5 handvatten om PKIoverheid voor Digipoort en SBR te ontrafelen en 3 veelvoorkomende misvattingen
In de context van deze bedrage ga ik, Ton oosterwijk van PKIpartners, uit van de eis van de Belastingdienst die gesteld heeft dat aangiften IB en VpB vanaf belastingjaar 2012 in het kader van SBR. Digipoort wordt gesteld als de voorziening hiervoor. Digipoort heeft echter meer in zijn mars én in petto.Mogelijk dat u een deel van de informatie kent omdat u bijvoorbeeld door een koepel- of kennisvereniging geïnformeerd bent. Gesprekken van ons met meer dan 300 financieel professionals laten echter zien dat er flinke misverstanden over de materie bestaan. 1. Wat is Digipoort en voor wie is het bedoeld?“Digipoort is een centrale voorziening in de infrastructuur van de e-overheid, waarop overheden en bedrijven kunnen aansluiten om gemakkelijk en betrouwbaar gegevens met elkaar te kunnen uitwisselen”.(1)Digipoort gaat veel verder dan alleen de Belastingdienst. U kunt nu al berichten aanleveren bij onder meer het CBS, Kamer van Koophandel, UWV, Douane, Voedsel- en Warenautoriteit, De Nederlandse Bank en ook voor digitaal factureren naar ongeveer 70 Ministeries en haar dienstverleners en vele lagere overheden.(2) Voor wat betreft financiële gegevens wordt SBR de exclusieve aanlevermethode voor IB en VP vanaf belastingjaar 2012, OB, ICP en jaarrekeningen klein vanaf 2014 en vanaf 2015 ook voor jaarrekeningen middel/groot en statistieken. Nu al kan een aanzienlijk deel via SBR en Digipoort aangeleverd worden.(3)2. Wat voor impact heeft Digipoort en PKIoverheid voor mij als financieel professional? Dat is een afhankelijk van uw rol of bedrijfsactiviteiten. Als een u belastingintermediair of zelfaangever bent, dan heeft u te maken met een deadline: “Vanaf 1 januari 2013 worden de aangiften IB en VpB over het belastingjaar 2012 niet meer via BAPI verstuurd, maar via Digipoort: SBR is dan de exclusieve aanlevermethode voor deze rapportages”.(4)Tegelijkertijd is het in het kader van SBR als aanlevermethode al sinds april 2010 mogelijk om kredietrapportages aan te bieden aan onder andere ABN-AMRO, ING en Rabobank.(5) Dit gaat weliswaar niet via Digipoort maar via het eigen portaal, maar wel weer gebruikmakend van een PKIoverheid certificaat.3. Gaat het allemaal op dezelfde manier?Nee, omdat u gebruik maakt van verschillende softwarepakketten of SAAS leveranciers. Ja, omdat u in veruit de meeste gevallen gebruik dient te maken van het zogenaamde PKIoverheid Services Server certificaat, voor de communicatie naar Digipoort of naar een ander portaal. En het gebruik van een PKIoverheid certificaat zal alleen maar toenemen.4. PKIoverheid, wat maakt zo’n certificaat zo bijzonder dat dit als vereiste voor al die kanalen wordt gesteld?Voor de volledigheid; officieel is het “PKI voor de overheid”, PKIoverheid is de algemene gebruiksterm.“De PKI voor de overheid is een afsprakenstelsel. Dit maakt generiek en grootschalig gebruik mogelijk van de elektronische handtekening, en faciliteert voorts identificatie op afstand en vertrouwelijke communicatie”.(6)Met een PKIoverheid certificaat kunnen data en informatiekanalen worden voorzien van een waarmerk dat uitgegeven is onder de vertrouwensroot “Staat der Nederlanden”.Op persoonniveau kan het gebruik van een certificaat onder die root zelfs een rechtsgeldige elektronische handtekening zijn. Met dezelfde gevolgen als een natte handtekening: “onweerlegbaar en onontkenbaar”. De beroepscertificaten voor RA’s, AA’s en notarissen zijn een voorbeelden hiervan.Het PKIoverheid Services Server voor SBR, Digipoort geeft een zekerheid weer. Namelijk dat de volgende punten werkelijk gecontroleerd zijn:• dat het bedrijf/organisatie