Titel | M2M gegevensuitwisselingen | ||||||||||||||||||||||
Status |
| ||||||||||||||||||||||
Stadium |
| ||||||||||||||||||||||
Versie | 0.0.89 | ||||||||||||||||||||||
Datum | 25 Mei 7 Juni 2023 | ||||||||||||||||||||||
Auteur | Architectenraad Edu-V | ||||||||||||||||||||||
Acties | Architectenraad Edu-V:
| Geen acties |
In het Ecosysteem worden gegevens uitgewisseld tussen Leveranciers ten behoeve van Onderwijsorganisaties. De gegevensuitwisselingen vinden tussen systemen (M2M) plaats. Deze gegevensuitwisselingen dienen veilig te zijn en kunnen in sommige gevallen alleen plaatsvinden na een mandaat van een Onderwijsbestuur en het activeren van een uitwisseling van een gegevenssoort voor een Onderwijsaanbieder.
...
Om gegevens van de classificatie I, II, III en IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:
De koppelvlakken voldoen aan het REST/SAAS profiel van Edukoppling [1].
De identificatie en authenticatie voldoet aan de afspraken zoals beschreven in M2M identificatie en authenticatie [2].
Verzender en Ontvanger beschikken over een geldig PKIoverheid-certificaat.
De koppelvlakken zijn in staat om de transactiepatronen voor M2M gegevensuitwisselingen te ondersteunen.
Voor de transactiepatronen Abonneren op wijzigingenidentificatie, authenticatie en autorisatie voldoet aan de Edukoppeling profielen die van toepassing zijn op de classificatie van de gegevenssoort. Dit betekent concreet:
Classificatie I: Secure API OAuth Open Data Profiel
Classificatie II: Secure API OAuth Consented Open Data eXchange (CODX) profiel
Classificatie III: Secure API OAuth profiel
Classificatie IV: Secure API OAuth MDX i.c.m. Consented Data eXchange (CDX
| Info |
|---|
Niet van toepassing: Secure API OAuth MDX Het Secure API OAuth MDX profiel wordt niet toegepast binnen Edu-V. Classificatie IV gegevenssoorten worden uitgewisseld na activering door de Onderwijsorganisatie (laag 4) en verificatie van het mandaat bij de activering (laag 5). Op deze wijze is het mandaat geverifieerd en is het niet meer noodzakelijk die te doen bij het aanvragen van een Token op de Autorisatieserver. |
POC Scope
De Werkgroep Edukoppeling werkt aan het uitwerken van de functionele en technische specificatie van de bovenstaande OAuth varianten. Zodra deze specificaties bekend zijn zal er verwezen worden naar deze specificatie.
Om Leveranciers alvast inzicht te geven in de beoogde werking is meer informatie te vinden op de tijdelijke pagina M2M identificatie, authenticatie en autorisatie.
De koppelvlakken zijn in staat om de transactiepatronen voor M2M gegevensuitwisselingen te ondersteunen.
Voor de transactiepatronen Abonneren op wijzigingen middels notificaties en Georkestreerde uitwisseling wordt de hiervoor benodigde berichteninfrastructuur voor het versturen en ontvangen van berichten gerealiseerd.
De koppelvlakken voldoen aan de afspraken over Versiebeheer.
Verzender en Ontvanger voldoen aan alle technische, operationele en organisatorische eisen die voortkomen uit het kader voor Informatiebeveiliging. In dit kader zijn voorgeschreven:
Certificeringsschema informatiebeveiliging en privacy ROSA
Uniforme Beveiligingsvoorschriften Veilig en Betrouwbaar e-mailverkeer
Uniforme Beveiligingsvoorschriften Security Headers
Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)
Om gegevens van de classificatie III en IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende aanvullende beveiligingseisen:
- Nog te bepalen
Na deze laag kunnen Verzender en Ontvanger via een beveiligde verbinding gegevens met elkaar uitwisselen.
...
