Afsprakenstelsel Edu-VArchitectuurIdentiteiten

Identiteiten

Owned by Koen
Last updated: Jul 13, 2023

Titel

Identiteiten

Status

DRAFT ARCHITECTenraad WERKGROEP REDACTIE BEsluitvorming CONCEPT

Stadium

POC PILOT BEHEER

Versie

0.0.4

Datum

13 Juli 2023

Auteur

Architectenraad Edu-V

Acties

Architectenraad Edu-V

  • Review door Architectenraad

Werkgroep Doorgifte identiteiten

  • Review door werkgroep

  • [1] Afspraken maken over uitzonderingssituaties ECK iD Onderwijsdeelnemers

  • [2] Afspraken maken over primaire identifier voor Onderwijsmedewerkers

  • [3] Afspraken maken over primaire identifier voor Stagebegeleider

  • [4] Afspraken maken over identifiers voor Onderwijsorganisaties (RIO)

  • [5] Afspraken maken over eisen aan het Register onderwijsorganisaties

  • [6] Afspraken maken over identifiers voor Stagebedrijven (SBB)

  • [7] Afspraken maken over eisen aan het Register Stagebedrijven

In het Ecosysteem worden gegevens over Onderwijsorganisaties, Onderwijsdeelnemers en Onderwijsmedewerkers uitgewisseld. Daarnaast vervullen Onderwijsdeelnemers en Onderwijsmedewerkers activiteiten in de diverse praktijksituaties. Daarvoor is het van belang dat deze Personen geïdentificeerd en geauthenticeerd worden.

Voor de correcte werking van het Ecosysteem is het daarom van belang om afspraken te maken over deze drie digitale identiteiten. Deze afspraken worden op deze pagina nader toegelicht.

ECK iD als primaire identifier voor Onderwijsdeelnemers in het Ecosysteem

Het ECK iD is een ketenpseudoniem dat wordt gebruikt voor het uitwisselen van identiteiten van onderwijsdeelnemers en onderwijsmedewerkers. Dit ketenId komt onder strikte voorschriften tot stand en is ook voorgeschreven vanuit de Wet Regeling pseudonimisering persoonsgegevens. Voor meer informatie zie Achtergrondinformatie ECK iD.

Het ECK iD is derhalve een hoog betrouwbare identifier voor een Onderwijsdeelnemer. Binnen het Ecosysteem hanteren we dit ECK iD dan ook als primaire identifier om te communiceren over Onderwijsdeelnemers.

Wanneer geen ECK iD?

Het is in de praktijk niet altijd mogelijk om een ECK iD te verkrijgen voor een onderwijsdeelnemer. Dit is onder meer het geval in de volgende situaties:

  • Onderwijsdeelnemers van het niet gefinancierde (private) onderwijs

  • Onderwijsdeelnemers uit Aruba, Curaçao en Sint Maarten

  • Symbioseleerlingen (ingeschreven bij meerdere onderwijsorganisaties in het primair onderwijs)

Voor deze situaties is het mogelijk om een secundaire identifier voor Onderwijsdeelnemers te hanteren.

Binnen het Ecosysteem onderkennen we de volgende secundaire identifiers voor onderwijsdeelnemers:

  • LAS-Key of BasispoortId (voor het primair onderwijs)

  • nlEduPersonRealId (voor het voortgezet onderwijs)

  • nlEduPersonProfileId (middelbaar beroepsonderwijs)

[1] Werkgroep: afspraak maken over uitzonderingssituaties ECK iD

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de wijze waarop omgegaan kan worden met de uitzonderingssituaties ECK iD.

In de werkgroep worden de bovenstaande uitzonderingssituaties aangevuld en voor iedere situatie wordt een passende oplossing (bijvoorbeeld een secundaire identifier) gedefinieerd.

