Titel | Verifiëren geldigheid van een verwerkersovereenkomst | |||||||||||||||||||||||
Status |
| |||||||||||||||||||||||
Versie | 0.9.0.1 | |||||||||||||||||||||||
Datum9 December 2023 | 27 Mei 2024 | |||||||||||||||||||||||
Auteur | Architectenraad Edu-V | |||||||||||||||||||||||
Acties | Geen openstaande acties |
...
Indien er geen verwerkersovereenkomst is, dan is het niet wenselijk dat er een gegevensuitwisseling met de leverancier wordt geactiveerd. Door het verifiëren van de geldigheid van een verwerkersovereenkomst kan in een dergelijk geval een applicatiebeheerder die consent aan het verlenen is op dat moment gewaarschuwd worden.
| Status | ||||
|---|---|---|---|---|
|
In Figuur 1 is het conceptueel model voor het verifiëren van de geldigheid van een verwerkersovereenkomst weergegeven.
...
Alle verwerkersovereenkomsten zijn door de Onderwijsorganisatie geregistreerd bij één leverancier die de referentiecomponent Verwerkersregister aanbiedt.
Verwerkersovereenkomsten worden in het Verwerkersregister vastgelegd op het niveau van Onderwijsbestuur en Leverancier. De Leverancier is Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur. De registratie geeft hiermee aan of het Onderwijsbestuur een overeenkomst heeft met een Leverancier.
Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor een overgangssituatie van minimaal 30 dagen waarin zowel de verwerkersovereenkomsten vanuit de nieuwe Onderwijsorganisatie en de oude Onderwijsorganisatie als actief zijn geregistreerd in het verwerkersregister.
Leveranciers die de referentiecomponent Verwerkersregister aanbieden voldoen aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Verifiëren van een verwerkersovereenkomst.
Leverancier is met de referentiecomponent Consentmanagement aangesloten op de door de Onderwijsorganisatie gekozen leverancier met de referentiecomponent Verwerkersregister.
De Onderwijsorganisatie heeft de gegevensuitwisseling vanuit het Verwerkersregister naar de referentiecomponent Consentmanagement van de Leverancier geactiveerd. Op deze wijze kan:
Leverancier controleren of een andere Leverancier een geldige registratie van een verwerkersovereenkomst heeft met het Onderwijsbestuur.
Leverancier periodiek controleren (bijvoorbeeld maandelijks) of een registratie van een verwerkersovereenkomst voor een andere Leverancier nog actief is.
Leverancier bij het ontbreken van een verwerkersovereenkomst de applicatiebeheerder hierover notificeren.
Leverancier bij het aflopen van een verwerkersovereenkomst de applicatiebeheerder hiervoor notificeren.
Leverancier stuurt bijvoorbeeld 60 dagen, 30 dagen, 14 dagen en 3 dagen voordat een verwerkersovereenkomst verloopt een melding naar de applicatiebeheerder(s).
| Status | ||||
|---|---|---|---|---|
|
In Figuur 2 is het sequentiediagram voor het verifiëren van de geldigheid van een verwerkersovereenkomst weergegeven. Het proces start bij de component Consentmanagement van een leverancier. In dit voorbeeld gaat Leverancier A verifiëren of Leverancier B beschikt over een geldige verwerkersovereenkomst.
...
Stap | Toelichting |
|---|---|
De applicatiebeheerder A die bekend is bij leverancier A geeft in de Consent UI van de referentiecomponent Consentmanagement van leverancier A toestemming voor de gegevensuitwisseling met Ontvanger leverancier B voor een specifieke gegevenssoort gegevensdienst en een Onderwijsaanbieder. | |
2. | De referentiecomponent Consentmanagement voert een extra controle uit op Leverancier B en stuurt een verzoek voor de verificatie van de verwerkersovereenkomst naar de Client. |
3. | De Client bevraagt middels het transactiepatroon Bevraging of Leverancier B beschikt over een geldige Verwerkersovereenkomst met het Onderwijsbestuur waaronder Onderwijsaanbieder valt. |
4. | De DPA API van de referentiecomponent Verwerkersregister van Leverancier C verwerkt deze bevraging synchroon en haalt de status van de verwerkersovereenkomst van Onderwijsbestuur met Leverancier B op. |
5. | De status van de verwerkersovereenkomst Actief of Inactief wordt als response op de request uit stap 3 gegeven aan de Client. |
6. | De Client koppelt aan de Consent UI terug wat de status van de verwerkersovereenkomst is. |
7. | Zodra de status inactief is geeft de Consent UI een waarschuwing aan de Applicatiebeheerder dat er geen geldige verwerkersovereenkomst is voor leverancier B met het onderwijsbestuur waaronder onderwijsaanbieder valt. |
...
De interactieanalyse maakt gebruik van de DPA API.
...
Release notes
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Beschrijving is overgenomen uit een eerdere versie van documentatie over Regie op gegevens. Het verifiëren van een verwerkersovereenkomst is een optioneel proces geworden. Ook leidt het ontbreken van een verwerkersovereenkomst niet tot een operationele blokkade maar wordt een waarschuwing gegeven aan de applicatiebeheerder.
0.0.2: De pagina is besproken tijdens de bijeenkomst van de Architectenraad Edu-V en is gereed voor de ROSA-architectuurscan.
0.0.3: Wijzigingsverzoek voor optioneel maken van de uitwisseling van consentgegevens is besproken in de Architectenraad Edu-V en heeft geleid tot een wijziging. Er is duidelijker in de specificatie aangegeven welke onderdelen
,Status colour Green title MUST
enStatus colour Blue title SHOULD
zijn.Status colour Purple title COULD 0.9.0: Het Architectuurkader Edu-V is vastgesteld als startpunt voor de implementatie. Tevens is instemming verleend op verdere doorontwikkeling van het Architectuurkader Edu-V op basis van de Architectuurprincipes. Dit akkoord is verleend op het Bestuurlijk Overleg van 27 mei 2024.
De afspraken m.b.t. Regie op gegevens wordt tijdens de eerste release geïmplementeerd. Na een succesvolle implementatie wordt de uiteindelijke 1.0.0 versie vastgesteld.