het uitvoeren van taken die een maatschappelijk belang dienen of een publieke functie hebben.

Overig

  • Software- en ICT leveranciers die namens voornoemde organisaties beheer- en ontwikkelwerkzaamheden verrichten.

TVS is een routeringsdienst, geen authenticatiedienst. U kunt via TVS aangesloten worden op DigiD, maar ook op eHerkenning, Machtigen en eIDAS.

TVS biedt ondersteuning voor de volgende authenticatiediensten:

  • DigiD
  • Machtigen
  • eHerkenning
  • eIDAS

Voor het onderwerp SSO (Single Sign-on) in combinatie met de routeringsdienst TVS lopen op dit moment geen initiatieven. Er is al wel eens onderzoek gedaan naar mogelijke oplossingsmogelijkheden voor dit onderwerp. Dit is nog niet concreet verder opgepakt.

Aanvraagproces

Aanmelden voor TVS is heel eenvoudig en kan online via het aanmeldformulier. We adviseren wel om eerst het stappenplan door te lezen. Dit kunt u hier vinden.

TVS streeft ernaar om het aansluitproces zo soepel mogelijk te laten verlopen, op voorwaarde dat we tijdig de vereiste gegevens ontvangen. De vereiste documenten en bestanden verschillen per type aanvraag. Om de aansluiting tot stand te kunnen brengen hebben we de volgende gegevens nodig:

  1. Een ingevuld aanmeldformulier, ondertekend door een tekenbevoegde van uw organisatie.
  2. Geldige PKIO-certificaten (G1, private root)
  3. Een SAML-metadatabestand met de technische aansluitgegevens op basis van de koppelvlakspecificaties.
  4. Leveranciers die met hun systeem meerdere dienstverleners aansluiten leveren tevens aan:
    1. Het aansluitbestand met gegevens van de dienstverleners en voor het aansluiten op productie een ondertekende akkoordverklaring per dienstverlener. Op de pagina documentatie en links vindt u voorbeeldbestanden hiervoor.

Uw organisatie is een (semi-)overheidsorganisatie, een private organisatie met een publieke taak, of een leverancier van een portaal of webdienst die door (semi-)overheidsorganisaties wordt gebruikt.

Er zijn 2 verschillende manieren van aansluiten

  1. Als ICT-leverancier die een systeem voor één of meerdere dienstverleners aansluit.
    Als u een ICT-leverancier bent van een systeem dat door meerdere dienstverleners gebruik wordt, zoals bijvoorbeeld een SAAS oplossing of een DVZA binnen het MedMij stelsel, kunt u aansluiten met een zogenaamde een clusteraansluiting. U maakt dan gebruik van één aansluiting met TVS waarover u uw klanten eenvoudig toegang tot TVS en de authenticatiediensten kan bieden. Zie verder factsheet .. en de specificatie van het eID koppelvlak van de routeringsdienst met de rol leverancier clusteraansluiting (LC).
  2. Als dienstverlener die een eigen webdienst/portaal aansluit.
    Als u een dienstverlener bent met een eigen website die inlogmiddelen als DigiD of eHerkenning op een eenvoudige wijze beschikbaar wil stellen voor uw bezoekers. dan maakt u gebruik van een directe aansluiting. Indien u gebruik maakt van een ICT-leverancier voor uw website, contacteer deze om de mogelijkheden wat betreft TVS te verkennen.  Zie verder specificatie koppelvlak van de routeringsdienst met de rol dienstverlener (DV).

Bij een aansluiting maken we onderscheid tussen een preproductie- en een productie-aansluiting. Wanneer u zich voor het eerst aanmeldt, wordt u aangesloten op de preproductie-omgeving. Zodra dit proces succesvol is doorlopen, kunt u een aanvraag indienen voor aansluiting op de productie-omgeving.

Het aansluitproces op preproductie ziet er als volgt uit:

  1. U dient een aanvraag in voor aansluiting op de preproductie-omgeving.
  2. TVS bevestigt de aanvraag en controleert deze op correctheid en volledigheid.
  3. U levert de metadata, inclusief certificaten, aan. Leveranciers sturen tevens het aansluitbestand mee.
  4. TVS realiseert de verbinding en verstrekt testaccounts om uw aansluiting te kunnen testen.
  5. U voltooit de aansluiting door de berichtuitwisseling met TVS op te zetten en uitvoerig te testen aan de hand van de checklist testen. Als u aan de gestelde eisen voldoet, kunt u TVS verzoeken de aansluiting te testen.
  6. Na goedkeuring van de test ontvangt u groen licht om een aanvraag in te dienen voor de productie-omgeving.

