Titel | M2M gegevensuitwisselingen | ||||||||||||||||||||||
Status |
| ||||||||||||||||||||||
Stadium |
| ||||||||||||||||||||||
Versie | 0.0.1011 | ||||||||||||||||||||||
Datum | 27 Juni 2023 | ||||||||||||||||||||||
Auteur | Architectenraad Edu-V | ||||||||||||||||||||||
Acties | Geen acties |
...
Beveiligingslaag | Toelichting | Relatie |
|---|---|---|
1. Registratie | Een Leverancier (L) registreert zich bij het Edu-V afsprakenstelsel en wordt Deelnemer (D). | L → D |
2. Aansluiting | Een Deelnemer (D) sluit zich voor een gegevensuitwisseling aan bij een andere Deelnemer en wordt Verzender (DV) of Ontvanger (DO). | D → DV of DO |
3. Uitwisseling | Een Verzender (DV) wisselt gegevens uit met een Ontvanger (DO). De uitwisseling (u) tussen de Verzender en Ontvanger is veilig. | DV <-u-> DO |
4. Activering | Een Applicatiebeheerder van een Onderwijsorganisatie activeert de uitwisseling van een gegevenssoort tussen een Verzender (DV) en Ontvanger (DO) voor een specifieke Onderwijsaanbieder (Oa) binnen een Onderwijsbestuur (Ob). | DV <-u-> DO voor Oa |
5. MandaatVerwerker | Het Onderwijsbestuur (Ob) mandateert verleent als verwerkersverantwoordelijke toestemming aan een Deelnemer voor het verwerken van gegevens. De Deelnemer wordt Deelnemer met Mandaat Verwerkersovereenkomst (DmDvo) voor het desbetreffende Onderwijsbestuur. Indien de gegevenssoort dit vereist, dan hebben zowel Verzender (DmVDvoV) als Ontvanger (DmODvoO) een Mandaat verwerkersovereenkomst voor het uitwisselen van de gegevens namens Onderwijsbestuur (Ob). Bij de Activering door een Applicatiebeheerder wordt het mandaat de registratie van de verwekersoverenekomt voor zowel Verzender als Ontvanger gecontroleerd. | D → Dm voor Ob DmV DvoV <-u-> DmO DvoO voor Oa binnen Ob |
| Info |
|---|
Verzender is de bron, Ontvanger is de afnemer van gegevens Op deze pagina wordt, conform de definities voor Rollen, gesproken over Verzender en Ontvanger. Ter verduidelijk is de Verzender de bron van de gegevens en de Ontvanger de afnemer van de gegevens. |
...
Vertrouwelijkheid: gegevenssoorten kunnen vertrouwelijke of niet vertrouwelijke gegevens bevatten.
Regie op gegevensuitwisseling: de regie over het uitwisselen van gegevenssoorten kan liggen bij een onderwijsorganisatie of een leverancier. Hieraan is sterk gerelateerd wie zeggenschap en/of (verwerkers)verantwoordelijk van de gegevens is.
Verwerkersovereenkomst: gegevenssoorten van een onderwijsorganisatie vallen al dan niet onder een verwerkersovereenkomst. Hier dient de Leverancier al dan niet over een mandaat toestemming te beschikken om de gegevens als Verwerker namens de Onderwijsorganisatie uit te wisselen.
...
Verzender en Ontvanger zijn gemandateerd verwerker door het Onderwijsbestuur (zie laag 4).
Een hiertoe gemachtigde Applicatiebeheerder van de Onderwijsaanbieder activeert de gegevensuitwisseling tussen Verzender en Ontvanger voor een specifieke:
Gegevenssoort (bijvoorbeeld de gegevensoort onderwijsdeelnemers of gebruiksgegevens).
Onderwijsaanbieder binnen het Onderwijsbestuur
De Applicatiebeheerder activeert de gegevensuitwisseling bij de Verzender (de bron) van de gegevenssoort. Hiermee wordt voldaan aan het principe ‘In het Ecosysteem komt data uit de bron’.
De Verzender van de gegevenssoort identificeert en authentiseert de Applicatiebeheerder met een beveiligingsvnieau van substantieel.
Ontvanger heeft de mogelijkheid om:
de activatie automatisch te bevestigen aan Verzender.
aan Verzender terug te geven dat de activatie wordt gecontroleerd (pending) en bijvoorbeeld een additionele controle uit te laten voeren door de Applicatiebeheerder van de Ontvanger. Dit is bijvoorbeeld van toepassing op een gegevenssoort waarbij een hoge integriteit van toepassing is bij de Ontvanger. Na deze additionele controle bevestigt de Ontvanger de activatie aan Verzender.
Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling.
Bij iedere uitwisseling van gegevens van de gegevenssoort van de Onderwijsaanbieder controleren Verzender en Ontvanger of de gegevensuitwisseling geactiveerd is.
Gegevens waarvan de Onderwijsorganisatie eigenaar is kunnen na deze laag veilig tussen Verzender en Ontvanger uitgewisseld worden.
Laag 5.
...
Verwerker – Deelnemer
...
heeft toestemming als Verwerker
Gegevens die vallen onder de verwerkersverantwoordelijkheid van een Onderwijsbestuur kunnen alleen uitgewisseld worden door Leveranciers die hiertoe zijn gemandateerd toestemming hebben gekregen door het Onderwijsbestuur.
...
Verzender en Ontvanger beschikken allebei over een geldige en door het Onderwijsbestuur ondertekende verwerkersovereenkomst.
De mandaten voortkomend uit de verwerkersovereenkomst verwerkersovereenkomsten zijn door de Onderwijsorganisatie geregistreerd bij één Ondersteunende rol Registerhouder met de referentiecomponent MandatenregisterVerwerkersregister.
De door de Onderwijsorganisatie gekozen Registerhouder beschikt over de referentiecomponent Mandatenregister Verwerkersregister en voldoet aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling.
Mandaten Verwerkersovereenkomsten worden in dit Mandatenregister Verwerkersregister gespecificeerd op het niveau van Onderwijsbestuur en Leverancier. De Leverancier is Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur. Het Mandaat De registratie geeft hiermee aan of het Onderwijsbestuur een overeenkomst heeft met Leverancier.
| Info |
|---|
Verschil tussen Mandaat Toestemming als verwerker en Activering Een mandaat is een overeenkomst tussen een Onderwijsbestuur en een Leverancierof consent op gegevensuitwisseling In de verwerkersovereenkomst geeft een Onderwijsbestuur toestemming aan een Leverancier om als verwerker gegevens uit te wisselen. Dit staat niet gelijk aan een activering van een gegevensuitwisseling van een specifieke gegevenssoort voor een Onderwijsaanbieder (zie laag 4). In het mandaat de registratie van de verwerkersovereenkomst hoeft hierdoor ook niet vastgelegd te worden welke gegevenssoorten er uitgewisseld gaan wordengeactiveerd zijn ten behoeve van de onderwijsorganisatie. |
Verzender en Ontvanger zijn met de referentiecomponent Consentmanagement aangesloten op het Mandatenregister Verwerkersregister van de door de Onderwijsorganisatie gekozen Registerhouder
De Onderwijsorganisatie heeft de gegevensuitwisseling vanuit het Mandatenregister Verwerkersregister naar de referentiecomponent Consentmanagement van de Verzender of Ontvanger geactiveerd. Op deze wijze kan bijvoorbeeld:
Verzender controleren of een nieuwe Ontvanger een geldig mandaat een geldige registratie van een verwerkersovereenkomst heeft vanuit het Onderwijsbestuur van de Onderwijsorganisatie.
Bij het intrekken van een mandaat verwerkersovereenkomst door Onderwijsbestuur de Verzender en Ontvanger op de hoogte worden gesteld en alle gegevensuitwisselingen worden gedeactiveerd.
Verzender periodiek controleren of een mandaat voor registratie van een verwerkersovereenkomst voor Ontvanger nog actief is.
Verzender controleert minimaal dagelijks of zijzelf en alle Ontvangers nog beschikken over een geldig mandaatgeldige verwerkersovereenkomst.
Indien een mandaat verwerkersovereenkomst een einddatum heeft dan informeren Verzender en Ontvanger hun Applicatiebeheerder(s) hier tijdig over. Dit stelt de Applicatiebeheerder(s) in staat om het mandaat de verwerkersovereenkomst (indien gewenst) te verlengen.
Verzender en Ontvanger sturen minimaal 60 dagen, 30 dagen, 14 dagen en 3 dagen voordat een mandaat verwerkersovereenkomst verloopt een melding naar de Applicatiebeheerder(s).
Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor het tijdig mandateren verlenen van toestemming aan alle Leveranciers die ook in de nieuwe Onderwijsorganisatie een mandaat verwerkersovereenkomst dienen te hebben.
