M2M gegevensuitwisselingen

Titel

M2M gegevensuitwisselingen

Status

In ontwikkeling ROSA-Architectuurscan BEsluitvorming in beheer

Versie

1.0.0

Datum

27 Mei 2024

Auteur

Architectenraad Edu-V

Acties

Geen acties

In het Ecosysteem worden gegevens uitgewisseld tussen Leveranciers ten behoeve van Onderwijsorganisaties. De gegevensuitwisselingen vinden tussen referentiecomponenten (M2M, van systeem naar systeem) plaats. Deze gegevensuitwisselingen dienen veilig te zijn en kunnen in sommige gevallen alleen plaatsvinden nadat een onderwijsorganisatie de uitwisseling van een informatieobject voor een Onderwijsaanbieder heeft geactiveerd.

Vijf beveiligingslagen in M2M gegevensuitwisselingen

De beveiliging van M2M gegevensuitwisselingen is op vijf lagen georganiseerd.

Beveiligingslaag

Toelichting

Relatie

Beveiligingslaag

Toelichting

Relatie

1. Registratie

Een Leverancier (L) registreert zich bij het Edu-V afsprakenstelsel en wordt Deelnemer (D).

L → D

2. Aansluiting

Een Deelnemer (D) sluit zich voor een gegevensuitwisseling aan bij een andere Deelnemer en wordt Verzender (DV) of Ontvanger (DO).

D → DV of DO

3. Uitwisseling

Een Verzender (DV) wisselt gegevens uit met een Ontvanger (DO). De uitwisseling (u) tussen de Verzender en Ontvanger is veilig.

DV <-u-> DO

 

4. Activering

Een Applicatiebeheerder van een Onderwijsorganisatie activeert de uitwisseling van een informatieobject tussen een Verzender (DV) en Ontvanger (DO) voor een specifieke Onderwijsaanbieder (Oa) binnen een Onderwijsbestuur (Ob).

DV <-u-> DO voor Oa

5. Verwerker

Het Onderwijsbestuur (Ob) verleent als verwerkersverantwoordelijke toestemming aan een Deelnemer voor het verwerken van gegevens. De Deelnemer wordt Deelnemer met Verwerkersovereenkomst (Dvo) voor het desbetreffende Onderwijsbestuur.

Indien de informatieobject dit vereist, dan hebben zowel Verzender (DvoV) als Ontvanger (DvoO) een verwerkersovereenkomst voor het uitwisselen van de gegevens namens Onderwijsbestuur (Ob).

D → Dm voor Ob

DvoV <-u-> DvoO voor Oa binnen Ob

De vijf beveiligingslagen worden hieronder nader uitgewerkt. Hierbij is de toepassing van de beveiligingsniveau afhankelijk van de classificatie van de informatieobjecten. We onderscheiden hierbij vier classificaties.

Classificatie van informatieobjecten: I, II, III en IV.

Afhankelijk van de eigenschappen van het informatieobject dienen Leveranciers de beveiligingslagen in M2M gegevensuitwisselingen toe te passen. Als kader hanteren we de volgende eigenschappen van informatieobjecten:

  • Vertrouwelijkheid: informatieobjecten kunnen vertrouwelijke of niet vertrouwelijke gegevens bevatten.

  • Regie op gegevensuitwisseling: de regie over het uitwisselen van informatieobjecten kan liggen bij een onderwijsorganisatie of een leverancier. Hieraan is sterk gerelateerd wie zeggenschap en/of (verwerkers)verantwoordelijk van de gegevens is.

  • Verwerkersovereenkomst: informatieobjecten van een onderwijsorganisatie vallen, indien deze persoonsgegevens bevatten onder de verwerkersverantwoordelijkheid van het onderwijsbestuur. In dat geval dient het onderwijsbestuur een verwerkersovereenkomst te hebben met de leverancier die optreedt als verwerker. De Leverancier verkrijgt via deze verwerkersovereenkomst een toestemming om de gegevens als Verwerker namens de Onderwijsorganisatie uit te wisselen.

Deze eigenschappen hebben geresulteerd in vier classificaties van informatieobjecten. Deze vier classificaties vragen ieder om een andere toepassing van de beveiligingslagen. De classificatie is uitgewerkt in onderstaand schema.

