Identiteiten
- Koen Voermans
- Piter Blom
Titel | Identiteiten |
Status | In ontwikkeling ROSA-Architectuurscan BEsluitvorming implementatie in beheer |
Versie | 0.9.1 |
Datum | 27 September 2024 |
Auteur | Architectenraad Edu-V |
Acties |
|
In het afsprakenstelsel worden gegevens over Onderwijsorganisaties, Onderwijsdeelnemers en Onderwijsmedewerkers uitgewisseld. Daarnaast vervullen Onderwijsdeelnemers en Onderwijsmedewerkers activiteiten in de diverse praktijksituaties. Daarvoor is het van belang dat deze Personen geïdentificeerd en geauthenticeerd worden.
Voor de correcte werking van het afsprakenstelsel is het daarom van belang om afspraken te maken over deze drie digitale identiteiten. Deze afspraken worden op deze pagina nader toegelicht.
Digitale identiteit voor Onderwijsdeelnemers
Het ECK iD is een ketenpseudoniem dat wordt gebruikt voor het uitwisselen van identiteiten van onderwijsdeelnemers en onderwijsmedewerkers. Dit ketenId komt onder strikte voorschriften tot stand en is ook voorgeschreven vanuit de Wet Regeling pseudonimisering persoonsgegevens. Voor meer informatie zie Achtergrondinformatie ECK iD.
Het ECK iD is derhalve een hoog betrouwbare identifier voor een Onderwijsdeelnemer. Binnen het afsprakenstelsel hanteren we dit ECK iD dan ook als primaire identifier (de eerste voorkeur) om te communiceren over Onderwijsdeelnemers.
Identifier | Type | Technical term | Formaat en voorbeeld |
|---|---|---|---|
Primair | ECK iD |
| |
Secundair | nlEduPersonRealId |
| [userId]@[realm] pietjepukkelen@petteflatcollege |
Secundair | nlEduPersonProfileId |
| leerlingnummer@administratienummer.schooldomein.nl 95312@1.kennisnet.nl |
Secundair | Basispoort ID |
| Door Basispoort gegenereerde identifier |
Secundair | LAS-key |
| Door het Leerlingadministratiesysteem gegenereerde identifier |
Secundair | eduID Identifier |
|
Wanneer geen ECK iD?
Het is in de praktijk niet altijd mogelijk om een ECK iD te verkrijgen voor een onderwijsdeelnemer. Dit is onder meer het geval in de volgende situaties:
Onderwijsdeelnemers van het niet gefinancierde (private) onderwijs
Onderwijsdeelnemers uit Aruba, Curaçao en Sint Maarten
Symbioseleerlingen (ingeschreven bij meerdere onderwijsorganisaties in het primair onderwijs)
Voor deze situaties is het mogelijk om een secundaire identifier (bij ontbreken van de eerste voorkeur) voor Onderwijsdeelnemers te hanteren.
Digitale identiteit voor Onderwijsmedewerkers
Het is mogelijk om ook voor onderwijsmedewerkers een ECK iD te genereren. In de praktijk blijkt echter dat dit niet altijd op een eenduidige wijze gebeurd. Binnen het afsprakenstelsel hanteren we daarom geen identifiers als primaire identifier (de eerste voorkeur) om te communiceren over Onderwijsmedewerkers. Voor Onderwijsmedewerkers hanteren we enkel secundaire identifiers (door ontbreken van eerste voorkeur).
Identifier | Type | Technical term | Formaat en voorbeeld |
|---|---|---|---|
Primair | – | – | – |
Secundair | nlEduPersonRealId |
| [userId]@[realm] pietjepukkelen@petteflatcollege |
Secundair | Basispoort ID |
| Door Basispoort gegenereerde identifier |
Secundair | LAS-key |
| Door het Leerlingadministratiesysteem gegenereerde identifier |
Secundair | eduID Identifier |
|
Digitale identiteit voor Onderwijsorganisaties
In deze paragraaf wordt toegelicht op welke wijze de digitale identiteit van onderwijsorganisaties wordt toegepast binnen Edu-V.
Uitgangspunt: Register Instellingen en Opleidingen
De afspraak Registratie Instellingen en Opleidingen (RIO) beschrijft de onderwijsorganisaties in relatie tot het onderwijs wat ze aanbieden, hoe ze het aanbieden en waar ze dat aanbieden. De afspraak bestaande uit een set van canonieke modellen geeft onder meer inzicht in een aantal kernobjecten (onderwijsbesturen, onderwijsaanbieders, onderwijslocaties, opleidingseenheden, opleidingskenmerken en aangeboden opleidingen) in het onderwijsdomein met hun eigenschappen en relaties.
