Titel | M2M gegevensuitwisselingen |
Status |     
|
Stadium |   
|
Versie | 0.0.6 |
Datum | 15 Mei 2023 |
Auteur | Architectenraad Edu-V |
Acties | Architectenraad Edu-V: [1] Overleg met werkgroep Edukoppeling over REST/SAAS OAuth profiel [2] M2M identificatie en authenticatie uitwerken [3] Uitwerken berichteninfrastructuur voor transactiepatronen abonneren op wijzigingen middels notificaties en georkestreerde uitwisseling [4] Verlenen van mandaten functioneel, technisch en operationeel uitwerken. Hierbij wordt ook de levenscyclus van het mandaat uitgewerkt [5] /wiki/spaces/AFSPRAKENS/pages/9175055 functioneel, technisch en operationeel uitwerken
|
In het Ecosysteem worden gegevens uitgewisseld tussen Leveranciers ten behoeve van Onderwijsorganisaties. De gegevensuitwisselingen vinden tussen systemen (M2M) plaats. Deze gegevensuitwisselingen dienen veilig te zijn en kunnen in sommige gevallen alleen plaatsvinden na een mandaat van een Onderwijsbestuur en het activeren van een uitwisseling van een gegevenssoort voor een Onderwijsaanbieder.
notePOC Scope
Tijdens de POC wordt geverifieerd of de huidige uitwerking van de M2M gegevensuitwisselingen een passende oplossing is voor de trade-off van de ontwerpprincipes:
Open en flexibel (#2)
Laagdrempelig en gebruiksvriendelijk (#3)
Technische interoperabiliteit (#5.4)
Toekomstbestendig en modern (#6)
Instemming vanuit de rechthebbende (#7)
Informatiebeveiliging (#9)
Data uit de bron (#10)
Traceerbaarheid en te beoordelen op compliance (#11)
Betrouwbaarheid (#12)
POC Scope
Tijdens de POC wordt geverifieerd of de huidige uitwerking van de M2M gegevensuitwisselingen een passende oplossing is voor de trade-off van de ontwerpprincipes:
Open en flexibel (#2)
Laagdrempelig en gebruiksvriendelijk (#3)
Technische interoperabiliteit (#5.4)
Toekomstbestendig en modern (#6)
Instemming vanuit de rechthebbende (#7)
Informatiebeveiliging (#9)
Data uit de bron (#10)
Traceerbaarheid en te beoordelen op compliance (#11)
Betrouwbaarheid (#12)
Vijf beveiligingslagen in M2M gegevensuitwisselingen
De beveiliging van M2M gegevensuitwisselingen is op vijf lagen georganiseerd.
Beveiligingslaag | Toelichting | Relatie |
|---|
1. Registratie | Een Leverancier (L) registreert zich bij het Edu-V afsprakenstelsel en wordt Deelnemer (D). | L → D |
2. Aansluiting | Een Deelnemer (D) sluit zich voor een gegevensuitwisseling aan bij een andere Deelnemer en wordt Verzender (DV) of Ontvanger (DO). | D → DV of DO |
3. Uitwisseling | Een Verzender (DV) wisselt gegevens uit met een Ontvanger (DO). De uitwisseling (u) tussen de Verzender en Ontvanger is veilig. | DV <-u-> DO |
4. Activering | Een Applicatiebeheerder van een Onderwijsorganisatie activeert de uitwisseling van een gegevenssoort tussen een Verzender (DV) en Ontvanger (DO) voor een specifieke Onderwijsaanbieder (Oa) binnen een Onderwijsbestuur (Ob). | DV <-u-> DO voor Oa |
5. Mandaat | Het Onderwijsbestuur (Ob) mandateert als verwerkersverantwoordelijke een Deelnemer voor het verwerken van gegevens. De Deelnemer wordt Deelnemer met Mandaat (Dm) voor het desbetreffende Onderwijsbestuur. Indien de gegevenssoort dit vereist, dan hebben zowel Verzender (DmV) als Ontvanger (DmO) een Mandaat voor het uitwisselen van de gegevens namens Onderwijsbestuur (Ob). Bij de Activering door een Applicatiebeheerder wordt het mandaat voor zowel Verzender als Ontvanger gecontroleerd. | D → Dm voor Ob DmV <-u-> DmO voor Oa binnen Ob |
Verzender is de bron, Ontvanger is de afnemer van gegevens Op deze pagina wordt, conform de definities voor Rollen, gesproken over Verzender en Ontvanger. Ter verduidelijk is de Verzender de bron van de gegevens en de Ontvanger de afnemer van de gegevens. |
De vijf beveiligingslagen worden hieronder nader uitgewerkt. Hierbij is de toepassing van de beveiligingsniveau afhankelijk van de classificatie van de gegevenssoorten. We onderscheiden hierbij vier classificaties.