Classificatie

I.

II.

III.

IV.

Classificatie

I.

II.

III.

IV.

Vertrouwelijkheid

Niet vertrouwelijk

Niet vertrouwelijk

Vertrouwelijk

Vertrouwelijk

Regie op gegevens-uitwisseling

Leverancier

Onderwijs-organisatie

Leverancier

Onderwijs-organisatie

Persoonsgegevens

Nee

Nee

Nee

Ja

Verwerkers-overeenkomst

Nee

Nee

Nee

Ja

Voorbeeld

Catalogus-informatie

SchoolVak
SchoolPeriode

Orders

Normeringen

Onderwijs-deelnemers en –medewerkers

Leermiddel-gebruik

Beveiligingslagen

1 t/m 3

1 t/m 4

1 t/m 3 met extra veiligheidseisen

1 t/m 5 met extra veiligheidseisen

Op de pagina Informatieobjecten is voor alle informatieobjecten in het afsprakenstelsel de classificatie bepaald conform bovenstaande richtlijn.

Laag 1. Registratie – Leveranciers zijn bekend

Alle Leveranciers in het Ecosysteem dienen zich te conformeren aan de afspraken uit het Afsprakenstelsel Edu-V. Op deze manier beheersen we de continuïteit en de veiligheid van het Ecosysteem. Bij de registratie wordt tevens de identiteit van de Leverancier vastgelegd. Op deze manier kan een Leverancier in het Ecosysteem worden geïdentificeerd en kan een Leverancier op een veilige manier deelnemen aan gegevensuitwisselingen.

Onderwijsorganisatie als Leverancier

Indien Onderwijsorganisaties in-house applicaties hebben ontwikkeld dan kunnen ze als zijnde ‘eigen’ Leverancier deelnemen aan het Ecosysteem. Ze vervullen dan net als alle andere Leveranciers één of meerdere gekozen referentiecomponenten en worden hiermee Deelnemer aan het Afsprakenstelsel Edu-V. Ze conformeren zich net als alle Leveranciers die de gekozen referentiecomponenten vervullen aan de bijbehorende afspraken.

Een voorbeeld is bijvoorbeeld een MBO-instelling die de referentiecomponent Leermiddelendashboard gaat vervullen en leermateriaalgebruik en leerresultaten combineert in een eigen ontwikkeld Dashboard leervoortgang en -resultaten.

Alvorens een Leverancier gegevens kan gaan uitwisselen in het Ecosysteem, dient een Leverancier te beschikken over:

  • Organisatie Identificerend Nummer (OIN). Binnen Edu-V hanteren we de richtlijn vanuit Edukoppeling voor het opbouwen van het OIN voor Leveranciers wordt conform de standaard Edukoppeling het Handelsregisternummer (HRN) gebruikt.

  • Een geldige registratie bij Edu-V. De volgende informatie is tenminste bij Edu-V bekend:

    • Organisatie Identificerend Nummer (OIN)

    • Referentiecomponenten en gegevensdiensten

    • Endpoints

    • Contactgegevens

  • Technische kwalificatie voor de gekozen referentiecomponenten en gegevensdiensten.

De Leverancier is na registratie te herkennen binnen het Ecosysteem op basis van het OIN.

Werkgroep Beheersing

De registratie van Leveranciers wordt in een later stadium nader uitgewerkt als onderdeel van de afspraken over de wijze van toetreden binnen de Werkgroep Beheersing. In een volgende versie zal deze paragraaf naar deze expliciete afspraken verwijzen.

Laag 2. Aansluiting – Deelnemers zijn gekoppeld

Om een gegevensuitwisseling tot stand te brengen tussen Deelnemers dienen de Deelnemers technisch op elkaar aangesloten te zijn. In het Edu-V afsprakenstelsel worden afspraken gemaakt over de specificatie van koppelvlakken voor iedere referentiecomponent.

Een Deelnemer kan met een andere Deelnemer koppelen vanuit één of meerdere van deze referentiecomponenten. Bij het koppelen worden afspraken gemaakt welke gegevensdiensten en informatieobjecten (scopes) er tussen de referentiecomponenten uitgewisseld worden.