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveausinclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.
0.0.56: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherptbeveiligingslagen zijn herschreven op basis van feedback uit de bijeenkomst van de Architectenraad van 12 mei 2023 en het overleg met de Werkgroep Edukoppeling binnen Edustandaard. Dit heeft geleid tot:
De lagen Activering en Mandatering zijn omgewisseld.
Er zijn vier classificaties van gegevenssoorten toegevoegd.
Het proces van activeren is vereenvoudigd waarbij controle voornamelijk bij de bron (Verzender) plaatsvindt.
PKIoverheid-certificaat is toegevoegd.
De werkgroep Edukoppeling werkt nog aan een nieuwe versie van het REST/SAAS profiel. Dit wordt in een volgende iteratie verwerkt.
0.0.6: De beveiligingslagen zijn herschreven 7: De specificatie voor het /wiki/spaces/AFSPRAKENS/pages/9175055 inclusief een mandaatcontrole voor classificatie IV gegevenssoorten is bijgewerkt op basis van de feedback uit de bijeenkomst van de Architectenraad van 12 mei 2023.
0.0.8: In de Architectenraad van 12 24 mei 2023 en het overleg met de Werkgroep Edukoppeling binnen Edustandaard. Dit heeft geleid tot:
De lagen Activering en Mandatering zijn omgewisseld.
Er zijn vier classificaties van gegevenssoorten toegevoegd.
Het proces van activeren is vereenvoudigd waarbij controle voornamelijk bij de bron (Verzender) plaatsvindt.
PKIoverheid-certificaat is toegevoegd.
De werkgroep Edukoppeling werkt nog aan een nieuwe versie van het REST/SAAS profiel. Dit wordt in een volgende iteratie verwerkt.
0.0.7: De specificatie voor het /wiki/spaces/AFSPRAKENS/pages/9175055 inclusief een mandaatcontrole voor classificatie IV gegevenssoorten is bijgewerkt op basis van de feedback uit de Architectenraad van 12 mei 2023.
0.0.8: In de Architectenraad van 24 mei 2023 is gesproken over de toevoeging van de classificatie van gegevenssoorten.
Het kenmerk Eigenaar is aangepast. Het is niet mogelijk om eigenaar te zijn van een gegeven. Als andere voorstellen zijn verantwoordelijke en zeggenschap genoemd. Deze hebben echter een sterke relatie met de AVG, terwijl de classificatie juist ook gaat over gegevens waar de AVG niet op van toepassing is. Als voorstel is het kenmerk verandert naar Regie op gegevensuitwisseling.
Er is een link toegevoegd naar een hulpmiddel van de Autoriteit Persoonsgegevens om te bepalen of er sprake is van een Verwerkersverantwoordelijke en/of een VerwerkerHet kenmerk Eigenaar is aangepast. Het is niet mogelijk om eigenaar te zijn van een gegeven. Als andere voorstellen zijn verantwoordelijke en zeggenschap genoemd. Deze hebben echter een sterke relatie met de AVG, terwijl de classificatie juist ook gaat over gegevens waar de AVG niet op van toepassing is. Als voorstel is het kenmerk verandert naar Regie op gegevensuitwisseling.
Er is een link toegevoegd naar een hulpmiddel van de Autoriteit Persoonsgegevens om te bepalen of er sprake is van een Verwerkersverantwoordelijke en/of een Verwerker.
0.09: Uitkomsten uit werkgroep Edukoppeling ten aanzien van het Secure API OAuth profiel gewerkt in laag 3 uitwisseling. In aanvulling hierop is ook een tijdelijke pagina toegevoegd over de beoogde werking van deze profielen. Deze pagina wordt verwijderd zodra de specificatie van de profielen is afgerond door de Werkgroep Edukoppeling. Er zal dan een verwijzing gemaakt worden naar de specificaties bij Edustandaard.
is gesproken over de toevoeging van de classificatie van gegevenssoorten.