Classificatie van gegevenssoorten: I, II, III en IV.
Afhankelijk van de eigenschappen van de gegevenssoort dienen Leveranciers de beveiligingslagen in M2M gegevensuitwisselingen toe te passen. Als kader hanteren we de volgende eigenschappen van gegevenssoorten:
Eigenaar: gegevenssoorten kunnen van een onderwijsorganisatie of een leverancier zijn.
Vertrouwelijkheid: gegevenssoorten kunnen vertrouwelijke of niet vertrouwelijke gegevens bevatten.
Verwerkersovereenkomst: gegevenssoorten van een onderwijsorganisatie vallen al dan niet onder een verwerkersovereenkomst. Hier dient de Leverancier al dan niet over een mandaat te beschikken om de gegevens als Verwerker namens de Onderwijsorganisatie uit te wisselen.
Deze eigenschappen hebben geresulteerd in vier classificaties van gegevenssoorten. Deze vier classificaties vragen ieder om een andere toepassing van de beveiligingslagen. De classificatie is uitgewerkt in onderstaand schema.
Classificatie | I. | II. | III. | IV. |
|---|
Eigenaar | Leverancier | Leverancier | Onderwijs-organisatie | Onderwijs-organisatie |
|---|
Vertrouwelijkheid | Niet vertrouwelijk | Vertrouwelijk | Niet vertrouwelijk | Vertrouwelijk |
|---|
Verwerkers-overeenkomst | N.v.t. | N.v.t. | Nee | Ja |
|---|
Voorbeeld | Catalogus-informatie | Normeringen | SchoolVak
SchoolPeriode | Onderwijs-deelnemers en –medewerkers Gebruikers-gegevens |
|---|
Beveiligingslagen | 1 t/m 3 | 1 t/m 3 met extra veiligheidseisen | 1 t/m 4 | 1 t/m 5 met extra veiligheidseisen |
|---|
Laag 1. Registratie – Leveranciers zijn bekend
Alle Leveranciers in het Ecosysteem dienen zich te conformeren aan de afspraken uit het Afsprakenstelsel Edu-V. Op deze manier beheersen we de continuïteit en de veiligheid van het Ecosysteem. Bij de registratie wordt tevens de identiteit van de Leverancier vastgelegd. Op deze manier kan een Leverancier in het Ecosysteem worden geïdentificeerd en kan een Leverancier op een veilige manier deelnemen aan gegevensuitwisselingen. Tevens kan een Onderwijsorganisatie mandaten verstrekken aan Leveranciers voor het uitwisselen van vertrouwelijke gegevens waarvoor de Leverancier optreedt als Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur van de Onderwijsorganisatie.
Onderwijsorganisatie als Leverancier Indien Onderwijsorganisaties in-house applicaties hebben ontwikkeld dan kunnen ze als zijnde ‘eigen’ Leverancier deelnemen aan het Ecosysteem. Ze vervullen dan net als alle andere Leveranciers een Business of Ondersteunende rol en kunnen voor de desbetreffende rol en de gekozen referentiecomponenten Deelnemer aan het Afsprakenstelsel Edu-V worden. Ze conformeren zich net als alle Leveranciers die de gekozen Business of Ondersteunende rol vervullen aan de bijbehorende afspraken. Een voorbeeld is bijvoorbeeld een MBO-instelling die de rol van Dashboardaanbieder gaat vervullen en voortgangsgegevens en toetsresultaten combineert in een eigen ontwikkeld Overkoepelend . |
Alvorens een Leverancier gegevens kan gaan uitwisselen in het Ecosysteem, dient een Leverancier te beschikken over:
Organisatie Identificerend Nummer (OIN). Binnen Edu-V hanteren we de richtlijn vanuit Edukoppeling voor het opbouwen van het OIN voor Leveranciers wordt conform de standaard Edukoppeling (Identificatie en authenticatie) het Handelsregisternummer (HRN) gebruikt.
