Titel | M2M gegevensuitwisselingen |
Status |     
|
Stadium |   
|
Versie | 0.0.5 |
Datum | 20 April 2023 |
Auteur | Architectenraad Edu-V |
Acties | Architectenraad Edu-V: [1] Overleg met werkgroep Edukoppeling over OAuth profiel en REST profiel ten behoeve van M2M identificatie en authenticatie [2] M2M identificatie en authenticatie uitwerken [3] Uitwerken berichteninfrastructuur voor transactiepatronen abonneren op wijzigingen middels notificaties en georkestreerde uitwisseling [4] Verlenen van mandaten functioneel, technisch en operationeel uitwerken. Hierbij wordt ook de levenscyclus van het mandaat uitgewerkt [5] /wiki/spaces/AFSPRAKENS/pages/9175055 functioneel, technisch en operationeel uitwerken
|
In het Edu-V Ecosysteem worden gegevens uitgewisseld tussen Leveranciers ten behoeve van Onderwijsinstellingen. De gegevensuitwisselingen vinden tussen systemen (M2M) plaats. Deze gegevensuitwisselingen dienen veilig te zijn en kunnen in sommige gevallen alleen plaatsvinden na een mandaat van een Onderwijsbestuur en het activeren van een uitwisseling van een gegevenssoort voor een Onderwijsaanbieder.
Vijf beveiligingslagen in M2M gegevensuitwisselingen
In het Edu-V afsprakenstelsel is de beveiliging van M2M gegevensuitwisselingen op vijf lagen georganiseerd.
Beveiligingslaag | Toelichting | Relatie |
|---|
1. Registratie | Een Leverancier (L) registreert zich bij het Edu-V afsprakenstelsel en wordt Deelnemer (D). | L → D |
2. Aansluiting | Een Deelnemer (D) sluit zich voor een gegevensuitwisseling aan bij een andere Deelnemer en wordt Verzender (DV) of Ontvanger (DO). | D → DV of DO |
3. Uitwisseling | Een Verzender (DV) wisselt gegevens uit met een Ontvanger (DO). De uitwisseling (u) tussen de Verzender en Ontvanger is veilig. | DV <-u-> DO |
4. Activering | Een Applicatiebeheerder van een Onderwijsorganisatie activeert de uitwisseling van een gegevenssoort tussen een Verzender (DV) en Ontvanger (DO) voor een specifieke Onderwijsaanbieder (Oa) binnen een Onderwijsbestuur (Ob). | DV <-u-> DO voor Oa |
5. Mandaat | Het Onderwijsbestuur (Ob) mandateert als verwerkersverantwoordelijke een Deelnemer voor het verwerken van gegevens. De Deelnemer wordt Deelnemer met Mandaat (Dm) voor het desbetreffende Onderwijsbestuur. Indien de gegevenssoort dit vereist, dan hebben zowel Verzender (DmV) als Ontvanger (DmO) een Mandaat voor het uitwisselen van de gegevens namens Onderwijsbestuur (Ob). Bij de Activering door een Applicatiebeheerder wordt het mandaat voor zowel Verzender als Ontvanger gecontroleerd. | D → Dm voor Ob DmV <-u-> DmO voor Oa binnen Ob |
Afhankelijk van de eigenschappen van de gegevenssoort dienen Leveranciers de beveiligingslagen in M2M gegevensuitwisselingen toe te passen. Als kader hanteren we de volgende eigenschappen van gegevenssoorten:
Eigenaar: gegevenssoorten kunnen van een onderwijsorganisatie of een leverancier zijn.
Vertrouwelijkheid: gegevenssoorten kunnen vertrouwelijke of niet vertrouwelijke gegevens bevatten.
Verwerkersovereenkomst: gegevenssoorten van een onderwijsorganisatie vallen al dan niet onder een verwerkersovereenkomst. Hier dient de Leverancier al dan niet over een mandaat te beschikken om de gegevens als Verwerker namens de Onderwijsorganisatie uit te wisselen.
Deze eigenschappen hebben geresulteerd in vier classificaties van gegevenssoorten. Deze vier classificaties vragen ieder om een andere toepassing van de beveiligingslagen. De classificatie is uitgewerkt in onderstaand schema.