Het aansluitproces op productie ziet er als volgt uit:

  1. U dient een aanvraag in voor aansluiting op de productie-omgeving, nadat de aansluiting op de preproductie-omgeving is afgerond.
  2. TVS bevestigt de aanvraag en controleert deze op correctheid en volledigheid.
  3. U levert de metadata, inclusief certificaten, aan. Leveranciers sturen tevens het aansluitbestand mee.
  4. TVS realiseert de verbinding en verzoekt u deze te testen.
  5. Na succesvolle afronding van de test is uw aansluiting voltooid en kunt u gebruikmaken van TVS.

Uitgebreide informatie over het aansluitproces kunt u ook vinden in de TVS Factsheet.

Alleen personen die namens uw organisatie tekenbevoegd zijn, mogen een TVS-aanvraag indienen.

De Autorisatielijst BSN bevat de dienstverleners die gerechtigd zijn om het BSN te gebruiken en te verwerken. Deze lijst wordt beschikbaar gesteld en ondertekend door de Beheerorganisatie BSNk. Een dienstverlener komt in aanmerking voor opname op deze lijst als hij minimaal één dienst aanbiedt waarvoor een wettelijke taak geldt waarbij het gebruik van een BSN noodzakelijk is.

Als een dienstverlener via een aansluiting op TVS DigiD wil gebruiken, moet hij vermeld staan op de Autorisatielijst BSN. De ICT-leverancier hoeft niet op deze lijst te staan.

Het aantal aangesloten ICT-leveranciers op TVS verandert. U kunt daarom het beste contact opnemen met uw ICT-leverancier.

Kennis van de gebruikte techniek bij de leverancier heeft veel invloed op de doorlooptijd. Gemiddeld duurt het traject ongeveer drie maanden, maar in sommige gevallen kan het langer duren.

Er is geen sprake van een aanpassing: het is belangrijk dat de tekenbevoegde correct staat geregistreerd bij de KvK. De aanvraag voor aansluiting op TVS moet namelijk worden ondertekend door de tekenbevoegde, en de KvK wordt hiervoor als controle gebruikt.

Ja, voor een PGO-aansluiting geldt een aparte aansluiting op TVS ten opzichte van het patiëntenportaal.

Er dienen twee of meer aansluithouders gebruik te (gaan) maken van de functionaliteit van de leverancier.

ICT-Leveranciers

Een aansluiting via een ICT-leverancier wordt een Clusteraansluiting genoemd. De ICT-leverancier fungeert als tussenpartij tussen TVS en de dienstverleners. Dienstverleners melden zich bij hun ICT-leverancier aan om aangesloten te worden op TVS.

U kunt u aanmelden via het online aanmeldformulier. Kies bij stap 3 voor de optie IT-Leverancier

Voor een clusteraansluiting vragen wij de volgende gegevens:

  •    Een ingevuld aanmeldformulier, ondertekend door een tekenbevoegde van uw organisatie.
  • Geldige PKIO-certificaten op basis van het OIN van de aan te sluiten partij (G1, private root).
  • Een SAML-metadatabestand dat voldoet aan de koppelvlakspecificatie eID SAML 4.4.
  • Een aansluitbestand met de gegevens van de dienstverleners.
  • Een ondertekende akkoordverklaring van elke dienstverlener die u wilt aansluiten.

Het is mogelijk om nieuwe dienstverleners toe te voegen. De gegevens van de nieuwe dienstverleners geeft u door via het aansluitbestand dat u van ons ontvangt na het afronden van de initiële aanvraag. U breidt uw metadata uit met het certificaat van de dienstverlener, en de dienstverlener levert een akkoordverklaring.

Het is mogelijk om de gegevens van dienstverleners aan te passen. Hiervoor maakt u gebruik van het aansluitbestand, waarin u de gewijzigde gegevens van de dienstverleners opgeeft. Ook het metadatabestand past u aan door de af te melden dienstverlener te verwijderen.

Het is mogelijk om een dienstverlener af te melden. Hiervoor maakt u gebruik van het aansluitbestand, waarin u de gegevens van de dienstverlener opgeeft. Ook het metadatabestand past u aan door de af te melden dienstverlener te verwijderen.

Een ICT-leverancier kan zijn applicatie op preproductie aansluiten zonder eerst een dienstverlener te hoeven aansluiten. De ICT-leverancier definieert dan zijn eigen organisatie als testdienstverlener in het aansluitbestand en de metadata (inclusief het bijbehorende certificaat voor encryptie). Op basis van deze gegevens wordt de aansluiting voor de preproductie in TVS en de achterliggende voorzieningen, zoals DigiD en Machtigen, gerealiseerd.

Directe aansluitingen

Bij een directe aansluiting op TVS sluit de dienstverlener zijn systeem direct aan op TVS. Er zijn geen andere dienstverleners die de aansluiting gebruiken zoals bij een Clusteraansluiting van een ICT-leverancier.

U kunt uw organisatie aanmelden via het online aanmeldformulier. Kies bij stap 3 voor een Directe aansluiting dienstverlener.