Een geldige registratie bij Edu-V. De volgende informatie is tenminste bij Edu-V bekend:
Organisatie Identificerend Nummer (OIN)
Business of Ondersteunende rollen, referentiecomponenten en koppelvlakken
Endpoints
Contactgegevens
Technische kwalificatie voor de gekozen business of ondersteunende rollen, referentiecomponenten en koppelvlakken.
De Leverancier is na registratie te herkennen binnen het Ecosysteem op basis van het OIN.
De registratie van Leveranciers wordt in een later stadium nader uitgewerkt als onderdeel van de afspraken over de wijze van toetreden binnen de Werkgroep Beheersing. In een volgende versie zal deze paragraaf naar deze expliciete afspraken verwijzen. |
Laag 2. Aansluiting – Deelnemers zijn gekoppeld
Om een gegevensuitwisseling tot stand te brengen tussen Deelnemers dienen de Deelnemers technisch op elkaar aangesloten te zijn. In het Edu-V afsprakenstelsel worden afspraken gemaakt over de specificatie van koppelvlakken voor iedere Business of Ondersteunende rol en referentiecomponent.
Een Deelnemer kan met een andere Deelnemer koppelen vanuit één of meerdere van deze referentiecomponenten. Bilateraal kunnen daarnaast afspraken gemaakt worden welke gegevenssoorten er tussen de Deelnemers uitgewisseld worden.
Deelnemers hebben hun eigen procedure voor het aansluiten van andere Deelnemers. Voor deze procedure gelden de volgende operationele afspraken:
Voorbeeld Als Leermiddelenshop is het mogelijk om adresgegevens van Onderwijsdeelnemers te ontvangen van de Administratiesysteemaanbieder indien de Leermiddelenshop beschikt over de referentiecomponent ‘Distributiefaciliteit voor levering van fysieke leermiddelen’. Zo kan een Leermiddelenshop in de fijndistributie Leermiddelen op thuisadres laten bezorgen. Andere Business en Ondersteunende rollen hebben binnen het Ecosysteem niet de beschikking over de adresgegevens van Onderwijsdeelnemers. |
Deelnemers testen de aansluiting. Deelnemers delen hiervoor de noodzakelijke gegevens met elkaar:
Acceptatieomgeving (endpoints voor testdoeleinden)
Productieomgeving (endpoints)
Technische documentatie
Certificaten (en client credentials) voor M2M identificatie en authenticatie
Deelnemers sluiten optioneel een Service Level Agreement
Deelnemers zijn collegiaal in het aansluiten op elkaar. De hiervoor noodzakelijke gegevens, overeenkomsten en documentatie wordt tijdig verstuurd, behandeld en ondertekend.
De Deelnemers zijn na de aansluiting overeengekomen om gegevenssoorten met elkaar uit te gaan wisselen.
Laag 3. Uitwisseling – Iedere uitwisseling is veilig
Iedere gegevensuitwisseling dient plaats te vinden via een beveiligde connectie en vanuit systemen die voldoen aan de eisen voor informatiebeveiliging. Edu-V benut op dit vlak de door Bureau Edustandaard ontwikkelde en beheerde standaard Edukoppeling.
noteDe Architectenraad Edu-V is in overleg met de werkgroep Edukoppeling van Edustandaard over de invulling van de profielen voor onder meer identificatie en authenticatie. Hierbij wordt een afweging gemaakt van:
Ter informatie wordt gekeken naar het in ontwikkeling zijnde REST/SAAS OAuth profiel.
De Architectenraad Edu-V is in overleg met de werkgroep Edukoppeling van Edustandaard over de invulling van de profielen voor onder meer identificatie en authenticatie. Hierbij wordt een afweging gemaakt van:
Ter informatie wordt gekeken naar het in ontwikkeling zijnde REST/SAAS OAuth profiel.
Om gegevens van de classificatie I, II, III en IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:
De koppelvlakken voldoen aan het REST/SAAS profiel van Edukoppling [1].
De identificatie en authenticatie voldoet aan de afspraken zoals beschreven in M2M identificatie en authenticatie [2].
Verzender en Ontvanger beschikken over een geldig PKIoverheid-certificaat.
De koppelvlakken zijn in staat om de transactiepatronen voor M2M gegevensuitwisselingen te ondersteunen.
De koppelvlakken voldoen aan de afspraken over Versiebeheer.
