nov 17, 2025 | Nieuws
November 18, 2025 | Digitale certificaten, Encryptie, Pseudonimiseren, Software, ZorgTTP
Vandaag – 18 november 2025 – heeft ZorgTTP het digitale certificaat vervangen dat gekoppeld is aan onze Centrale Module TTP (CMT). Dit betreft het certificaat met einddatum 17 mei 2026. Met deze wisseling kan de dienstverlening van ZorgTTP veilig en ongehinderd worden gecontinueerd. Ons streven is om de impact voor u als software gebruiker te minimaliseren. In dit bericht informeren we u over de overstap naar de nieuwe leverancier, de wisseling van certificaten én de impact hiervan voor u als gebruiker van onze software.
Nieuwe aanpak digitale certificaten
In onze software ziet u door het gebruik van certificaten voor welke ontvangende partij uw bestanden versleuteld worden. ZorgTTP maakt voor de ondertekening en versleuteling op dit moment gebruik van certificaten van (voorheen) QuoVadis. Na de overname van QuoVadis heeft DigiCert besloten het QuoVadis-platform uit te faseren. We moeten daarom overstappen naar een andere Certificate Authority (CA) binnen of buiten DigiCert. Daarvoor is een aanpassing van de ZorgTTP software nodig. We hebben dit moment aangegrepen om ons breed te oriënteren op alternatieve CA’s. Uitkomst is de overstap naar een andere leverancier: Keytos. Met het Keytos product EZCA kan ZorgTTP haar gebruikers op efficiënte wijze certificaten laten aanmaken. Hiermee bereiken we een optimale balans tussen veiligheid én gebruiksvriendelijkheid.
Impact voor u als gebruiker van onze Privacy- en Verzendmodule (PVM)
Vervangende certificaten kunnen in gebruik worden genomen zonder dat u als PVM-gebruiker nieuwe software hoeft te installeren. Wél is het zo dat u vanaf vandaag een melding krijgt in de PVM over de introductie van het nieuwe certificaat. U zult het certificaat vanuit de bestaande PVM-module moeten bijwerken. We informeren u als PVM-gebruiker over de te zetten stappen. Onze servicedesk beantwoordt graag uw vragen hieromtrent (030-63 78 708 of servicedesk@zorgttp.nl).
“Ik zie de melding ‘ZorgTTP heeft nieuwe beveiligingscertificaten, zie Instellingen, tabblad Vertrouwde certificaten’. Wat moet ik doen?”
Met behulp van Online TTP Informatie Service (OTIS) kan het nieuwe certificaat in gebruik worden genomen zonder dat u als gebruiker nieuwe software hoeft te installeren. U moet wel een bevestigingscode invoeren. Dit geldt zowel voor gebruik van de GUI als de command line. Vanaf vandaag – 18 november 2025 – is de bevestigingscode op de website van ZorgTTP te vinden. De code moet worden ingevoerd in het tabblad ‘Vertrouwde certificaten’, in het veld ‘Bevestigingscode’, waarna u klikt op ‘Bevestig’. De PVM is na deze actie bijgewerkt en u kunt uw bestanden ongehinderd aanleveren. Neem contact op met onze servicedesk bij vragen omtrent het bijwerken van het certificaat.
“Kan het bijwerken van het certificaat worden uitgesteld?”
Het huidige CMT certificaat is geldig tot 17 mei 2026. U heeft tot dat moment de mogelijkheid om de bevestigingscode in te voeren. Na die datum volgt een foutmelding als de code nog niet is ingegeven en u een bestand probeert te versturen. De bevestigingscode kan op dat moment alsnog worden ingevoerd.
“Waar kan ik de bevestigingscode vinden?”
Vanaf vandaag – 18 november 2025 – is de bevestigingscode op de website van ZorgTTP te vinden.
“Met wie kan ik contact opnemen voor ondersteuning bij het bijwerken van het certificaat?”