Voor een directe aansluiting vragen wij om de volgende gegevens:

  • Een ingevuld aanmeldformulier, ondertekend door een tekenbevoegde van uw organisatie.
  • Bij gebruik van DigiD: vermelding op de ALB-Lijst.
  • Geldige PKIO-certificaten.
  • Een SAML-metadatabestand.

Ja, dat is mogelijk door een wijziging in te dienen via het wijzigingsformulier.

Certificaten

Nee. Om de betrouwbaarheid van onze dienstverlening te waarborgen, dient al het dataverkeer met een geldig PKIO-certificaat te worden ondertekend en versleuteld.

Dit is een certificaat dat is uitgegeven binnen de Public Key Infrastructure (PKI) voor de Overheid. Deze certificaten voldoen aan de veiligheidseisen die de Nederlandse overheid stelt. Dit type certificaat is verplicht bij gegevensuitwisseling met overheidsinstanties. Het verzorgt de authenticatie en de encryptie van het dataverkeer tussen uw website en TVS. Meer informatie is te vinden op de website van Logius.

Het is niet mogelijk om gebruik te maken van een self-signed certificaat. Het certificaat moet uitgegeven zijn onder de Private G1 root van PKIoverheid.

PKI-Overheid G1: Een PKI-overheid (Public key infrastructure) certificaat waarin het OIN (Organisatie-identificatienummer) van uw organisatie is opgenomen is vereist. Volgens het beleid van PKIoverheid moet het certificaat zijn uitgegeven onder de Private G1 root van PKIoverheid.

UZI-certificaat: Unieke Zorgverlener Identificatienummer certificaat (enkel te gebruiken door zorgdienstverleners).

 

Let op! : De PKI-Overheid Server CA 2020 root zal vanaf december 2022 niet meer worden voortgezet. Derhalve zullen we certificaten met deze specifieke root per 01-09-2021 niet meer accepteren bij nieuwe aansluitingen of wijzigingen op bestaande aansluitingen en adviseren wij om de G1 root te gebruiken.

Zie ook: Guidance gebruik PKIo certificaten bij routeringsdienst

Ja, het is mogelijk om gebruik te maken van een (bestaand) UZI-certificaat op de productieomgeving.

Voor de preproductieomgeving geldt dat test-UZI-certificaten kunnen worden gebruikt, mits deze zijn gebaseerd op een uniek URA/abonnee-nummer per organisatie. Als u niet in het bezit bent van een uniek URA/abonnee-nummer voor de testomgeving, kunt u deze aanvragen via DICTU TVS. Stuur hiervoor een e-mail naar tvs@dictu.nl.

Deze moet vervangen worden door een nieuw certificaat. Het gebruik van een geldig certificaat is verplicht voor TVS; na verloop van de geldigheid zal de verbinding niet meer actief zijn. TVS ondersteunt certificate-rollover. U kunt uw nieuwe certificaat al vóór het einde van de geldigheid van het huidige certificaat installeren, zodat de overgang ongestoord kan plaatsvinden.

Nee, u dient voor de productie-omgeving nieuwe certificaten aan te vragen. Dit geldt zowel voor de ICT-leverancier als voor de dienstverleners. Het maakt hierbij geen verschil of zij direct of via een ICT-leverancier zijn aangesloten.

Elke aansluithouder heeft een eigen certificaat nodig voor de versleuteling van het BSN. Naast een PKIO-certificaat mag ook een (bestaand) UZI-certificaat worden gebruikt. Hergebruik van UZI-certificaten is mogelijk, maar dat geldt niet voor PKIO-certificaten. Een servercertificaat (UZI) kan echter alleen op meerdere servers worden geïnstalleerd als de servers en het beheer daarvan bij één en dezelfde partij zijn belegd.

Metadata

SAML staat voor Security Assertion Markup Language. Het is een standaard voor communicatie in de IT. In de SAML-metadata wordt beschreven hoe berichten worden uitgewisseld tussen u en TVS. Dit wordt gedaan volgens een bepaalde standaard

De volledige specificaties van de SAML-implementatie van TVS kunt u vinden op onze documentatiepagina.

Bij de controle van de metadata letten wij op de volgende zaken:

  • Het voldoet aan de SAML-standaard en de code bevat geen fouten.
  • In de metadata zijn geldige PKIO-certificaten opgenomen met het OIN van uw eigen organisatie en die van overige aansluitende dienstverleners (in het geval van een clusterleverancier).
  • Alle verplichte attributen moeten opgenomen zijn in uw metadata, zoals die staan vermeld in de koppelvlakspecificatie.
  • De metadata is correct gesigned.

Ontwikkeltools bieden vaak een functie voor het inrichten van een SAML-koppelvlak. Deze functies ondersteunen een basisimplementatie van SAML. Het eID 4.4 SAML-koppelvlak van TVS vereist mogelijk een uitgebreidere toepassing van SAML.