Onderwijsbestuur is verantwoordelijk voor een overgangssituatie van minimaal 30 dagen waarin zowel de mandaten verwerkersovereenkomsten vanuit de nieuwe Onderwijsorganisatie en de oude Onderwijsorganisatie als actief zijn geregistreerd in het verwerkersregister.
Verzender en Ontvanger zijn verantwoordelijk voor het actualiseren van de mandaten registraties binnen de overgangssituatie zodat gegevensuitwisselingen die geactiveerd zijn blijven werken.
Indien een Onderwijsorganisatie de intentie heeft om een mandaat verwerkersovereenkomst in te trekken, en als gevolg hiervan alle gegevensuitwisselingen te deactiveren dan trekt het Onderwijsbestuur het mandaat de registratie van de verwerkersovereenkomst voor een Leverancier in. Verzender en Ontvanger deactiveren vervolgens alle geactiveerde gegevensuitwisselingen voor de onderliggende Onderwijsaanbieders.
De Onderwijsorganisatie is verantwoordelijk voor een correcte registratie van het Onderwijsbestuur en al haar Onderwijsaanbieders (inclusief identifiers) bij de Registerhouder met de referentiecomponent Scholenregister.
Vertrouwelijke gegevens waarvoor de Onderwijsorganisatie Verwerkersverantwoordelijke is kunnen na deze laag veilig uitgewisseld worden door Deelnemers die een mandaat als verwerker toestemming hebben gekregen van het Onderwijsbestuur.
...
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.
0.0.6: De beveiligingslagen zijn herschreven op basis van feedback uit de bijeenkomst van de Architectenraad van 12 mei 2023 en het overleg met de Werkgroep Edukoppeling binnen Edustandaard. Dit heeft geleid tot:
De lagen Activering en Mandatering zijn omgewisseld.
Er zijn vier classificaties van gegevenssoorten toegevoegd.
Het proces van activeren is vereenvoudigd waarbij controle voornamelijk bij de bron (Verzender) plaatsvindt.
PKIoverheid-certificaat is toegevoegd.
De werkgroep Edukoppeling werkt nog aan een nieuwe versie van het REST/SAAS profiel. Dit wordt in een volgende iteratie verwerkt.
0.0.7: De specificatie voor het /wiki/spaces/AFSPRAKENS/pages/9175055 inclusief een mandaatcontrole voor classificatie IV gegevenssoorten is bijgewerkt op basis van de feedback uit de Architectenraad van 12 mei 2023.
0.0.8: In de Architectenraad van 24 mei 2023 is gesproken over de toevoeging van de classificatie van gegevenssoorten.
Het kenmerk Eigenaar is aangepast. Het is niet mogelijk om eigenaar te zijn van een gegeven. Als andere voorstellen zijn verantwoordelijke en zeggenschap genoemd. Deze hebben echter een sterke relatie met de AVG, terwijl de classificatie juist ook gaat over gegevens waar de AVG niet op van toepassing is. Als voorstel is het kenmerk verandert naar Regie op gegevensuitwisseling.
Er is een link toegevoegd naar een hulpmiddel van de Autoriteit Persoonsgegevens om te bepalen of er sprake is van een Verwerkersverantwoordelijke en/of een Verwerker.
0.09: Uitkomsten uit werkgroep Edukoppeling ten aanzien van het Secure API OAuth profiel gewerkt in laag 3 uitwisseling. In aanvulling hierop is ook een tijdelijke pagina toegevoegd over de beoogde werking van deze profielen. Deze pagina wordt verwijderd zodra de specificatie van de profielen is afgerond door de Werkgroep Edukoppeling. Er zal dan een verwijzing gemaakt worden naar de specificaties bij Edustandaard.
0.0.10: Op basis van de werkgroep Edukoppeling van 27 juni is de verwijzing naar het Secure API OAuth profiel aangepast. De documentatie wordt nog opgeleverd door de werkgroep. De tijdelijke pagina M2M identificatie, authenticatie en autorisatie beschrijft de beoogde werking voor in de proof of concept.
0.0.11: De term mandatenregister is vervangen door verwerkersregister. In de tekst is dit consistent doorgevoerd en wordt gesproken over toestemming die verleend is door het Onderwijsbestuur (Verwerkersverantwoordelijke) aan Leverancier om als verwerker persoonsgegevens te verwerken. Dit wordt geregistreerd in het verwerkersregister van het onderwijsbestuur. De registratie van de verwerkersovereenkomst is opvraagbaar voor Leveranciers. Met deze wijziging is ook de term mandaat vervangen.