Verzender en Ontvanger voldoen aan alle technische, operationele en organisatorische eisen die voortkomen uit het kader voor Informatiebeveiliging. In dit kader zijn voorgeschreven:
Certificeringsschema informatiebeveiliging en privacy ROSA
Uniforme Beveiligingsvoorschriften Veilig en Betrouwbaar e-mailverkeer
Uniforme Beveiligingsvoorschriften Security Headers
Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)
Om gegevens van de classificatie II en IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende aanvullende beveiligingseisen:
Na deze laag kunnen Verzender en Ontvanger via een beveiligde verbinding gegevens met elkaar uitwisselen.
Laag 4. Activering – Uitwisseling gegevenssoort voor Onderwijsaanbieder
De Leveranciers die optreden als Verzender en Ontvanger zijn op elkaar aangesloten (laag 2) en zijn beiden in staat om gegevens veilig uit te wisselen (laag 3). Een ontwerpprincipe is dat ‘gegevens worden uitgewisseld na instemming van de rechthebbende’ en meer in het bijzonder ‘De Onderwijsinstelling heeft zeggenschap over zijn of haar gegevens van en over onderwijsdeelnemers en -medewerkers’. In deze vierde laag geven we iedere Onderwijsorganisatie de flexibiliteit om de uitwisseling van een gegevenssoort te activeren of deactiveren.
Om gegevens van de classificatie III en IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:
Verzender en Ontvanger zijn gemandateerd door het Onderwijsbestuur (zie laag 4).
Een hiertoe gemachtigde Applicatiebeheerder van de Onderwijsaanbieder activeert de gegevensuitwisseling tussen Verzender en Ontvanger voor een specifieke:
De Applicatiebeheerder activeert de gegevensuitwisseling bij de Verzender (de bron) van de gegevenssoort. Hiermee wordt voldaan aan het principe ‘In het Ecosysteem komt data uit de bron’.
Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling [4][5].
Bij iedere uitwisseling van gegevens van de gegevenssoort van de Onderwijsaanbieder controleren Verzender en Ontvanger of de gegevensuitwisseling geactiveerd is.
Gegevens waarvan de Onderwijsorganisatie eigenaar is kunnen na deze laag veilig tussen Verzender en Ontvanger uitgewisseld worden.
Laag 5. Mandaat – Deelnemer is gemandateerd als Verwerker
Gegevens die vallen onder de verwerkersverantwoordelijkheid van een Onderwijsbestuur kunnen alleen uitgewisseld worden door Leveranciers die hiertoe zijn gemandateerd door het Onderwijsbestuur.
Om gegevens van de classificatie IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:
Verzender en Ontvanger beschikken allebei over een geldige en door het Onderwijsbestuur ondertekende verwerkersovereenkomst.
De mandaten voortkomend uit de verwerkersovereenkomst zijn door de Onderwijsorganisatie geregistreerd bij één Ondersteunende rol Registerhouder met de referentiecomponent Mandatenregister.
De door de Onderwijsorganisatie gekozen Registerhouder beschikt over de referentiecomponent Mandatenregister en voldoet aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling [4][5].
Mandaten worden in dit Mandatenregister gespecificeerd op het niveau van Onderwijsbestuur en Leverancier. De Leverancier is Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur. Het Mandaat geeft hiermee aan of het Onderwijsbestuur een overeenkomst heeft met Leverancier.
Verschil tussen Mandaat en Activering Een mandaat is een overeenkomst tussen een Onderwijsbestuur en een Leverancier. Dit staat niet gelijk aan een activering van een gegevensuitwisseling van een specifieke gegevenssoort voor een Onderwijsaanbieder (zie laag 4). In het mandaat hoeft hierdoor ook niet vastgelegd te worden welke gegevenssoorten er uitgewisseld gaan worden. |
Verzender en Ontvanger zijn met de referentiecomponent Consentmanagement aangesloten op het Mandatenregister van de door de Onderwijsorganisatie gekozen Registerhouder
De Onderwijsorganisatie heeft de gegevensuitwisseling vanuit het Mandatenregister naar de referentiecomponent Consentmanagement van de Verzender of Ontvanger geactiveerd. Op deze wijze kan bijvoorbeeld:
Verzender controleren of een nieuwe Ontvanger een geldig mandaat heeft vanuit het Onderwijsbestuur van de Onderwijsorganisatie.