Classificatie | I. | II. | III. | IV. |
|---|
Eigenaar | Leverancier | Leverancier | Onderwijs-organisatie | Onderwijs-organisatie |
|---|
Vertrouwelijkheid | Niet vertrouwelijk | Vertrouwelijk | Niet vertrouwelijk | Vertrouwelijk |
|---|
Verwerkers-overeenkomst | N.v.t. | N.v.t. | N.v.t. | Ja |
|---|
Voorbeeld | Catalogus-informatie | Normeringen | SchoolVak
SchoolPeriode | Onderwijs-deelnemers en –medewerkers Gebruikers-gegevens |
|---|
Beveiligingslagen | 1 t/m 3 | 1 t/m 3 met extra veiligheidseisen | 1 t/m 4 | 1 t/m 5 met extra veiligheidseisen |
|---|
Laag 1. Registratie – Leveranciers zijn bekend
Alle Leveranciers in het Ecosysteem dienen zich te conformeren aan de afspraken uit het Afsprakenstelsel Edu-V. Op deze manier beheersen we de continuïteit en de veiligheid van het Ecosysteem. Bij de registratie wordt tevens de identiteit van de Leverancier vastgelegd. Op deze manier kan een Leverancier in het Ecosysteem worden geïdentificeerd en kan een Leverancier op een veilige manier deelnemen aan gegevensuitwisselingen en kan een Onderwijsinstelling mandaten verstrekken aan Leveranciers voor het uitwisselen van gegevens.
Onderwijsinstelling als Leverancier Indien Onderwijsinstellingen in-house applicaties hebben ontwikkeld dan kunnen ze als zijnde ‘eigen’ Leverancier deelnemen aan het Ecosysteem. Ze vervullen dan net als alle andere Leveranciers een Business of Ondersteunende rol en kunnen voor de desbetreffende rol en de gekozen referentiecomponenten Deelnemer aan het Afsprakenstelsel Edu-V worden. Ze conformeren zich net als alle Leveranciers die de gekozen Business of Ondersteunende rol vervullen aan de bijbehorende afspraken. Een voorbeeld is bijvoorbeeld een MBO-instelling die de rol van Dashboardaanbieder gaat vervullen en voortgangsgegevens en toetsresultaten combineert in een eigen ontwikkeld Overkoepelend . |
Alvorens een Leverancier gegevens kan gaan uitwisselen in het Ecosysteem, dient een Leverancier te beschikken over:
Organisatie Identificerend Nummer (OIN). Binnen Edu-V hanteren we de richtlijn vanuit Edukoppeling voor het opbouwen van het OIN voor Leveranciers wordt conform de standaard Edukoppeling (Identificatie en authenticatie) het Handelsregisternummer (HRN) gebruikt.
Een geldige registratie bij Edu-V. De volgende informatie is tenminste bij Edu-V bekend:
Organisatie Identificerend Nummer (OIN)
Business of Ondersteunende rollen, referentiecomponenten en koppelvlakken
Endpoints
Contactgegevens
Technische kwalificatie voor de gekozen business of ondersteunende rollen, referentiecomponenten en koppelvlakken.
De Leverancier is na registratie te herkennen binnen het Ecosysteem op basis van het OIN.
De registratie van Leveranciers wordt in een later stadium nader uitgewerkt als onderdeel van de afspraken over de wijze van toetreden binnen de Werkgroep Beheersing. In een volgende versie zal deze paragraaf naar deze expliciete afspraken verwijzen. |
Laag 2. Aansluiting – Deelnemers zijn gekoppeld
Om een gegevensuitwisseling tot stand te brengen tussen Deelnemers dienen de Deelnemers technisch op elkaar aangesloten te zijn. In het Edu-V afsprakenstelsel worden afspraken gemaakt over de specificatie van koppelvlakken voor iedere Business of Ondersteunende rol en referentiecomponent.
Een Deelnemer kan met een andere Deelnemer koppelen vanuit één of meerdere van deze referentiecomponenten. Bilateraal kunnen daarnaast afspraken gemaakt worden welke gegevenssoorten er tussen de Deelnemers uitgewisseld worden.
Deelnemers hebben hun eigen procedure voor het aansluiten van andere Deelnemers. Voor deze procedure gelden de volgende operationele afspraken:
Voorbeeld Als Leermiddelenshop is het mogelijk om adresgegevens van Onderwijsdeelnemers te ontvangen van de Administratiesysteemaanbieder indien de Leermiddelenshop beschikt over de referentiecomponent ‘Distributiefaciliteit voor levering van fysieke leermiddelen’. Zo kan een Leermiddelenshop in de fijndistributie Leermiddelen op thuisadres laten bezorgen. Andere Business en Ondersteunende rollen hebben binnen het Ecosysteem niet de beschikking over de adresgegevens van Onderwijsdeelnemers. |
Deelnemers testen de aansluiting. Deelnemers delen hiervoor de noodzakelijke gegevens met elkaar:
Acceptatieomgeving (endpoints voor testdoeleinden)
Productieomgeving (endpoints)
Technische documentatie
Certificaten (en client credentials) voor M2M identificatie en authenticatie
Deelnemers sluiten optioneel een Service Level Agreement
Deelnemers zijn collegiaal in het aansluiten op elkaar. De hiervoor noodzakelijke gegevens, overeenkomsten en documentatie wordt tijdig verstuurd, behandeld en ondertekend.