Primaire identifier voor Onderwijsmedewerkers in het Ecosysteem

Het is mogelijk om ook voor onderwijsmedewerkers een ECK iD te genereren. In de praktijk blijkt echter dat dit niet altijd op een eenduidige wijze gebeurd. Binnen het Ecosysteem hanteren we sectorspecifieke identifiers als primaire identifier om te communiceren over Onderwijsmedewerkers. Dit kunnen zijn:

  • Een medewerkernummer

  • BasispoortId

  • ECK iD

POC Scope

Voor de POC hanteren we de primaire identifiers voor medewerkers zoals gehanteerd door de federatieve authenticatiedienstverleners:

[2] Werkgroep: afspraak maken over primaire identifier voor onderwijsmedewerkers

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de primaire identifier voor een Onderwijsmedewerker.

Dit vraagstuk wordt opgepakt in samenwerking met de Werkgroep Toegang van Edustandaard.

In de werkgroep Doorgifte identiteiten is reeds een voorkeur uitgesproken ten aanzien van een unieke identifier voor de Persoon, ongeacht de context waarin de Persoon zich bevindt. Dit maakt het mogelijk om als Persoon in meerdere contexten, zoals bijvoorbeeld Onderwijsmedewerker van meerdere Onderwijsorganisaties, te kunnen opereren.

In de werkgroep worden allereerst de relevante contexten verzameld.

Primaire identifier voor Stagebegeleiders in het Ecosysteem

In het mbo wordt een deel van het onderwijs uitgevoerd op stagebedrijven. Vanuit deze bedrijven zijn geaccrediteerde stagebegeleiders betrokken bij de uitvoering en de evaluatie van het onderwijs. Deze stagebegeleiders zijn in dienst van het stagebedrijf en kunnen betrokken zijn bij één of meerdere onderwijsorganisaties. Deze specifieke context voor het mbo vraagt om aandacht in het Ecosysteem. Er zijn op dit moment nog geen uniforme afspraken over de digitale identiteit van een stagebegeleider.

[3] Werkgroep: afspraak maken over primaire identifier voor stagebeleiders

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de primaire identifier voor een Stagebeleider.

Dit vraagstuk wordt opgepakt in samenwerking met de Werkgroep Toegang van Edustandaard en het SBB waar stagebedrijven en stagebegeleiders zijn geregistreerd.

Digitale identiteit Onderwijsorganisaties

De afspraak Registratie Instellingen en Opleidingen (RIO) beschrijft de onderwijsorganisaties in relatie tot het onderwijs wat ze aanbieden, hoe ze het aanbieden en waar ze dat aanbieden. De afspraak bestaande uit een set van canonieke modellen geeft onder meer inzicht in een aantal kernobjecten (onderwijsbesturen, onderwijsaanbieders, onderwijslocaties, opleidingseenheden, opleidingskenmerken en aangeboden opleidingen) in het onderwijsdomein met hun eigenschappen en relaties.

In het Ecosysteem hanteren we het canonieke model van RIO om onderwijsorganisaties op verschillende niveaus te kunnen identificeren. We maken daarbij gebruik van twee niveaus:

  • Onderwijsbestuur: een orgaan van een rechtspersoon krachtens publiekrecht ingesteld met een BevoegdGezagErkenning. In het mbo wordt hiermee het Bevoegd Gezag bedoeld.

    • Het Onderwijsbestuur heeft een BevoegdGezagErkenning. Dit betreft een erkenning als bestuur in het onderwijs door OCW van een orgaan van een rechtspersoon krachtens publiekrecht ingesteld (a-orgaan) of een persoon of college met enig openbaar gezag bekleed (b- orgaan)

  • Onderwijsaanbieder: een organisatie die door een onderwijsbestuur is ingesteld voor het verzorgen van onderwijs.

Onderwijsaanbiedersgroep

RIO onderkent ook de Onderwijsaanbiedersgroep, een aantal onderwijsaanbieders die gezamenlijk naar buiten treden. In het Ecosysteem hanteren we dit niveau niet.

