Aangiften versturen
Voor het verzenden van aangiften is een PKIoverheid services server certificaat vereist (hierna PKI certificaat). Ook het aanvragen van uitstel of het ontvangen van VIA's, SBA's, SBU's en SBT's vereist dit certificaat (voor machtigingsgerelateerde zaken is dan ook een Kvk-nummer in het certificaat dan nodig!). Hetzelfde certificaat is ook nodig als u deponerningen aan de KvK verricht.
Uw verzendcertificaat is een bijzonder certificaat, bedoeld voor de communicatie tussen systemen. Zie hierna voor uitleg over certificaten.
Aanvragen PKI certificaat
Het aanvraagproces van een PKI certificaat is niet opgenomen in Nextens. Dit kunt u eenvoudig doen bij onze partner PKIpartners of bij de één van de drie geaccrediteerde certificatiedienstverleners (Digidenty, KPN of QuoVadis). Deze certificaatleveranciers doen de formele controles die leiden tot uw PKI certificaat. De aanvraagprocessen en serviceniveaus verschillen per dienstverlener, maar het uiteindelijk installeren en activeren van uw certificaat in Nextens gaat eenvoudig in een paar klikken.
U kunt ook voor de volledige begeleiding kiezen van PKIpartners, die zullen als u dat wenst u ook zullen ondersteunen bij de installatie in Nextens. De geldigheid van uw certificaat is maximaal 2 jaar en Nextens zal u tijdig informeren wanneer vernieuwing noodzakelijk gaat worden.
U heeft een nieuw PKI certificaat ontvangen
Als u nieuw/verlenging certificaat heeft aangevraagd bij KPN, dan ontvangt u een PEM bestand. Dit bestand kunt u niet direct uploaden in Nextens. U dient d.m.v het KPN certificaataanvraag assistent programma PEM bestand om te zetten naar PFX bestand.
Lees hier hoe u het PEM bestand kan omzetten naar een PFX bestand.
G3 PKI-certificaat vervangen
Vanaf 01-01-2021 is het niet meer mogelijk om aangiften met de G3 certificaat naar de belastingdienst te versturen. Hiervoor heeft u een G1 certificaat nodig. U ontvangt van KPN een PEM bestand waarmee u de huidige G3 certificaat kunt vervangen met G1 PKI certificaat.
Heeft u een PEM bestand ontvangen van KPN? Kijk dan hier hoe u het PEM bestand om kunt zetten naar PFX bestand. Het PFX bestand kunt u vervolgens in Nextens uploaden.
ESG gestopt met leveringen PKIoverheid certificaten
Sinds juli 2017 levert ESG geen PKI certificaten meer. Als u in het verleden een PKI certificaat bij ESG heeft aangeschaft, zult u een nieuwe leverancier moeten kiezen.
ESG certificaten die geleverd zijn gebruikmakend van PKIpartners zullen automatisch begeleid worden bij deze keuze en het aanvraagproces. Ook als u in het verleden een ESG certificaat heeft aangeschaft, maar niet via PKIpartners, kunt u ook gebruik maken van de diensten van PKIpartners bij de overstap.
Zie ook onze contactpagina voor PKIpartners.
Stappen voor het opnemen van het PKI certificaat in Nextens
Als u een migratie uitvoert vanuit onze desktop software wordt uw PKI certificaat NIET in de migratie meegenomen, aangezien de beveiliging van het PKI certificaat dit niet goed mogelijk maakt. U dient dit PKI certificaat zelf (en het liefste voordat u migreert) met het bijbehorende wachtwoord apart te uploaden in Nextens. De netste manier om het PKI certificaat in Nextens te importeren is de volgende:
1. Ga na op uw computer of het PKI-overheid servcies server certificaat aanwezig is (zoek bijvoorbeeld op .pfx of .p12).
Zoek ook het bijbehorende wachtwoord op.
•Indien u één van beide heeft, ga naar stap 3
•Indien u het PKI certificaat niet kunt vinden, ga naar stap 2
•Het wachtwoord is een persoonlijk wachtwoord, dit is niet bij Reed Business of uw certificaat leverancier bekend.
2. Let op: deze stap alleen doen als u geen PKI certificaat heeft gevonden bij stap 1.
U heeft via uw leverancier het certificaatbestand aangeleverd gekregen. Zoek dit certificaatbestand erbij en voer de handelingen opnieuw uit om het PKI certificaat actief te maken.
•Bij KPN gaat dit via de KPN SBR Certificaataanvraag Assistent, volg hierbij de handleiding die bij het certificaatbestand is verkregen of neem contact op met KPN.
•Bij QuoVadis en Digidentity is een beschrijving meegeleverd, bij Digidentity is de DCMC code het wachtwoord, bij QuoVadis heeft u een wachtwoord aangemaakt in de Trustlink omgeving.
Hierna heeft u een PKI certificaat en kunt u met het bijbehorende wachtwoord beginnen aan stap 3.
•Ga in het instellingenmenu naar Certificaten
•Klik op Upload en selecteer het certificaatbestand (zie hiervóór).
•Vul het wachtwoord in en vink actief aan, daarna klikt u op upload. Het certificaat is dan correct in Nextens geïnstalleerd.
•Dat uw eerdere certificaten nog aanwezig zijn is geen probleem, zolang uw geldige certificaat maar als actief aangemerkt staat.
Exporteren vanuit ECM
Als u het PKI ertificaat heeft opgeslagen in de database van onze desktop software is het mogelijk dit te exporteren vanuit ECM.
•Ga in ECM in het menu Instellingen naar Geavanceerde instellingen, tab Overig.
•Klik hier op de knop "Exporteren certificaten naar Classic bestanden"
Let op!
Als ECM is beveiligd met een wachtwoord, zult u eerst het wachtwoord van ECM moeten opgeven.