De Deelnemers zijn na de aansluiting in staat om gegevens met elkaar uit te gaan wisselen.
Laag 3. Uitwisseling – Iedere uitwisseling is veilig
Iedere gegevensuitwisseling dient plaats te vinden via een beveiligde connectie en vanuit systemen die voldoen aan de eisen voor informatiebeveiliging. Edu-V benut op dit vlak de door Bureau Edustandaard ontwikkelde en beheerde standaard Edukoppeling.
Iedere Verzender of Ontvanger in het Ecosysteem van Edu-V dient te voldoen aan de volgende eisen:
De koppelvlakken voldoen aan het REST/SAAS profiel van Edukoppling [1].
De koppelvlakken zijn in staat om de transactiepatronen voor M2M gegevensuitwisselingen te ondersteunen.
De koppelvlakken voldoen aan de afspraken over Versiebeheer.
Identificatie en authenticatie is afhankelijk van de privacygevoeligheid van gegevens. Dit is nader uitgewerkt in M2M Identificatie en authenticatie [2].
Verzender en Ontvanger beschikken beiden over een geldig PKI Overheidscertificaat.
Voor M2M gegevensuitwisselingen met vertrouwelijke gegevens hanteren Verzender en Ontvanger:
Voor M2M gegevensuitwisselingen zonder vertrouwelijke gegevens hanteren Verzender en Ontvanger:
noteDe Architectenraad Edu-V is in overleg met de werkgroep Edukoppeling van Edustandaard over de invulling van de profielen voor identificatie en authenticatie. Hierbij wordt een afweging gemaakt van:
Ter informatie wordt gekeken naar het in ontwikkeling zijnde OAuth profiel (client credentials flow) en het REST/SAAS profiel (mTLS).
De Architectenraad Edu-V is in overleg met de werkgroep Edukoppeling van Edustandaard over de invulling van de profielen voor identificatie en authenticatie. Hierbij wordt een afweging gemaakt van:
Ter informatie wordt gekeken naar het in ontwikkeling zijnde OAuth profiel (client credentials flow) en het REST/SAAS profiel (mTLS).
Verzender en Ontvanger zijn allebei in staat om gegevens veilig met elkaar uit te wisselen. Gegevens waarover Verzender zeggenschap heeft kunnen na deze laag veilig met elkaar uitgewisseld worden.
Laag 4. Activering – Uitwisseling gegevenssoort voor Onderwijsaanbieder
De Leveranciers die optreden als Verzender en Ontvanger zijn beide reeds gemandateerd door het Onderwijsbestuur om gegevens uit te wisselen (zie laag 4) voor de Onderwijsorganisatie. Echter dit wil niet zeggen dat voor alle Onderwijsaanbieders die onder dit Onderwijsbestuur vallen ook alle gegevenssoorten uitgewisseld kunnen gaan worden. In deze vijfde laag geven we iedere Onderwijsaanbieder de flexibiliteit om de uitwisseling van een gegevenssoort te activeren of deactiveren.
De combinatie van mandaat (laag 4) en activering (laag 5) is een uitwerking van het principe: ‘gegevens worden uitgewisseld na instemming van de rechthebbende’ en meer in het bijzonder ‘De Onderwijsinstelling heeft zeggenschap over zijn of haar gegevens van en over onderwijsdeelnemers en -medewerkers’.
Indien er gegevens worden uitgewisseld waar een Onderwijsorganisatie zeggenschap over heeft dan voldoen Verzender en Ontvanger aan de volgende additionele eisen:
Verzender en Ontvanger zijn gemandateerd door het Onderwijsbestuur (zie laag 4).
Een hiertoe gemachtigde Applicatiebeheerder van de Onderwijsaanbieder activeert de gegevensuitwisseling tussen Verzender en Ontvanger voor een specifieke:
De Applicatiebeheerder activeert de gegevensuitwisseling bij de Verzender van de gegevenssoort.
Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling [5].
Bij iedere uitwisseling van gegevens van de gegevenssoort van de Onderwijsaanbieder controleren Verzender en Ontvanger of de gegevensuitwisseling geactiveerd is.
De Onderwijsorganisatie is verantwoordelijk voor een correcte registratie van het Onderwijsbestuur en al haar Onderwijsaanbieders (inclusief identifiers) bij de Registerhouder met de referentiecomponent Scholenregister.
Gegevens waarover Onderwijsorganisatie zeggenschap heeft kunnen na deze laag veilig tussen Verzender en Ontvanger uitgewisseld worden.