Bij het verwerven en in gebruik nemen van leermiddelen worden fysieke leermiddelen geleverd op een locatie. We hanteren voor deze situatie vanuit RIO:

  • Onderwijslocatie: een punt op een geografische kaart waar onderwijs wordt aangeboden.

Deze niveaus hebben ieder hun eigen unieke identifier in het RIO register.

RIO vs. BRIN

De Onderwijsaanbieder en de Onderwijslocatie hebben in het RIO model nieuwe identifiers gekregen om een beter aan te sluiten op de wijze waarop het onderwijs is ingericht, domein Onderwijsinrichting.

Deze identifiers zijn niet gelijk aan de BRIN nummers. BRIN wordt gehanteerd voor een erkende onderwijsinstelling (BRIN4) of onderwijslocatie (BRIN6) en zitten in het domein van Onderwijserkenningen.

POC Scope

Voor de POC hanteren we de identifiers voor Onderwijsorganisaties die toegepast worden in de ketens. Het betreft:

  • BasispoortId of BRIN voor het primair onderwijs

  • DigiDeliveryId voor het voortgezet onderwijs en middelbaar beroepsonderwijs.

Voor het onderwijsbestuur wordt het Bevoegd Gezag nummer gehanteerd.

[4] Werkgroep: afspraak maken over identifiers voor Onderwijsorganisaties

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de identifiers voor (verschillende niveaus) van Onderwijsorganisaties.

De werkgroep Doorgifte identiteiten verzamelt allereerst de issues en redenen waarom RIO op dit moment niet gebruikt kan worden als identifier in de keten. Op basis van deze inzichten wordt vervolgens contact gezocht met de Werkgroep RIO van Edustandaard om voor deze situaties een oplossing te vinden.

[5] Werkgroep: afspraak maken over eisen aan het register Onderwijsorganisaties

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de eisen aan het register Onderwijsorganisatie voor de uitgifte en het beheer van de identifiers van Onderwijsorganisaties. Dit kunnen operationele (bijvoorbeeld beheer), functionele en technische afspraken zijn.

Digitale identiteit Stagebedrijven

In het mbo wordt een deel van het onderwijs uitgevoerd op stagebedrijven. Deze specifieke context voor het mbo vraagt om aandacht in het Ecosysteem. Er zijn op dit moment nog geen uniforme afspraken over de digitale identiteit van een stagebedrijf.

[6] Werkgroep: afspraak maken over identifiers voor Stagebedrijven

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de digitale identiteit van een stagebedrijf

Dit vraagstuk wordt opgepakt in samenwerking met de Werkgroep Toegang van Edustandaard en het SBB waar stagebedrijven en stagebegeleiders zijn geregistreerd. SBB hanteert het Leerbedrijf ID als unieke identifier die onder meer wordt gebruik in de uitwisseling met DUO.

[7] Werkgroep: afspraak maken over eisen aan het register Stagebedrijven

In de werkgroep Doorgifte identiteiten worden afspraken gemaakt over de eisen aan het register Stagebedrijven voor de uitgifte en het beheer van de identifiers van Stagebedrijven. Dit kunnen operationele (bijvoorbeeld beheer), functionele en technische afspraken zijn.

Bijlage: Achtergrondinformatie over het ECK iD

Hieronder is meer informatie te vinden over de het wettelijk kader en de totstandkoming van het ECK iD.

Wet: Regeling pseudonimisering persoonsgegevens

Sinds 17 mei 2018 is de Regeling pseudonimisering persoonsgegevens actief voor het Nederlandse onderwijs. De wet heeft tot doel om een veiliger, betrouwbaarder en meer efficiënte digitale uitwisseling van gegevens door onderwijsinstellingen mogelijk te maken, waarbij zo min mogelijk persoonsgegevens worden gebruikt van leerlingen, deelnemers of studenten.

