Wilt u als serviceprovider via het Peppol-netwerk elektronische berichten van uw klanten (de eindgebruikers) gaan uitwisselen? Hiervoor dient u onderstaand stappenplan te doorlopen.
Na het doorlopen van alle stappen heeft u een Peppol Service Provider Agreement (overeenkomst) met de Nederlandse Peppolautoriteit (NPa), een lidmaatschap bij OpenPeppol (stap 5) en een technische aansluiting op het Peppol-netwerk.
Het aangaan van een overeenkomst met de NPa is van toepassing wanneer u in Nederland bent gevestigd en/of hier een hoofdvestiging hebt. Wanneer uw organisatie niet in Nederland is gevestigd of daar niet de hoofdvestiging heeft, gaat u geen overeenkomst aan met de NPa, maar met de Peppol-autoriteit van het land waar u wel bent gevestigd. Als er geen Peppol-autoriteit in dat land is dan moet u een overeenkomst met OpenPeppol aangaan.
Voor uw klanten die buiten Nederland zijn gevestigd moet u mogelijk met een andere Peppol-autoriteit afspraken maken. Net zoals de NPa specifieke eisen heeft, kan dat voor een andere Peppol-autoriteit ook gelden. U moet altijd voldoen aan de specifieke voorwaarden van het land waarin u als serviceprovider wilt optreden.
Informatie over andere Peppol-autoriteiten vindt u op OpenPeppol (Engels).
Indien u via een andere Peppol-autoriteit of direct via OpenPeppol, op basis van een overeenkomst al als Peppol-serviceprovider actief bent, dient u het volgende stappenplan te doorlopen (Engels).
U kunt ervoor kiezen om voor 1, 2 of 3 Peppol-servicedomeinen een contract af te sluiten met de NPa:
Pre-award-procurement-domein;
Post-award-procurement-domein;
Addressing and capability look-up.
Aanmeldingsprocedure
Uw verzoek om als Nederlandse serviceprovider aan te sluiten op het Peppol-netwerk stuurt u naar de NPa.
De NPa beoordeelt of uw aanvraag voor aansluiten als serviceprovider op het Peppol-netwerk in behandeling wordt genomen.
U ontvangt vervolgens per e-mail een contactpersonenformulier (Annex 3). Let op: gebruik dit formulier en niet de Annex 3 van de website van OpenPeppol, omdat de NPa specifieke gegevens heeft toegevoegd.
U stuurt de ingevulde Annex 3 – Contact Points retour en u stuurt een recent gewaarmerkt uittreksel van de Kamer van Koophandel mee (niet ouder dan 3 maanden).
De ingevulde Annex 3 zal in een latere fase (stap 5) onderdeel gaan uitmaken van het contract.
Vanuit de NPa gelden, naast de eisen van OpenPeppol, aanvullende eisen om via het Peppol-netwerk berichten te versturen. Deze aanvullende eisen staan genoemd in dePeppol Authority Specific Requirements (PASR).
ISO 27001-certificaat of een TPM (Third Party Memorandum)
ISO 27001 is de ISO-standaard voor informatiebeveiliging. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS), in het kader van de algemene bedrijfsrisico's voor de organisatie.
De certificerende organisatie moet zijn geaccrediteerd door een International Accreditation Forum (IAF)-lid. Het ISO-certificaat dient (minimaal) de dienstverlening als serviceprovider te omvatten. Tezamen met het ISO-certificaat is ook het Statement of Applicability aan te bieden.
In het geval dat uw organisatie niet ISO 27001-gecertificeerd is, kunt u kiezen voor een assurance report, op te stellen door een derde partij (TPM=Third Party Memorandum). Het report, op te stellen door een geregistreerde en onafhankelijke IT-auditor, moet bevatten dat uw information security als serviceprovider overeenkomt met de ISO 27001-eisen.
Nadat de gevraagde informatie aangeleverd is, beoordeelt de NPa deze documentatie. Indien u voldoet aan de eisen kan het aansluittraject vervolgd worden.
Wanneer de gevraagde documentatie niet voldoet, ontvangt u berichtgeving voorzien van de reden. De gevraagde documentatie moet opnieuw ingediend worden.
U kunt ervoor kiezen om voor 1, 2 of 3 Peppol-servicedomeinen een contract af te sluiten met de NPa:
Pre-award-procurement-domein;
Post-award-procurement-domein;
Addressing and capability look-up.
Indien u de voorgaande stappen juist doorloopt, wordt het contract door u als aansluitende serviceprovider en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) getekend.
U ontvangt via de NPa een contract dat door het ministerie van BZK is ondertekend.
U ondertekent dit contract ook en stuurt het terug naar de NPa (u kunt zelf tekenen of een bevoegd of gevolmachtigd persoon kan dit doen).
In het contract zal uw statutaire naam worden opgenomen. Indien van toepassing met aanvullende vermelding van de handelsnaam (handelend onder de naam) die u gebruikt bij het verlenen van uw serviceprovider-diensten.