werkelijk bestaat, • dat de wettelijke vertegenwoordiger verzocht heeft om levering van het certificaat, • dat de in het certificaat gebruikte domeinnaam en zeggenschap erover aan de organisatie toebehoort,• dat er een beheerder van het certificaat is die in persoon geïdentificeerd is, en• dat de beheerder van het certificaat formeel gemachtigd is door de wettelijk vertegenwoordiger.Er zijn in Nederland vier commerciële certificatiedienstverleners (CSP’s) die gecertificeerd zijn. (7) Zij dragen zorg voor alle controles en leveringen. Sommige van de CSP’s maken gebruik van wederverkopers.####misvatting 1. Ik heb in het begin van dit jaar een certificaat moeten kopen bij KPN, dan ben ik toch klaar voor Digipoort en SBR?Veel van de ondervraagden zijn in de veronderstelling dat zij het juiste certificaat in het bezit hebben terwijl zij het zogenaamde BAPI certificaat bedoelen. Dit is niet juist. Er zal een nieuwe procedure moeten plaatsvinden voor het verkrijgen van een PKIoverheid certificaat. U hebt dus de keuze uit 4 leveranciers.misvatting 2. Ik maak al gebruik van een portaalleverancier om berichten naar Digipoort te sturen, dan is het toch geregeld voor IB en VpB?Ja en Nee.Ja omdat: op het moment als een bedrijf gebruikt maakt van een portaal, dan wordt er in de meeste gevallen gebruik gemaakt van het PKIoverheid certificaat wat op naam en onder controle staat van de portaalleverancier. Alle berichten (ook van alle andere gebruikers van dat portaal) worden met dat ‘verzamelcertificaat’ voorzien van dat centrale waarmerk. Dat kan ook voor IB en VpB.Nee omdat: de Belastingdienst kan door het verzamelcertificaat niet zien door welk uniek bedrijf of gemachtigde intermediair het bericht verstuurd is. U kunt dan geen Service Bericht Aangifte (SBA; opvolger van de elektronische kopie aanslag – EKA) ontvangen.misvatting 3. ik lees overal dat het uiterlijk 1 januari 2013 geregeld moet zijn. Tijd zat dus?U bent niet alleen. 16.000 is het aantal intermediairs en zelfaangevers dat genoemd wordt die een PKIoverheid certificaat moeten aanvragen, aanschaffen en de procedures moeten doorlopen. Een klein deel hiervan is voorzien, maar de bulk moet nog plaatsvinden. En er zijn minder dan 26 weken te gaan. Het advies is daarom om op korte termijn de procedures in gang te zetten.5. Voor welke leverancier moet ik kiezen?Een aantal koepelorganisaties hebben afspraken gemaakt met een CSP. Bij deze afspraken staat de prijs te sterk op de voorgrond. Elke CSP doet wat hij moet doen en doet dat goed. Maar hebben elk eigen procedures en stijlen van dienstverlening.Bijvoorbeeld; een veel gebruikte term is dat u zelf een zogenaamde CSR (Certificate Signing Request) dient te creëren en aan te leveren. Dit vraagt om expertise en nauwkeurigheid van uw kant. Een alternatief is dat de CSP het volledige sleutelmateriaal verzorgt (zogenaamde PKCS#12).Ga bij uw overwegingen niet alleen uit van de prijs, kijk ook naar het geboden serviceniveau, de procedure van aanvraag, registratie, face-to-face controle, installatie en support. Het certificaat is bij alle leveranciers hetzelfde. PKIoverheid is PKIoverheid. In de volgende bijdrage zal ik meer met u delen over de procedures en gebruikte terminologie voor het verkrijgen van een PKIoverheid Services Server certificaat. Bronvermeldingen1 Digipoort 2 e-factureren 3 SBR – Congres Financial Systems, juni 2012: verplichtstelling, consequenties en voordelen4 SBR 5 Rapportageportaal 6 Logius – Progamma van Eisen deel 1 7 CSP’s Ton Oosterwijk is partner bij PKIpartners. PKIpartners is een onafhankelijke consultancy organisatie die bedrijven, overheden en haar dienstverleners helpt met PKIoverheid gerelateerde vraagstukken.