Titel | M2M gegevensuitwisselingen | ||||||||||||||||||||||||
Status |
| ||||||||||||||||||||||||
Stadium |
| ||||||||||||||||||||||||
Versie | 0.0.78 | ||||||||||||||||||||||||
Datum | 18 25 Mei 2023 | ||||||||||||||||||||||||
Auteur | Architectenraad Edu-V | ||||||||||||||||||||||||
Acties | Architectenraad Edu-V:
|
...
Afhankelijk van de eigenschappen van de gegevenssoort dienen Leveranciers de beveiligingslagen in M2M gegevensuitwisselingen toe te passen. Als kader hanteren we de volgende eigenschappen van gegevenssoorten:
Eigenaar: gegevenssoorten kunnen van Regie op gegevensuitwisseling: de regie over het uitwisselen van gegevenssoorten kan liggen bij een onderwijsorganisatie of een leverancier zijn. Hieraan is sterk gerelateerd wie zeggenschap en/of (verwerkers)verantwoordelijk van de gegevens is.
Vertrouwelijkheid: gegevenssoorten kunnen vertrouwelijke of niet vertrouwelijke gegevens bevatten.
Verwerkersovereenkomst: gegevenssoorten van een onderwijsorganisatie vallen al dan niet onder een verwerkersovereenkomst. Hier dient de Leverancier al dan niet over een mandaat te beschikken om de gegevens als Verwerker namens de Onderwijsorganisatie uit te wisselen.
...
Classificatie | I. | II. | III. | IV.Eigenaar |
|---|---|---|---|---|
Regie op gegevens-uitwisseling | Leverancier | Leverancier | Onderwijs-organisatie | Onderwijs-organisatie |
Vertrouwelijkheid | Niet vertrouwelijk | Vertrouwelijk | Niet vertrouwelijk | Vertrouwelijk |
Verwerkers-overeenkomst | N.v.t. | N.v.t. | Nee | Ja |
Voorbeeld | Catalogus-informatie | Normeringen | SchoolVak | Onderwijs-deelnemers en –medewerkers Gebruikers-gegevens |
Beveiligingslagen | 1 t/m 3 | 1 t/m 3 met extra veiligheidseisen | 1 t/m 4 | 1 t/m 5 met extra veiligheidseisen |
...
De Leverancier is na registratie te herkennen binnen het Ecosysteem op basis van het OIN.
| Panel | ||||||
|---|---|---|---|---|---|---|
| Info | ||||||
| ||||||
Werkgroep Beheersing De registratie van Leveranciers wordt in een later stadium nader uitgewerkt als onderdeel van de afspraken over de wijze van toetreden binnen de Werkgroep Beheersing. In een volgende versie zal deze paragraaf naar deze expliciete afspraken verwijzen. |
...
Gegevens die vallen onder de verwerkersverantwoordelijkheid van een Onderwijsbestuur kunnen alleen uitgewisseld worden door Leveranciers die hiertoe zijn gemandateerd door het Onderwijsbestuur.
| Info |
|---|
Hulpmiddel Verwerker en/of Verwerkersverantwoordelijke De Autoriteit Persoonsgegevens heeft een hulpmiddel gepubliceerd om te bepalen of er sprake is van een Verwerker en een Verwerkersverantwoordelijke in het geval dat er persoonsgegevens worden verwerkt. |
Om gegevens van de classificatie IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:
...
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.
0.0.6: De beveiligingslagen zijn herschreven op basis van feedback uit de bijeenkomst van de Architectenraad van 12 mei 2023 en het overleg met de Werkgroep Edukoppeling binnen Edustandaard. Dit heeft geleid tot:
De lagen Activering en Mandatering zijn omgewisseld.
Er zijn vier classificaties van gegevenssoorten toegevoegd.
Het proces van activeren is vereenvoudigd waarbij controle voornamelijk bij de bron (Verzender) plaatsvindt.
PKIoverheid-certificaat is toegevoegd.
De werkgroep Edukoppeling werkt nog aan een nieuwe versie van het REST/SAAS profiel. Dit wordt in een volgende iteratie verwerkt.
0.0.7: De specificatie voor het /wiki/spaces/AFSPRAKENS/pages/9175055 inclusief een mandaatcontrole voor classificatie IV gegevenssoorten is bijgewerkt op basis van de feedback uit de Architectenraad van 12 mei 2023.
0.0.8: In de Architectenraad van 24 mei 2023 is gesproken over de toevoeging van de classificatie van gegevenssoorten.
Het kenmerk Eigenaar is aangepast. Het is niet mogelijk om eigenaar te zijn van een gegeven. Als andere voorstellen zijn verantwoordelijke en zeggenschap genoemd. Deze hebben echter een sterke relatie met de AVG, terwijl de classificatie juist ook gaat over gegevens waar de AVG niet op van toepassing is. Als voorstel is het kenmerk verandert naar Regie op gegevensuitwisseling.
Er is een link toegevoegd naar een hulpmiddel van de Autoriteit Persoonsgegevens om te bepalen of er sprake is van een Verwerkersverantwoordelijke en/of een Verwerker.