Deelnemers hebben hun eigen procedure voor het aansluiten van andere Deelnemers. Voor deze procedure gelden de volgende operationele afspraken:

  • Deelnemers bepalen welke gegevensdiensten en informatieobjecten (scopes) er onderling uitgewisseld gaan worden.

    • De mogelijkheden voor de informatieobjecten zijn afhankelijk van de door de Deelnemers gekozen en geïmplementeerde referentiecomponenten en gegevensdiensten.

Voorbeeld

Als referentiecomponent Distributiefaciliteit is het mogelijk om adresgegevens van Onderwijsdeelnemers te ontvangen van een Administratiesysteem onderwijsdeelnemers. Zo kan een leverancier in de fijndistributie Leermiddelen op thuisadres laten bezorgen.

  • Deelnemers testen de aansluiting. Deelnemers delen hiervoor de noodzakelijke gegevens met elkaar:

    • Acceptatieomgeving (endpoints voor testdoeleinden)

    • Productieomgeving (endpoints)

    • Technische documentatie

    • Client credentials voor M2M identificatie, authenticatie en autorisatie

      • Client id per referentiecomponent

      • (optioneel) secret per Client Id

      • Scopes per Client id

Leveranciers sluiten optioneel een Service Level Agreement

  • Leveranciers zijn collegiaal in het aansluiten op elkaar. De hiervoor noodzakelijke gegevens, overeenkomsten en documentatie wordt tijdig verstuurd, behandeld en ondertekend.

De Leveranciers zijn na de aansluiting overeengekomen om informatieobjecten met elkaar uit te gaan wisselen.

Laag 3. Uitwisseling – Iedere gegevensdienst is veilig

Iedere uitwisseling in een gegevensdienst dient plaats te vinden via een beveiligde connectie en vanuit systemen die voldoen aan de eisen voor informatiebeveiliging.

Om informatieobjecten van de classificatie I, II, III en IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:

  • De koppelvlakken zijn in staat om de transactiepatronen voor M2M gegevensuitwisselingen te ondersteunen.

    • Voor de transactiepatronen Abonneren op wijzigingen middels notificaties en Georkestreerde uitwisseling wordt de hiervoor benodigde berichteninfrastructuur voor het versturen en ontvangen van berichten gerealiseerd.

  • De koppelvlakken voldoen aan de afspraken over Versiebeheer.

  • Leveranciers voldoen aan alle technische, operationele en organisatorische eisen die voortkomen uit het kader voor Informatiebeveiliging. In dit kader zijn voorgeschreven:

    • Certificeringsschema informatiebeveiliging en privacy ROSA

    • Uniforme Beveiligingsvoorschriften Veilig en Betrouwbaar e-mailverkeer

    • Uniforme Beveiligingsvoorschriften Security Headers

    • Uniforme Beveiligingsvoorschriften – Transport Layer Security (TLS)

Na deze laag kunnen Leveranciers via een beveiligde verbinding gegevens met elkaar uitwisselen.

Laag 4. Activering – Uitwisseling informatieobject voor Onderwijsaanbieder

De Leveranciers zijn op elkaar aangesloten (laag 2) en zijn beiden in staat om gegevens veilig uit te wisselen (laag 3). Get architectuurprincipe D. Regie op gegevens en meer in het bijzonder D3 ‘De onderwijsorganisatie geeft toestemming over de uitwisseling van eigen gegevens tussen leveranciers.'. In deze vierde laag geven we iedere Onderwijsorganisatie de flexibiliteit om de uitwisseling van een gegevensdienst te activeren of deactiveren.

Om informatieobjecten van de classificatie II en IV uit te kunnen wisselen dienen Leveranciers te voldoen aan de volgende eisen:

  • Een hiertoe gemachtigde Applicatiebeheerder van de Onderwijsaanbieder activeert de gegevensdienst tussen Verzender en Ontvanger of Bron en Afnemer voor een specifieke:

    • Gegevensdienst (bijvoorbeeld onderwijsdeelnemers, aanspraken of leermiddelgebruik).

