Vanaf 12 november 2026 worden UZI-passen uitgegeven onder de G4 hiërarchie. De UZI-passen die vanaf die datum worden uitgegeven bevatten vanwege aangescherpte beveiligingseisen 4096 bits RSA-sleutels. Om deze pas te kunnen gebruiken moet u mogelijk een nieuwe kaartlezer aanschaffen.

Wat is de technische achtergrond van de vereisten?

De nieuwe UZI-passen bevatten vanwege aangescherpte beveiligingseisen 4096 bits RSA-sleutels. Voor 4096 bits RSA-sleutels is ondersteuning van de kaartlezer voor zogenoemde extended APDU’s vereist. Hierdoor moet de kaartlezer PC/SC Compatible zijn, ondersteuning bieden voor extended APDU's en minimaal 60mA leveren. Het gebruik van de huidige UZI-pas sleutellengte (2048 bits RSA) is in de cryptografische standaarden (zoals ETSI TS 119 312) betiteld als Legacy en moet daarom worden uitgefaseerd. 

Hoe weet ik of mijn huidige kaartlezer nog voldoet?

Onderstaande kaartlezers kunt u gebruiken met de nieuwe UZI-passen die vanaf 12 november 2026 door het UZI-register worden uitgegeven:
 

  • HID OMNIKEY 3121 USB (Part No. R31210320 - 01, revision B/2016 and revision D/2019)
    •  Let op: alleen de genoemde 2016 en 2019 revisie versies voldoen. Oudere versies van HID OMNIKEY 3121 USB, zoals in het verleden verstrekt in het kader van de subsidieregeling EPD, voldoen niet.
  • Neowave LinkeoA–Y
  • Neowave Winkeo -A SIM
  • Neowave Winkeo-A / Winkeo-C FIDO2 + QSCD
  • ACS ACR38 (P/N ACR38U-N1)
  • ACS ACR40T (Standard) SIM-sized smart card reader
  • Comitex CCR7115-A smart card reader
  • Gemalto/Thales IDBridge CT30
  • Gemalto IDBridge CT40 smart card reader
  • Gemalto GemPC Twin
  • Thales IDBridge K30 USB secure token
  • Thales IDBridge K50 USB secure token

De technische documentatie vanuit de leverancier is hierbij leidend. In de technische documentatie staat in hoofdstuk 8 van de release documenten beschreven welke eisen er precies gelden en met welke kaartlezer(s) de werking is getest door de leverancier.

Ook vanwege ouderdom en mechanische slijtage van contacten adviseren we om verouderde kaartlezers, zoals verstrekt in het verleden in het kader van de subsidieregeling EPD, te vervangen.

Mijn kaartlezer staat er niet tussen?

Dan voldoet deze hoogstwaarschijnlijk niet en moet u om de nieuwe UZI-pas te kunnen gebruiken een nieuwe kaartlezer aanschaffen. Er zijn verschillende soorten kaartlezers te koop bij reguliere computer(web)winkels. Soms kunt u ook kaartlezers aanschaffen via uw eigen softwareleverancier of ICT-afdeling. Vraag uw ICT-leverancier of systeembeheerder om advies.

Eisen kaartlezer

De kaartlezer moet PC/SC Compatible zijn, ondersteuning bieden voor extended APDU's en minimaal 60mA leveren, anders werkt de pas mogelijk niet. De technische documentatie vanuit de leverancier is hierbij leidend. In de technische documentatie staat in hoofdstuk 8 van het Safesign release document beschreven welke eisen er precies gelden en met welke kaartlezer(s) de werking is getest door de leverancier.

Andere vereisten nieuwe UZI-pas

Controleer bij uw softwareleverancier of de software is getest op de wijzigingen in gebruikte algoritmen en de vergrote sleutellengte op de UZI-pas.

Naast een geschikte kaartlezer moet u ook de laatste versie van de Safesign Software installeren.

Waarom moet ik nog kosten maken als de UZI-pas straks verdwijnt?

Bij de overgang naar De zorgidentiteit, oftewel het Dezi-register is er een duale periode voorzien, waarbij er nog steeds UZI-middelen uitgegeven worden. Voor het Dezi-register is een aanpassing van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg nodig, dit wetgevingstraject is nog lopende. Om gedurende de komende periode nog continuïteit van de bestaande UZI-middelen en ZOVAR-servercertificaten te kunnen bieden, is het noodzakelijk om nog nieuwe CA-hiërarchieën te implementeren. Een aanscherping in de cryptografische beveiligingsvereisten is daarbij noodzakelijk.

Meer informatie

Lees alle informatie over deze wijziging op de volgende pagina: CA Certificaten G4