De praktische uitwerking van de wet is dat er een uniek ketenId is voor een Onderwijsdeelnemer in vier categorieën:

  1. categorie po: basisonderwijs, speciaal basisonderwijs, speciaal onderwijs en voortgezet speciaal onderwijs;

  2. categorie vo: voortgezet onderwijs en voortgezet algemeen volwassenenonderwijs;

  3. categorie mbo: beroepsonderwijs;

  4. categorie ho: wetenschappelijk onderwijs en hoger beroepsonderwijs.

Wetswijziging 16 maart 2022: voortgezet speciaal onderwijs valt onder categorie po

Tijdens de laatste wijziging is het voortgezet speciaal onderwijs verplaatst van categorie vo naar categorie po. Voor meer info zie dit artikel.

Wetsevaluatie

Het Ministerie van Onderwijs, Cultuur en Wetenschap voert een wetsevaluatie uit van de Regeling pseudonimisering persoonsgegevens. Deze wetsevaluatie kan mogelijk impact hebben op de werking en het toepassingsgebied van het ketenId.

ketenId: implementatie ketenpseudoniem in het ECK iD

Het ECK iD is een ketenpseudoniem dat wordt gebruikt voor het uitwisselen van identiteiten van onderwijsdeelnemers tussen partijen. Het ECK iD wordt gegenereerd op basis van drie variabelen:

  1. persoonsgebonden nummer (pgn)

  2. sectorId

  3. ketenId

In de praktijk is het ketenId een vaste variabele. Het sectorId verschilt per categorie (po, vo, mbo of ho). Het pgn wordt bepaald op basis van het burgerservicenummer (of onderwijsnummer) van de onderwijsdeelnemer.

In onderstaande figuur is het conceptueel model toegelicht hoe het ECK iD tot stand komt en beschikbaar wordt gesteld in het Ecosysteem. De stappen worden hieronder nader toegelicht.

Figuur 2. Stappen in het aanvragen en beschikbaar stellen van het ECK iD

Scope

De stappen inschrijving, BSN check en ECK iD ophalen zijn buiten de scope van het Afsprakenstelsel Edu-V. In het Ecosysteem is de component Administratiesysteem onderwijsdeelnemers belegd met de verantwoordelijkheid voor het uitvoeren van deze activiteiten en het ECK iD beschikbaar te stellen voor:

  • H2M identificatie en authenticatie van Personen

  • M2M gegevensuitwisseling van gegevens over Onderwijsdeelnemer of -medewerkers.

Stap 1. Inschrijving onderwijsdeelnemer op onderwijsorganisatie

Allereerst schrijft de onderwijsdeelnemer zich in op een onderwijsorganisatie. Hierbij worden de persoonsgegevens geregistreerd in het Administratiesysteem onderwijsdeelnemers (LAS) van de onderwijsorganisatie.

Stap 2. BSN check

Vervolgens wordt het BSN van de leerling gecontroleerd. Deze controle wordt uitgevoerd door de Dienst Uitvoering Onderwijs (DUO).

De onderwijsorganisatie levert aan DUO het burgerservicenummer, de geboortedatum, geslacht en achternaam aan. Vervolgens controleert DUO deze combinatie van gegevens bij de Basisregistratie Personen (BRP). Na een succesvolle controle wordt de onderwijsdeelnemer bij DUO op de onderwijsorganisatie ingeschreven en krijgt de onderwijsorganisatie meer informatie over de onderwijsdeelnemer terug. De set aan informatie verschilt per onderwijssector. Dit heeft te maken met doelbinding van deze persoonsgegevens voor de verschillende onderwijssectoren.

Indien de onderwijsdeelnemer geen BSN heeft dan kan DUO tijdelijk een onderwijsnummer genereren. Dit is bijvoorbeeld het geval in de uitzonderingssituaties dat een onderwijsdeelnemer niet ingeschreven is in Nederland. Voorbeelden zijn onderwijsdeelnemers die in het buitenland wonen en onderwijsdeelnemers die asiel zoeken. Het burgerservicenummer en het onderwijsnummer zijn beiden varianten van het persoonsgebonden nummer (pgn) waarop de onderwijsdeelnemer bekend is binnen de registraties van DUO.