Voor de ontwikkeling van SAML-aansluitingen zijn ook bibliotheken met SAML-basisfuncties beschikbaar. Hiermee kunnen uitgebreidere SAML-modules worden opgebouwd. De bibliotheken variëren per ontwikkelplatform. Op internet en in diverse fora is hierover informatie te vinden.

De entityID is een uniek identificatienummer waarmee alle betrokken partijen worden geïdentificeerd. Meer informatie vindt u op de documentatiepagina.

Het entityID kent de volgende opbouw:

urn:nl-eid-gdi:1.0:XX:00000009999999990000:entities:0000

De onderdelen worden als volgt bepaald:

  • urn:nl-eid-gdi:1.0 is een vast onderdeel
  • :XX is de ROLE:
    • :LC voor het EntityId van de Leverancier.
    • :DV voor het EntityId van de dienstverlener
  • :00000003999999990000 is het OIN
  • :entities is een vast onderdeel
  • :0000 is de Index; hier kan men zijn endpoints definiëren
    • Voor productie een nummer tussen 0000 tot en met 8999
    • Voor preproductie een nummer tussen 9000 tot en met 9999.

Meer informatie over de opbouw van het OIN is te vinden bij Wat is een Organisatie-identificatienummer (OIN)?

Het Organisatie-identificatienummer (OIN) is een uniek nummer dat Logius toekent aan organisaties om zich te identificeren, authentiseren en/of autoriseren bij digitaal berichtenverkeer met de overheid. Het OIN bestaat uit 20 posities. Het OIN heeft de volgende opbouw: <prefix><nummer><suffix>
 

  • Prefix - 00000003 (nr 3 omdat het een KvK-nummer betreft)
  • Nummer - 8 posities
  • Suffix - 0000

Prefix

Voor het nummer maakt Logius voor overheidsorganisaties primair gebruik van het Rechtspersonen en Samenwerkingsverbanden Identificatie Nummer (RSIN) uit het HR. In het geval dat een overheidsorganisatie geen RSIN heeft, kan worden uitgeweken naar alternatieven.
 

00000001

RSIN

Handelsregister (9 posities)

00000003

KvK-nummer

Handelsregister (8 posities)

00000009

UZI Abonnee-nr.

Gereserveerd voor UZI certificaten

Nummer

Afhankelijk van het type certificaat dat gebruikt wordt komt hier het KvK-nummer of het UZI Abonnee-nr. te staanl.

Suffix

De suffix bestaat uit een serie nullen die er voor zorgen dat het OIN in totaal uit 20 posities bestaat. Voor een RSIN nummer bestaat de suffix uit 3 nullen "000", voor het KvK nummer uit 4 nullen "0000".

Meer informatie over OIN kunt u vinden op de website van Logius.

Voorbeelden kunnen worden gevonden op: 

TVS Metadata Preprod: https://pp2.toegang.overheid.nl/saml/metadata/rd
TVS Metadata Prod: https://rd2.toegang.overheid.nl/saml/metadata/rd

Aansluitbestand

Een aansluitbestand bevat de technische en administratieve gegevens van een dienstverlener. Het aansluitbestand is verplicht bij een clusteraansluiting. De leverancier van de clusteraansluiting levert dit bestand aan TVS.

Het aansluitbestand en de bijbehorende handleiding zijn te vinden op de documentatiepagina.

Verstoringen en onderhoud

TVS heeft twee vaste onderhoudsmomenten:

  • Productie: elke donderdag tussen 00:00 en 01:00 uur.
  • Preproductie: elke donderdag tussen 13:00 en 14:00 uur.

Gedurende deze periodes kan het voorkomen dat TVS (kortstondig) niet beschikbaar is.

Indien TVS niet direct benaderbaar is, kunt u het na enkele minuten opnieuw proberen.

In geval van spoedonderhoud of regulier onderhoud op een ander moment, zullen we hiervoor een aparte mededeling versturen via eFlash.

Via de app eFlash communiceren wij onze onderhoudsmomenten en verstoringen. eFlash is beschikbaar in de Apple Appstore (voor IOS) en de Google Playstore (voor Android).

Binnen eFlash kunt aangeven op de hoogte gehouden te worden van de productie en acceptatie/preproductie-omgeving van TVS, naast andere diensten.

Voor meer informatie over de communicatie vanuit de ketenpartners zie " TVS Keten Communicatiekanalen".

Per e-mail is TVS te bereiken op het volgende emailadres: tvs@dictu.nl

Telefonisch zijn wij op werkdagen van 07:00 tot 18:00 te bereiken via de DICTU Servicedesk op telefoonnummer: 088 042 8888. Vermeld hierbij dat het TVS betreft.