Als u gebruik maakt van een database met hoge beveiliging zult u rechten moeten hebben op de documentgroep(en) waarin de de certificaten staan.
Het bestand met de extentie .pfx is het PKI-overheid services servercertificaat. Het geëxporteerde certificaat is beveiligd met wachtwoord. Dit wachtwoord kunt u met een klik op de knop Wachtwoorden tonen bekijken.
Verlengen certificaten
Als u uw certificaat moet verlengen, let dan op de volgende punten:
Begin tijdig aan de procedure. De totale doorlooptijd kan wel tot 6 weken in beslag nemen. Als voormalig ESG klant zult een nieuwe dienstverlener moeten kiezen (PKIpartners, KPN, Digidentity of QuoVadis). Vanaf 2018 zijn nieuw aan te schaffen traditionele (public root) certificaten nog maar 2 jaar geldig. Overweeg daarom de aanschaf van een private root certificaat. Zie hierna.
Certificaat met een ander Kamer van Koophandel nummer
Als u machtigingen hebt lopen voor SBA's e.d. is het van belang dat het handelsregisternummer in het nieuwe certificaat niet anders is dan het vorige, want machtigingen worden vastgelegd op grond van het handelsregisternummer. Officieel zou u al uw klanten moeten afmelden op het oude certificaat (met het nieuwe zou dat ook niet meer kunnen) en weer machtigingen aanvragen op het nieuwe certificaat. Om deze omslachtige procedure te vermijden is er een speciale procedure die u kunt doorlopen.
Dus als het ECHT noodzakelijk is om een ander handelsregisternummer in uw nieuwe certificaat op te nemen, ga dan als volgt te werk:
•Neem voordat u het nieuwe certificaat in gebruik gaat nemen contact op met de Helpdesk Intermediairs van de Belastingdienst.
•Het team Gebruikersondersteuning neemt dan contact met u op en zorgt ervoor dat al uw machtigingsregistraties worden overgezet zonder dat u al uw klanten moet af- of aanmelden (met het gevolg dat al uw klanten weer een brief zouden krijgen).
•Neem hierna contact op met onze Helpdesk, die voor u de machtigingen laat controleren (activeren).
Certificaat zonder Kamer van Koophandel nummer en buitenlandse kwesties
Buitenlandse fiscaal adviseurs kunnen ook een certificaat aanvragen. Meestal zullen zij dan geen Kamer van Koophandel nummer hebben. Met zo'n certificaat kunt u aangiften insturen, maar andere zaken zijn vaak niet mogelijk, zoals SBA's en SBT's. Vanuit het buitenland toeslagen aanvragen is mogelijk, maar zal in het algemeen alleen worden gehonoreerd voor personen die in Nederland wonen. Er zijn enkele partijen die via een convenant met de Belastingdienst ook voor in het buitenland wonende personen (vakantiewerkers) toeslagen kunnen aanvragen. Deze variant vereist meer administratie aan de kant van de convenant partij. Nextens ondersteunt dit niet.
Meer dan één certificaat
U kunt meer dan één certificaat uploaden, maar er kan in Nextens steeds maar één certificaat actief zijn. U hoeft bij wisseling van certificaat dus niet eerst uw oude certificaat te verwijderen, u maakt dit na uploaden van het nieuwe certificaat inactief. Uw certificaat wordt opgeslagen in de database van Nextens.
Verlopen geldigheid
Dreigt de geldigheid van uw PKI certificaat te verlopen, dan waarschuwt Nextens u tijdig.
Voor het verzenden en ontvangen van berichten via Digipoort is een PKI-overheid services servercertificaat nodig. Dit is een system-to-systeem certificaat. Een persoonsgebonden certificaat is niet bruikbaar. Accountants en notarissen hebben vaak een persoonsgebonden certificaat voor het ondertekenen van akten. Zo'n certificaat is niet bruikbaar voor het uitwisselen van berichten met Digipoort.
Public root certificaten, private root certificaten en het verschil ertussen
De naam is verwarrend, maar vanaf 2018 zijn er zogenaamde private root certificaten beschikbaar, die gebruikt kunnen worden voor verzending. Dit zijn geen persoonsgebonden certificaten, maar een bijzondere vorm van system-to-system certificaten, met een langere gebruiksduur.
Omdat de traditionele services servercertificaten bedoeld zijn om websites te beveiligen, hebben de grote webbrowser-fabrikanten (Google, Mozilla, Microsoft) veel invloed op die certificaten. De root-certificaten waarop ze zijn gebaseerd moeten ook bij hen bekend zijn, zodat ze vertrouwd kunnen worden. Dit zijn zogeheten public root certificaten. Geschikt voor beveiliging van een website én voor beveiliging van berichtenverkeer.
Vanaf maart 2018 hebben de webbrowserfabrikanten besloten om die certificaten bij eerste uitgifte nog maar twee jaar geldig te laten zijn; dit in verband met hogere veiligheidseisen. Hierdoor heeft de Nederlandse overheid ervoor gekozen om zogeheten private root certificaten uit te geven. Deze zijn niet bedoeld voor het beveiligen van websites, maar kunnen wel worden gebruikt voor het zogeheten system-to-system berichtenverkeer met de Nederlandse overheid (dus wél voor het uitwisselen van berichten met Digipoort). Dat betekent ook dat de Nederlandse overheid de geldigheidsduur bepaalt van die private root certificaten. En die blijft voorlopig drie jaar. Nextens ondersteunt beide typen certificaten, die qua werking voor het berichtenverkeer hetzelfde zijn.
Per 1 november 2019 zijn de eisen voor de public root certificaten verder aangescherpt. Ze zijn nog maar één jaar geldig.
Meer informatie vindt u bij logius.