Let op: u moet lid zijn van OpenPeppol voordat u als Peppol-serviceprovider uw diensten kunt aanbieden bij eindgebruikers. Het aansluiten als lid van OpenPeppol is een separate stap naast het aansluiten als serviceprovider. Aan een OpenPeppol-lidmaatschap zijn jaarlijkse kosten verbonden.
Op basis van het OpenPeppol-lidmaatschap kunt u starten met het testen van de aansluiting op het OpenPeppol-netwerk. Dit gaat als volgt: bij de servicedesk van OpenPeppol moet u allereerst een PKI-testcertificaat aanvragen. Deze aanvraag moet worden goedgekeurd door de NPa. U dient dit verzoek in via de Peppol Service Desk. OpenPeppol zal daartoe de aanvraag aanbieden bij de NPa. Voor het aansluiten op OpenPeppol is meer informatie te vinden op: https://peppol.org/join/ (Engels) en https://peppol.org/tools-support/guidance/ (Engels)
Wat u nodig hebt om te testen
Een testcertificaat van Peppol;
Een geldig https-certificaat van een standaard vertrouwde Certificate Authority;
Een AS4 Access Point waarop de 2 bovengenoemde certificaten zijn ingesteld*;
Een manier om vanuit uw Access Point rechtstreeks xml-documenten te versturen.
* De tests uitvoeren kan in een uur geregeld zijn, ervan uitgaande dat er al een werkende set-up is. Vooral het opzetten van het Access Point kost tijd, niet het uitvoeren van de tests als deze eenmaal staan.
Wat u niet nodig hebt
U hoeft niet geregistreerd te staan in de SMK; het testbed stuurt rechtstreeks naar uw Access Point.
U hoeft nog geen documenten zelf aan te maken (die krijg u aangeleverd wanneer u bezig bent met het uitvoeren).
Tests die worden uitgevoerd
Bij het testen van uw technische aansluiting op het OpenPeppol wordt nagegaan of:
de kwaliteit van uw https-configuratie voldoende is (dit gaat via SSL Labs, dus als de kwaliteit te laag is, kunt u daar kijken hoe dit opgelost kan worden);
u documenten kunt ontvangen (hier hoeft u niets voor te doen als het werkt);
u documenten kunt verzenden (u krijgt een bestand aangeleverd dat u via uw test access point moet verzenden);
u controleert op geldige certificaten (hiervoor krijgt u verschillende documenten aangeleverd die u moet versturen, waarbij sommige niet aan zouden moeten komen wegens ongeldige certificaten);
u grote bestanden kunt ontvangen (10 megabyte, hiervoor hoeft u niets te doen als het werkt);
u grote bestanden kunt versturen (ook deze krijgt u aangeleverd);
Na het succesvol en positief doorlopen van het test aansluitproces (stap 6) beoordeelt OpenPeppol de testresultaten. Als alles akkoord is zal OpenPeppol de NPa informeren. De NPa controleert vervolgens of er een getekend contract (stap 5) is en zal contact met u opnemen waarna u een PKI-productiecertificaat kunt aanvragen bij OpenPeppol. Dit doet u door een verzoek in te dienen via de OpenPeppol Servicedesk. Met dit productiecertificaat kunt u technisch live gaan en uw diensten als Peppol-serviceprovider aanbieden.
Vanaf het moment dat u een productiecertificaat in gebruik neemt, wordt u als serviceprovider opgenomen op de website van OpenPeppol.
Om te voldoen aan de Service Level Agreement van OpenPeppol is een uptime-garantie nodig. Om deze uptime te monitoren ontvangt de NPa van u de endpoint-URL van de Peppol-service die wordt gehost.
In de Peppol Authority Specific Requirements (PASR) van de NPa uit 2022 staat vermeld dat u gebruik dient te maken van de NPa specifieke reporting procedure. Zoals u in de PASR kunt lezen vervalt deze eis zodra OpenPeppol een generiek reporting mechanisme beschikbaar heeft. Vanaf januari 2024 dient u maandelijks gebruik te maken van het OpenPeppol reporting mechanisme voor het rapporteren van uw eindgebruikers en transacties.
Wilt u ook op de website van de Nederlandse Peppolautoriteit als serviceprovider vermeld staan, dan kunt u een verzoek indienen via operations@peppolautoriteit.nl. De NPa neemt een naamsvermelding met URL (naar een bij voorkeur Peppol-gerelateerde webpagina) en een bedrijfslogo zonder URL op.
Serviceproviders die een aansluiting bieden die rechtstreeks is te koppelen aan elk gewenst ERP- of boekhoudsysteem hebben de mogelijkheid om naast de naamsvermelding een bedrijfslogo (zonder URL) te laten opnemen. U dient hiervoor een verzoek in te dienen bij de NPa.
NPa serviceprovider-community
Serviceproviders die een getekend contract hebben worden door de NPa uitgenodigd voor de NPa serviceprovider-community. Dit is een overleg tussen de NPa en de serviceproviders waar gesproken wordt over de (wijze van) dienstverlening die met behulp van Peppol wordt aangeboden.
De door u aangeboden gegevens worden slechts gebruikt met als doel uw aanvraag in behandeling te nemen. De NPa hanteert, voor zover bij dit proces van toepassing, een privacybeleid voor de verwerking van persoonsgegevens.