    • Onderwijsaanbieder binnen het Onderwijsbestuur

    • En optioneel een subset van informatieobjecten

  • De Applicatiebeheerder activeert de gegevensdienst bij de Bron of Verzender van de informatieobjecten. Hiermee wordt voldaan aan het architectuurprincipe ‘De leverancier van brongegevens is verantwoordelijk voor de integriteit van en mutaties op de gegevens met als doelstelling een enkele bron van waarheid voor gegevens uit de bron.’.

    • De Bron of Verzender van de gegevensdienst identificeert en authentiseert de Applicatiebeheerder met een beveiligingsniveau van substantieel in de referentiecomponent Consentmanagement.

    • Afnemer en Ontvanger hebben de mogelijkheid om:

      • de activatie automatisch te bevestigen aan Bron of Verzender.

      • aan Bron of Verzender terug te geven dat de activatie wordt gecontroleerd (pending) en bijvoorbeeld een additionele controle uit te laten voeren door de Applicatiebeheerder van de Afnemer of Ontvanger. Dit is bijvoorbeeld van toepassing op een gegevensdienst waarbij een hoge integriteit voor de informatieobjecten van toepassing is bij de Afnemer of Ontvanger. Na deze additionele controle bevestigt de Afnemer of Ontvanger de activatie aan Bron of Verzender.

  • Bron en Afnemer of Verzender en Ontvanger beschikken over de referentiecomponent Consentmanagement en voldoen aan de voor hen geldende functionele, technische en operationele afspraken zoals beschreven in Regie op gegevens.

  • Bij iedere uitwisseling van informatieobjecten in de gegevensdienst van de Onderwijsaanbieder controleren Bron en Afnemer of Verzender en Ontvanger of de gegevensuitwisseling geactiveerd is.

Informatieobjecten waarvan de Onderwijsorganisatie eigenaar is kunnen na deze laag veilig tussen leveranciers uitgewisseld worden.

Laag 5. Verwerker – Deelnemer heeft toestemming als Verwerker

Persoonsgegevens die vallen onder de verwerkersverantwoordelijkheid van een Onderwijsbestuur kunnen alleen uitgewisseld worden door Leveranciers die hiertoe toestemming hebben gekregen door het Onderwijsbestuur.

Om persoonsgegevens van de classificatie IV uit te kunnen wisselen dienen Verzender en Ontvanger te voldoen aan de volgende eisen:

  • Leveranciers beschikken allebei over een geldige en door het Onderwijsbestuur ondertekende verwerkersovereenkomst.

  • Leveranciers zijn als Verwerker gebonden aan de afspraken zoals vastgelegd in de verwerkersovereenkomst en dienen daarnaast te voldoen aan de AVG. De implicatie hiervan is dat alleen de persoonsgegevens worden verwerkt waarvoor een leverancier ook daadwerkelijk doelbinding heeft.

    • Als voorbeeld kan een leverancier met een methode Biologie voor de onderbouw toestemming vanuit de onderwijsorganisatie hebben om gegevens uit het Administratiesysteem onderwijsdeelnemer te bevragen. De leverancier mag echter alleen de persoonsgegevens verwerken van de onderwijsdeelnemers die ook daadwerkelijk het vak Biologie volgen en in de onderbouw zitten.

    • Leveranciers treffen maatregelen om enkel deze persoonsgegevens te verwerken en beschikbaar te stellen in de eigen applicaties. De overige persoonsgegevens worden niet opgeslagen.

  • Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor het tijdig verstrekken van een nieuwe verwerkersovereenkomst aan alle Leveranciers die ook in de nieuwe Onderwijsorganisatie een verwerkersovereenkomst dienen te hebben.

Optioneel kunnen Leveranciers gebruik maken van het Verwerkersregister van de het Onderwijsbestuur om te controleren of de Leverancier waarmee gegevens worden uitgewisseld ook Verwerker zijn namens het Onderwijsbestuur. Het verifieren van de geldigheid van een verwerkersovereenkomst is beschreven in de sectie Regie op gegevens.

Persoonsgegevens waarvoor de Onderwijsorganisatie Verwerkersverantwoordelijke is kunnen na deze laag veilig uitgewisseld worden door Leveranciers die als verwerker een verwerkersovereenkomst hebben getekend met het Onderwijsbestuur.


Release notes