Neemt u gerust contact op met onze servicedesk via 030-63 78 708 of servicedesk@zorgttp.nl. Zij helpen u graag verder.
feb 4, 2025 | Nieuws
Arresten van het Hof van Justitie van de Europese Unie (HvJEU) en de EDPB Guidelines
De European Data Protection Board (EDPB) heeft recent de concept guidelines on pseudonymisation (01/2025) gepubliceerd. In dit nieuwsbericht analyseren we eerdere arresten over pseudonimiseren versus anonimiseren en vergelijken we deze met de nieuwe Guideline.
EDPB Guidelines strenger dan het HvJEU?
Bij de analyse van de arresten van het HvJEU en de EDPB guidelines valt op dat de EDPB nog niet meegaat in de concretere (norm)uitleg van anonieme versus pseudonieme gegevens. Het HvJEU deed uitspraak in het Breyer-arrest (C-582/14) en het EDPS vs. SAG/Deloitte-arrest (T-557/20), waarvan het hoger beroep nog loopt. Het HvJEU legt – bij de beoordeling of gepseudonimiseerde gegevens anoniem zijn – de nadruk op de middelen die voor de ontvanger van de gepseudonimiseerde data redelijkerwijs en praktisch beschikbaar zijn om te kunnen herleiden. De Privacy Company gaf reeds een heldere analyse van de afwegingen in dit arrest omtrent gepseudonimiseerde data. De EDPB lijkt echter strengere eisen te stellen en dit creëert een hogere drempel.
De visie van de EDPB
De EDPB stelt dat voor de beoordeling gekeken moet worden naar de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of een andere persoon gebruikt kunnen worden. Zelfs als alle informatie die door de pseudonimiserende verantwoordelijke wordt bewaard is gewist, zijn de gepseudonimiseerde gegevens niet per definitie anoniem. Opvallend is dat de EDPB geen nadruk legt op wettelijke en praktische middelen en de positie van de ontvanger.
Wat betekent dit in de praktijk?
Met de publicatie van nieuwe concept guidelines dreigt de EDPB een onwenselijke situatie te creëren. Het verschil in uitleg door toezichthouders en rechtspraak met betrekking tot het al dan niet anoniem verwerken van gepseudonimiseerde gegevens kan leiden tot rechtsonzekerheid. Is de ontvangen data nu anoniem of niet? Moeten zij voldoen aan de eisen van de Algemene Verordening Gegevensbescherming? Ook ontstaat er onduidelijkheid voor betrokkenen over wanneer en waar zij hun rechten kunnen uitoefenen.
ZorgTTP biedt een oplossing
In de situatie van SAG/Deloitte had, zelfs met de striktere eisen van de guidelines, de onomkeerbare pseudonimisatiedienstverlening van ZorgTTP kunnen zorgen voor een anonieme dataset. ZorgTTP levert onomkeerbare pseudoniemen. De kracht van deze pseudoniemen is dat er geen weg terug is naar de oorspronkelijke input. Door afspraken te maken over het verwijderen van het sleutelmateriaal waarmee het pseudonimisatiedomein is aangemaakt kan de weg terug naar de identificerende gegevens aantoonbaar onmogelijk worden gemaakt.
Het arrest benadrukt overigens de noodzaak voor SAG om terug te kunnen naar de identiteit na het advies van Deloitte voor auditdoeleinden. Dit was echter niet nodig geweest met een goed vastgelegde audittrail. Door de dubbele en onomkeerbare pseudonimisatie door ZorgTTP was identificatie onmogelijk geweest.
De visie van ZorgTTP
ZorgTTP benadrukt dat voorzichtigheid geboden is bij het bestempelen van een dataset als ‘anoniem’. De anonimiteit van een dataset wordt niet alleen bepaald door de kracht van de pseudoniemen. Het is ook zaak om naar de overige verwerkte gegevens te kijken. Juist voor die gegevens is het in de praktijk heel lastig om ze zodanig te verwerken dat ze enerzijds bruikbaar blijven en anderzijds niet herleidbaarheid zijn. Indirecte identificatie van een betrokkene kan dan niet worden uitgesloten. Een pseudoniem maakt de dataset niet automatisch anoniem; dit hangt af van de omstandigheden van het geval.