Stap 3. ECK iD ophalen

Zodra de verificatie van het burgerservicenummer (of onderwijsnummer) succesvol is mag het Administratiesysteem onderwijsdeelnemers een ECK iD aanvragen. Zoals hierboven toegelicht is het pgn één van de drie variabelen om een ECK iD te kunnen genereren. Het Administratiesysteem onderwijsdeelnemers vraagt een ECK iD aan bij de Nummervoorziening. De Nummervoorziening is een dienst van Stichting Kennisnet en kan alleen benaderd worden door een Administratiesysteem onderwijsdeelnemers dat voldoet aan strikte (veiligheids)eisen en geaccrediteerd is om te communiceren met de dienst. Andere partijen kunnen de Nummervoorziening niet benaderen en krijgen het ECK iD via het Administratiesysteem onderwijsdeelnemers van de onderwijsorganisatie.

Het aanvragen van een ECK iD gaat in een aantal stappen. Allereerst wordt een stampseudoniem aangevraagd op basis van een hash van het pgn. De hash van het pgn wordt uitgevoerd door het het Administratiesysteem onderwijsdeelnemers en moet voldoen aan Voorschrift NV-1. Dit stampseudoniem wordt gecombineerd met het sectorId en het ketenId. Op basis van deze drie variabelen kan de Nummervoorziening een ECK iD genereren.

Ieder Administratiesysteem onderwijsdeelnemers dat beschikt over het pgn (BSN of onderwijsnummer) kan een ECK iD aanvragen bij de Nummervoorziening. Bij het laten genereren van een stampseudoniem hanteert het Administratiesysteem onderwijsdeelnemers een salt die is verkregen van Stichting Kennisnet. Deze salt is voor ieder Administratiesysteem onderwijsdeelnemers gelijk waardoor uiteindelijk het ECK iD dat gegenereerd wordt door de Nummervoorziening gelijk is voor ieder LAS dat een ECK iD voor hetzelfde pgn en voor dezelfde sector aanvraagt.

Stap 4. ECK iD beschikbaar stellen aan andere partijen

In de derde stap wordt het ECK iD vanuit het Administratiesysteem onderwijsdeelnemers beschikbaar gesteld aan andere partijen. Dit kan een Leverancier zijn in de rol van Beheerder Identiteiten ten behoeve van de identificatie en authenticatie van Personen. Ook kan het een Leverancier zijn in één van de Business rollen die via de SIS API gegevens ontvangt van Onderwijsdeelnemers of Onderwijsmedewerkers.

Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Draft uitwerking als onderdeel van H2M kader

    • Digitale identiteit Onderwijsdeelnemer en –medewerker

    • Digitale identiteit Onderwijsorganisaties

  • 0.0.2: Na feedback van Architectenraad Edu-V een separate pagina opgenomen over Identiteiten. Tevens is feedback op de inhoud van de Architectenraad Edu-V verwerkt in deze iteratie.

    • ECK iD als primaire identifier voor onderwijsdeelnemers

    • Onderwijsmedewerkers hebben op dit moment een sectorspecifieke identifier. Hier is nog geen passende oplossing voor gevonden sectoroverstijgend.

    • De achtergrondinformatie over het ECK ID is als bijlage opgenomen in de uitwerking.

    • Proces van aanvragen en beschikbaar stellen ECK iD aangepast met nieuwe Figuur.

  • 0.0.3: Op basis van de bespreking in de werkgroep Doorgifte identiteiten zijn de vraagstukken aangescherpt en uitgebreid met nieuwe vragen omtrent Stagebedrijven en Stagebegeleiders uit het mbo.

  • 0.0.4: BasispoortId is als identifier voor Onderwijsorganisaties toegevoegd. Voor het onderwijsbestuur is het bevoegd gezag nummer toegevoegd. Beiden binnen de scope van de proof of concept.