Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Titel

Verifiëren geldigheid van een verwerkersovereenkomst

Status

Status
Purple
colourtitleIn ontwikkeling
Status
titleIn ontwikkelingROSA-Architectuurscan
Status
titleBEsluitvorming
Status
colourYellow
titleimplementatie
Status
titlein beheer

Versie

0.9.0.1

Datum9 December 2023

27 Mei 2024

Auteur

Architectenraad Edu-V

Acties

Geen openstaande acties

...

Indien er geen verwerkersovereenkomst is, dan is het niet wenselijk dat er een gegevensuitwisseling met de leverancier wordt geactiveerd. Door het verifiëren van de geldigheid van een verwerkersovereenkomst kan in een dergelijk geval een applicatiebeheerder die consent aan het verlenen is op dat moment gewaarschuwd worden.

Status
colourPurple
titleCOULD
Conceptueel model

In Figuur 1 is het conceptueel model voor het verifiëren van de geldigheid van een verwerkersovereenkomst weergegeven.

...

  1. Alle verwerkersovereenkomsten zijn door de Onderwijsorganisatie geregistreerd bij één leverancier die de referentiecomponent Verwerkersregister aanbiedt.

    1. Verwerkersovereenkomsten worden in het Verwerkersregister vastgelegd op het niveau van Onderwijsbestuur en Leverancier. De Leverancier is Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur. De registratie geeft hiermee aan of het Onderwijsbestuur een overeenkomst heeft met een Leverancier.

    2. Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor een overgangssituatie van minimaal 30 dagen waarin zowel de verwerkersovereenkomsten vanuit de nieuwe Onderwijsorganisatie en de oude Onderwijsorganisatie als actief zijn geregistreerd in het verwerkersregister.

  2. Leveranciers die de referentiecomponent Verwerkersregister aanbieden voldoen aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Verifiëren van een verwerkersovereenkomst.

  3. Leverancier is met de referentiecomponent Consentmanagement aangesloten op de door de Onderwijsorganisatie gekozen leverancier met de referentiecomponent Verwerkersregister.

  4. De Onderwijsorganisatie heeft de gegevensuitwisseling vanuit het Verwerkersregister naar de referentiecomponent Consentmanagement van de Leverancier geactiveerd. Op deze wijze kan:

    1. Leverancier controleren of een andere Leverancier een geldige registratie van een verwerkersovereenkomst heeft met het Onderwijsbestuur.

    2. Leverancier periodiek controleren (bijvoorbeeld maandelijks) of een registratie van een verwerkersovereenkomst voor een andere Leverancier nog actief is.

    3. Leverancier bij het ontbreken van een verwerkersovereenkomst de applicatiebeheerder hierover notificeren.

    4. Leverancier bij het aflopen van een verwerkersovereenkomst de applicatiebeheerder hiervoor notificeren.  

      1. Leverancier stuurt bijvoorbeeld 60 dagen, 30 dagen, 14 dagen en 3 dagen voordat een verwerkersovereenkomst verloopt een melding naar de applicatiebeheerder(s).

Status
colourPurple
titleCOULD
Proces: Interactieanalyse verifiëren geldigheid van een verwerkersovereenkomst

In Figuur 2 is het sequentiediagram voor het verifiëren van de geldigheid van een verwerkersovereenkomst weergegeven. Het proces start bij de component Consentmanagement van een leverancier. In dit voorbeeld gaat Leverancier A verifiëren of Leverancier B beschikt over een geldige verwerkersovereenkomst.

...

Stap

Toelichting

De applicatiebeheerder A die bekend is bij leverancier A geeft in de Consent UI van de referentiecomponent Consentmanagement van leverancier A toestemming voor de gegevensuitwisseling met Ontvanger leverancier B voor een specifieke gegevenssoort gegevensdienst en een Onderwijsaanbieder.

2.

De referentiecomponent Consentmanagement voert een extra controle uit op Leverancier B en stuurt een verzoek voor de verificatie van de verwerkersovereenkomst naar de Client.

3.

De Client bevraagt middels het transactiepatroon Bevraging of Leverancier B beschikt over een geldige Verwerkersovereenkomst met het Onderwijsbestuur waaronder Onderwijsaanbieder valt.

4.

De DPA API van de referentiecomponent Verwerkersregister van Leverancier C verwerkt deze bevraging synchroon en haalt de status van de verwerkersovereenkomst van Onderwijsbestuur met Leverancier B op.

5.

De status van de verwerkersovereenkomst Actief of Inactief wordt als response op de request uit stap 3 gegeven aan de Client.

6.

De Client koppelt aan de Consent UI terug wat de status van de verwerkersovereenkomst is.

7.

Zodra de status inactief is geeft de Consent UI een waarschuwing aan de Applicatiebeheerder dat er geen geldige verwerkersovereenkomst is voor leverancier B met het onderwijsbestuur waaronder onderwijsaanbieder valt.

...

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Beschrijving is overgenomen uit een eerdere versie van documentatie over Regie op gegevens. Het verifiëren van een verwerkersovereenkomst is een optioneel proces geworden. Ook leidt het ontbreken van een verwerkersovereenkomst niet tot een operationele blokkade maar wordt een waarschuwing gegeven aan de applicatiebeheerder.

  • 0.0.2: De pagina is besproken tijdens de bijeenkomst van de Architectenraad Edu-V en is gereed voor de ROSA-architectuurscan.

  • 0.0.3: Wijzigingsverzoek voor optioneel maken van de uitwisseling van consentgegevens is besproken in de Architectenraad Edu-V en heeft geleid tot een wijziging. Er is duidelijker in de specificatie aangegeven welke onderdelen

    Status
    colourGreen
    titleMUST
    ,
    Status
    colourBlue
    titleSHOULD
    en
    Status
    colourPurple
    titleCOULD
    zijn.

  • 0.9.0: Het Architectuurkader Edu-V is vastgesteld als startpunt voor de implementatie. Tevens is instemming verleend op verdere doorontwikkeling van het Architectuurkader Edu-V op basis van de Architectuurprincipes. Dit akkoord is verleend op het Bestuurlijk Overleg van 27 mei 2024.

    • De afspraken m.b.t. Regie op gegevens wordt tijdens de eerste release geïmplementeerd. Na een succesvolle implementatie wordt de uiteindelijke 1.0.0 versie vastgesteld.