Heeft u vragen over versleutelen, pseudonimiseren of anonimiseren passend bij uw privacyvraagstuk? Onze adviseurs helpen u graag verder
dec 13, 2024 | Nieuws
Partnership voor synthetische data
“Specifieke antwoorden in plaats van een generiek verhaal”
ZorgTTP en BlueGen.ai gaan intensief samenwerken op het gebied van synthetische data. Hans van Vlaanderen (directeur ZorgTTP) en Iman Alipour (CEO BlueGen.ai) leggen uit wat synthetische data is, waarom ze gaan samenwerken, hoe de samenwerking eruitziet en wat klanten hiervan merken.
Wat is synthetische data?
Bij synthetische data wordt op basis van bestaande gegevens een nieuwe dataset gemaakt. Die ziet er hetzelfde uit, heeft dezelfde statistische eigenschappen, maar bevat geen persoonlijke gegevens. Dat geeft veel klanten de mogelijkheid om veel meer datagedreven te gaan werken. Zonder dat je je druk hoeft te maken over het beschermen van gegevens.
Waarom deze partnership?
Hans: “We zien dat klanten bezig zijn met een aantal nieuwe Privacy Enhancing Technologies (PET’s), waaronder synthetische data. Opdrachtgevers zijn nieuwsgierig en geïnteresseerd in deze nieuwe technieken. Het is onze ambitie klanten de best passende techniek beschikbaar te stellen. Dat is onze gidsrol op het gebied van PET’s. We hebben partners gezocht die een specifieke expertise hebben. Afhankelijk van de vraag van de klant stellen we een gelegenheidscombinatie van partners samen. Op het gebied van synthetische data gaan we een innige samenwerking aan met BlueGen.ai.”
Iman: “Voor ons is het erg waardevol dat ZorgTTP een Trusted Advisor is op het gebied van data en privacy. Ze hebben de marktexpertise en domeinkennis om goed te achterhalen wat het probleem van de klant is. En vinden daar ook de juiste oplossing voor. Wij brengen de expertise van de technologie in. Dat zien wij als de kracht van deze samenwerking.”
Hoe ziet samenwerking eruit?
Hans: “We leggen bij zowel bestaande als potentiële opdrachtgevers een gezamenlijke propositie neer. Concreet betekent dit bijvoorbeeld dat we met meerdere Nederlandse gemeenten in gesprek zijn. We kijken met een vrij brede blik hoe we voor een aantal vraagstukken de privacy op een passende manier kunnen waarborgen. Als we zien dat voor een specifieke informatiestroom het synthetiseren van data een passende maatregel lijkt, dan kloppen we aan bij BlueGen.ai.”
Iman: “Ik denk dat een aantal klanten van ZorgTTP nieuwsgierig is naar deze oplossingen. Ze zijn benieuwd hoe ze synthetische data kunnen toepassen. ZorgTTP en BlueGen.ai kunnen nu samen optrekken om te laten zien wat je ermee kunt doen. We proberen met verschillende use cases tastbaar verhaal neer te zetten.”
Wat hebben klanten eraan?
Hans: “De combinatie ZorgTTP en BlueGen.ai biedt klanten opties om doelen te bereiken. In het proces waarin we van ruwe data een informatieproduct maken, kun je op meerdere plekken een specifieke techniek inzetten. Wij zorgen dat klanten niet voor elke afzonderlijke techniek een partner moeten zoeken. Wij bieden een geïntegreerd model waarmee we gezamenlijk klanten ontzorgen.”
Iman: “Wij hebben al een aantal use cases uitgewerkt zodat we kunnen laten zien wat synthetiseren van data betekent voor de dagelijkse praktijk. Zo maken we de vertaalslag en geven een specifiek antwoord in plaats van een generiek verhaal. Ik denk dat dit de grootste waarde is van deze samenwerking.”
Benieuwd wat deze samenwerking voor jouw organisatie kan betekenen? We komen graag langs met concrete en relevante use cases.