Laag 5. Mandaat – Deelnemer is gemandateerd als Verwerker
De gegevens die uitgewisseld worden zijn van de Onderwijsorganisatie of van een Leverancier. Zo vallen gegevens over gebruikersgegevens (onderwijsdeelnemers of onderwijsmedewerkers) en gebruiksgegevens (onder meer gebruiksgegevens over leermiddelen, voortgangsgegevens over leermaterialen en toetsresultaten over toetsen) onder de verwerkersverantwoordelijkheid van het Onderwijsbestuur. Een uitwisseling van deze gegevenssoorten kan alleen plaats vinden nadat het Onderwijsbestuur de Leverancier heeft gemandateerd. Voor het uitwisselen van gegevens van een Leverancier, zoals bijvoorbeeld catalogusinformatie, is dit mandaat niet noodzakelijk.
Indien er gegevens worden uitgewisseld waar een Onderwijsorganisatie zeggenschap over heeft dan voldoen Verzender en Ontvanger aan de volgende additionele eisen:
Verzender en Ontvanger beschikken allebei over een geldige en door het Onderwijsbestuur getekende verwerkersovereenkomst.
De mandaten voortkomend uit de verwerkersovereenkomst zijn door de Onderwijsorganisatie geregistreerd bij één Ondersteunende rol Registerhouder met de referentiecomponent Mandatenregister.
De door de Onderwijsinstelling gekozen Registerhouder beschikt over de referentiecomponent Mandatenregister en voldoet aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Verlenen van mandaten [4] en Activeren en deactiveren van een gegevensuitwisseling [5].
Mandaten worden in dit Mandatenregister gespecificeerd op het niveau van Onderwijsbestuur en Leverancier. De Leverancier is Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur.
Verschil tussen Mandaat en Activering Een mandaat is een overeenkomst tussen een Onderwijsbestuur en een Leverancier. Dit staat niet gelijk aan een activering van een gegevensuitwisseling van een specifieke gegevenssoort voor een Onderwijsaanbieder (zie laag 5). In het mandaat hoeft hierdoor ook niet vastgelegd te worden welke gegevenssoorten er uitgewisseld gaan worden. |
Verzender en Ontvanger zijn met de referentiecomponent Consentmanagement aangesloten op het Mandatenregister van de door de Onderwijsorganisatie gekozen Registerhouder
Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Verlenen van mandaten [4].
De Onderwijsorganisatie heeft de gegevensuitwisseling vanuit het Mandatenregister naar de referentiecomponent Consentmanagement van de Verzender of Ontvanger geactiveerd. Op deze wijze kan bijvoorbeeld:
Verzender (of Ontvanger) controleren of een nieuwe Ontvanger (Verzender) een geldig mandaat heeft gekregen vanuit het Onderwijsbestuur van de Onderwijsorganisatie.
Bij het intrekken van een mandaat door Onderwijsbestuur de Verzender en Ontvanger op de hoogte worden gesteld en alle gegevensuitwisselingen worden gedeactiveerd.
Verzender (of Ontvanger) periodiek controleren of een mandaat voor Ontvanger (of Verzender) nog actief is.
Verzender en Ontvanger controleren minimaal dagelijks of zijzelf en de wederpartij nog beschikken over een geldig mandaat.
Indien een mandaat een einddatum heeft dan informeren Verzender en Ontvanger hun Applicatiebeheerder(s) hier tijdig over. Dit stelt de Applicatiebeheerder(s) in staat om het mandaat (indien gewenst) te verlengen.
Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor het tijdig mandateren van Leveranciers die ook in de nieuwe Onderwijsorganisatie een mandaat dienen te hebben.
Onderwijsbestuur is verantwoordelijk voor een overgangssituatie van minimaal 30 dagen waarin zowel de mandaten vanuit de nieuwe Onderwijsorganisatie en de oude Onderwijsorganisatie actief zijn.
Verzender en Ontvanger zijn verantwoordelijk voor het actualiseren van de mandaten binnen de overgangssituatie zodat gegevensuitwisselingen die geactiveerd zijn blijven werken.
Indien een Onderwijsorganisatie de intentie heeft om een mandaat in te trekken, en als gevolg hiervan alle gegevensuitwisselingen te deactiveren dan trekt het Onderwijsbestuur het mandaat voor een Leverancier in. Verzender en Ontvanger alle geactiveerde gegevensuitwisselingen voor de onderliggende Onderwijsaanbieders.
Applicatiebeheerders van de Onderwijsorganisatie zijn na registratie van het mandaat in staat om een gegevensuitwisseling te activeren en deactiveren.
Release notes
noteDeze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.