Titel | M2M gegevensuitwisselingen | ||||||||||||||||||||||
Status |
| ||||||||||||||||||||||
Versie | 0.0.4 | ||||||||||||||||||||||
Datum | 15 April 2023 | ||||||||||||||||||||||
Acties |
|
...
De koppelvlakken voldoen aan het REST/SAAS profiel van Edukoppling [1].
De koppelvlakken zijn in staat om de Patronen voor M2M gegevensuitwisselingen te ondersteunen.
Indien de Deelnemer gebruik wil maken van het Patroon Abonneren op notificaties of Orkestreren dan is de Deelnemer in staat om berichten te versturen en ontvangen [3].
Identificatie en authenticatie vindt plaats via het in ontwikkeling zijnde OAuth profiel van Edukoppeling met de volgende additionele afspraken:
Edukoppeling schrijft het gebruik van PKI Overheidscertificaten voor. Als alternatief is het ook mogelijk om:
een CA gesigneerd client certificaat te hanteren
een door Verzender self signed client certificaat te hanteren
Het is niet toegestaan om IP-nummer validatie of filtering toe te passen als identificatie van een Deelnemer.
Edukoppeling heeft expliciete afspraken over routering op basis van het from-to principe bij iedere gegevensuitwisseling. Zo kan een Leverancier achter de voordeur een verzoek achter de voordeur routeren voor en naar de correcte onderwijsinstelling. Binnen Edu-V werken we niet met dit principe.
Bij het aanvragen van een Token hanteren we de volgende additionele afspraken:
Het is mogelijk om een Token aan te vragen voor een specifieke scope.
Het is mogelijk om een Token aan te vragen voor een specifieke School, zodat communicatie plaats kan vinden in een veilige context. Binnen deze veilige context kunnen vervolgens persoonsgegevens uitgewisseld worden. Voor het uitwisselen van deze gegevens zijn de lagen Mandaat en Activering ook van toepassing.
De duur van een Token is maximaal 60 minuten.
Verzender en Ontvanger vragen een Token aan zoals is afhankelijk van de privacygevoeligheid van gegevens. Dit is nader uitgewerkt in M2M Identificatie en authenticatie [2].
Deze uitwerking is gebaseerd op basis van [TE BEPALEN: mTLS of het in ontwikkeling zijnde OAuth profiel van Edukoppeling [1]]:
Verzender en Ontvanger voldoen aan alle technische, operationele en organisatorische eisen die voortkomen uit het kader voor Informatiebeveiliging. In dit kader zijn voorgeschreven:
Certificeringsschema informatiebeveiliging en privacy ROSA
Uniforme Beveiligingsvoorschriften Veilig en Betrouwbaar e-mailverkeer
Uniforme Beveiligingsvoorschriften Security Headers
Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)
...
Verzender en Ontvanger zijn aangesloten op dit Mandatenregister van de door de Onderwijsinstelling gekozen Registerhouder.
Het Onderwijsbestuur heeft de gegevensuitwisseling vanuit dit Mandatenregister naar het consentmanagement van de Verzender of Ontvanger geactiveerd. Op deze wijze kan bijvoorbeeld:
Verzender (of Ontvanger) controleren of een nieuwe Ontvanger (Verzender) een geldig mandaat heeft gekregen vanuit het Onderwijsbestuur.
Bij het intrekken van een mandaat door Onderwijsbestuur de Verzender en Ontvanger op de hoogte worden gesteld en alle gegevensuitwisselingen worden gedeactiveerd.
Verzender (of Ontvanger) periodiek controleren of een mandaat voor Ontvanger (of Verzender) nog actief is.
Verzender en Ontvanger controleren minimaal dagelijks of de wederpartij nog beschikt over een geldig mandaat.
Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Verlenen van mandaten [4].
De door de Onderwijsinstelling gekozen Registerhouder beschikt over de referentiecomponent Mandatenregister en voldoet aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Verlenen van mandaten [4] en /wiki/spaces/AFSPRAKENS/pages/9175055 [5].
Laag 5. Activering – Uitwisseling van gegevenssoort voor school
...
Verzender en Ontvanger zijn gemandateerd door het Onderwijsbestuur (zie laag 4).
Een hiertoe gemachtigde Applicatiebeheerder van de Onderwijsaanbieder activeert de gegevensuitwisseling tussen Verzender en Ontvanger voor een specifieke:
Gegevenssoort (bijvoorbeeld onderwijsdeelnemers of gebruiksgegevens)
Onderwijsaanbieder binnen het Onderwijsbestuur
Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling [5].
Bij iedere uitwisseling van gegevens van de gegevenssoort van de Onderwijsaanbieder controleren Verzender en Ontvanger of de gegevensuitwisseling geactiveerd is.
Onderwijsbestuur is verantwoordelijk voor een correcte registratie van al haar Onderwijsaanbieders (inclusief identifiers) bij de Registerhouder met de referentiecomponent Scholenregister.
...