...
Wie is verantwoordelijk voor het registreren van mandaten?
Overweging: De Onderwijsinstelling is Verwerkersverantwoordelijke.
Overweging: De praktijk leert dat Verwerkersovereenkomsten onvoldoende worden ingevuld ook na actief versturen van Leveranciers.
Voorstel: De Onderwijsinstelling is verantwoordelijk voor het registreren van mandaten.Op welke wijze worden mandaten gecontroleerd?
Overweging: Een Leverancier die gemandateerd is door een Onderwijsinstelling heeft een verantwoordelijkheid om te controleren of een andere Leverancier ook gemandateerd is voor de Onderwijsinstelling.
Voorstel: Leveranciers controleren periodiek of aangesloten andere Leveranciers nog een actief mandaat hebben van een Onderwijsinstelling. Indien dit niet het geval is dan worden alle uitwisselingen van gegevenssoorten voor de scholen die vallen onder de Onderwijsinstelling gedeactiveerd.Waar worden mandaten geregistreerd?
Overweging: Aangezien de Onderwijsinstelling verantwoordelijk is voor de registratie, is er een voorkeur voor één systeem voor een school.
Overweging: Scholen maken reeds gebruik van OSR voor het mandateren van gegevensuitwisselingen tussen LAS en DUO.
Voorstel: Advies om het OSR te hanteren voor het registreren van mandaten. Leveranciers kunnen bij het OSR, indien ze gemandateerd zijn voor een Onderwijsinstelling, opvragen of een andere Leverancier ook gemandateerd is voor de desbetreffende Onderwijsinstelling.
Laag 5.
...
Activering – Uitwisseling van gegevenssoort voor school
De Leveranciers die optreden als Verzender en Ontvanger zijn beide reeds gemandateerd door de Onderwijsinstelling om gegevens uit te wisselen . Dit is reeds vastgesteld in stap 2. (zie laag 4). Echter dit wil niet zeggen dat voor alle scholen die onder deze verwerkersverantwoordelijke Onderwijsinstellingen vallen ook alle gegevenssoorten uitgewisseld kunnen gaan worden. In het Ecosysteem gaan we uit In deze vijfde laag geven we iedere School de flexibiliteit om de uitwisseling van een gegevenssoort te activeren of deactiveren.
De combinatie van mandaat (laag 4) en activering (laag 5) is een uitwerking van het principe: ‘gegevens worden uitgewisseld na instemming van de rechthebbende’ en meer in het bijzonder ‘De rechthebbende (school of individu) heeft zeggenschap over zijn of haar gegevens’. De implicatie hiervan is dat een rechthebbende expliciet instemming verleent voor het uitwisselen van een gegevenssoort tussen Verzender en Ontvanger.
Voor de activatie van een uitwisseling van een gegevenssoort voor een school zijn de volgende afspraken van belang:
Wie mag de uitwisseling (de)activeren?
Waar wordt de uitwisseling ge(de)activeert?
Op welke manier wordt de
OUD
Niveau | Inhoud | Transactie | Beveiliging |
|---|---|---|---|
Instemming | Informatie van school | Instemming school | Consentregistratie |
Rol | API en Scope | Aansluiting leveranciers | OAuth Client Credentials |
Referentie-component | Entiteiten en Berichten | Gegevensuitwisseling | OAuth Client Credentials flow met Token en Scopes |
Verzender en Ontvanger | Data | Communicatieprotocol | Uniforme Beveiligingsvoorschriften |
...