Bij het intrekken van een mandaat door Onderwijsbestuur de Verzender en Ontvanger op de hoogte worden gesteld en alle gegevensuitwisselingen worden gedeactiveerd.
Verzender periodiek controleren of een mandaat voor Ontvanger nog actief is.
Verzender controleert minimaal dagelijks of zijzelf en alle Ontvangers nog beschikken over een geldig mandaat.
Indien een mandaat een einddatum heeft dan informeren Verzender en Ontvanger hun Applicatiebeheerder(s) hier tijdig over. Dit stelt de Applicatiebeheerder(s) in staat om het mandaat (indien gewenst) te verlengen.
Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor het tijdig mandateren van Leveranciers die ook in de nieuwe Onderwijsorganisatie een mandaat dienen te hebben.
Onderwijsbestuur is verantwoordelijk voor een overgangssituatie van minimaal 30 dagen waarin zowel de mandaten vanuit de nieuwe Onderwijsorganisatie en de oude Onderwijsorganisatie actief zijn.
Verzender en Ontvanger zijn verantwoordelijk voor het actualiseren van de mandaten binnen de overgangssituatie zodat gegevensuitwisselingen die geactiveerd zijn blijven werken.
Indien een Onderwijsorganisatie de intentie heeft om een mandaat in te trekken, en als gevolg hiervan alle gegevensuitwisselingen te deactiveren dan trekt het Onderwijsbestuur het mandaat voor een Leverancier in. Verzender en Ontvanger deactiveren vervolgens alle geactiveerde gegevensuitwisselingen voor de onderliggende Onderwijsaanbieders.
De Onderwijsorganisatie is verantwoordelijk voor een correcte registratie van het Onderwijsbestuur en al haar Onderwijsaanbieders (inclusief identifiers) bij de Registerhouder met de referentiecomponent Scholenregister.
Vertrouwelijke gegevens waarvoor de Onderwijsorganisatie Verwerkersverantwoordelijke is kunnen na deze laag veilig uitgewisseld worden door Deelnemers die een mandaat hebben gekregen van het Onderwijsbestuur.
Release notes
noteDeze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.
0.0.6: De beveiligingslagen zijn herschreven op basis van feedback uit de bijeenkomst van de Architectenraad van 12 mei 2023 en het overleg met de Werkgroep Edukoppeling binnen Edustandaard. Dit heeft geleid tot:
De lagen Activering en Mandatering zijn omgewisseld.
Er zijn vier classificaties van gegevenssoorten toegevoegd.
Het proces van activeren is vereenvoudigd waarbij controle voornamelijk bij de bron (Verzender) plaatsvindt.
PKIoverheid-certificaat is toegevoegd.
De werkgroep Edukoppeling werkt nog aan een nieuwe versie van het REST/SAAS profiel. Dit wordt in een volgende iteratie verwerkt.
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Documentstudie van Edukoppeling en SEM Ecosysteem.
0.0.2: Voorbereidende bijeenkomst voor de Architectenraad van RdB en KV.
0.0.3: Uitwerking in een concept inclusief voorstellen tot besluit.
0.0.4: Verwerking van feedback vanuit Architectenraad naar een nieuwe iteratie met expliciete operationele afspraken op de vijf niveaus.
0.0.5: De uitwerking is besproken en aangescherpt tijdens de werkconferentie van de Architectenraad Edu-V op 18 april 2023. Dit heeft geleid tot een scherpere scheiding tussen laag 4 mandaat (juridisch) en laag 5 activering (operationeel) van een gegevensuitwisseling waarover een Onderwijsorganisatie zeggenschap heeft. Tevens is de technische invulling van de uitwisseling (laag 3) aangescherpt.
0.0.6: De beveiligingslagen zijn herschreven op basis van feedback uit de bijeenkomst van de Architectenraad van 12 mei 2023 en het overleg met de Werkgroep Edukoppeling binnen Edustandaard. Dit heeft geleid tot:
De lagen Activering en Mandatering zijn omgewisseld.
Er zijn vier classificaties van gegevenssoorten toegevoegd.
Het proces van activeren is vereenvoudigd waarbij controle voornamelijk bij de bron (Verzender) plaatsvindt.
PKIoverheid-certificaat is toegevoegd.
De werkgroep Edukoppeling werkt nog aan een nieuwe versie van het REST/SAAS profiel. Dit wordt in een volgende iteratie verwerkt.