In het Edu-V afsprakenstelsel hanteren we het canonieke model van RIO om onderwijsorganisaties op verschillende niveaus te kunnen identificeren. In Figuur 1 is het RIO informatiemodel weergegeven. Meer informatie is te vinden in het Edustandaard document Informatiemodel RIO – communicatieversie d.d. 13 mei 2022. We maken daarbij gebruik van twee niveaus:
Onderwijsbestuur: een orgaan van een rechtspersoon krachtens publiekrecht ingesteld met een erkenning. In het mbo wordt hiermee het Bevoegd Gezag bedoeld.
Het Onderwijsbestuur heeft een BevoegdGezagErkenning. Dit betreft een erkenning als bestuur in het onderwijs door OCW van een orgaan van een rechtspersoon krachtens publiekrecht ingesteld (a-orgaan) of een persoon of college met enig openbaar gezag bekleed (b- orgaan)
Onderwijsaanbieder: een organisatie die door een onderwijsbestuur is ingesteld voor het verzorgen van onderwijs.
Onderwijsaanbiedersgroep
RIO onderkent ook de Onderwijsaanbiedersgroep, een aantal onderwijsaanbieders die gezamenlijk naar buiten treden. In het afsprakenstelsel hanteren we dit niveau niet.
Bij het verwerven en in gebruik nemen van leermiddelen worden fysieke leermiddelen geleverd op een locatie. We hanteren voor deze situatie vanuit RIO:
Onderwijslocatie: een punt op een geografische kaart waar onderwijs wordt aangeboden.
Primaire en secundaire identifiers
Deze niveaus hebben ieder hun eigen unieke identifier in het RIO register. In het Afsprakenstelsel hanteren we de volgende primaire identifier (eerste voorkeur) en secundaire identifiers (bij ontbreken eerste voorkeur) voor deze niveaus:
Niveau | Identifier | Type | Technical term | Voorbeeld |
|---|---|---|---|---|
Onderwijsbestuur | Primair | Onderwijsbestuur |
| 106B996 (Stichting Flores Onderwijs) |
Secundair | Bevoegd Gezag |
| 41645 (Stichting Flores Onderwijs) | |
Onderwijsaanbieder | Primair | Onderwijsaanbieder |
| 104A158 (De Mariënborn) |
Secundair | Onderwijsinstellingserkenning |
| 09QQ (Marienbornschool) | |
Secundair | BasispoortId |
| Door Basispoort gegenereerde identifier | |
Secundair | DigiDeliveryId |
| Door de Centrale Registratie van Edu-iX gegenereerde identifier | |
Secundair | LAS-key |
| Door het Leerlingadministratiesysteem gegenereerde identifier | |
Onderwijslocatie | Primair | Onderwijslocatie |
| 112X995 (Mariënbergweg 28 6862ZM Oosterbeek) |
Secundair | Vestigingserkenning |
| 09QQ00 (Marienbornschool) |
Onderwijsinrichting versus Onderwijserkenningen (BRIN)
De Onderwijsaanbieder en de Onderwijslocatie hebben in het RIO model nieuwe identifiers gekregen om een beter aan te sluiten op de wijze waarop het onderwijs is ingericht, domein Onderwijsinrichting.
Deze identifiers zijn niet gelijk aan de codering van de onderwijsinstellingerkenning en de vestigingserkenning. BRIN wordt gehanteerd voor een erkende onderwijsinstelling (BRIN4) of onderwijslocatie (BRIN6) en zitten in het domein van Onderwijserkenningen.
In de huidige praktijk zijn veel van de identifiers die leverancier gebruiken voor onderwijsorganisaties gebaseerd op de vestigingserkenning (BRIN6). De uitdaging is dat deze niet 1-op-1 te koppelen valt aan een onderwijsaanbieder.
In Figuur 2 wordt deze problematiek toegelicht. Een Onderwijsaanbieder kan in de praktijk door de verschillende 1..n relaties:
Meerdere instellingserkenningen hebben. Bijvoorbeeld bij een speciaal onderwijs school die door twee onderwijsbesturen gezamenlijk is opgericht. Ieder onderwijsbestuur heeft een eigenstandige financiering voor deze school.
Meerde onderwijsbesturen en bevoegd gezag erkenningen hebben. Deze zelfde speciaal onderwijs school behoort zoals toegelicht bij twee onderwijsbesturen.
Meerdere aangeboden opleidingen hebben. Op een voortgezet onderwijs school wordt zowel vmbo, havo als vwo opleidingen aangeboden.
Meerdere onderwijslocaties hebben. Het vmbo onderwijs wordt voor de onderbouw op een andere onderwijslocatie gegeven dan de bovenbouw. Of de havo opleiding wordt op een andere onderwijslocatie gegeven dan de vmbo opleiding.
Onderwijslocaties hebben die geen vestigingserkenning hebben. Deze onderwijslocaties worden ook wel dislocaties genoemd. Voor deze onderwijslocaties heeft het onderwijsbestuur nog geen vestigingserkenning aangevraagd.
Bij het hanteren van de identifiers over onderwijsaanbieders is de gegevensuitwisselingen is het van belang om bewust te zijn van de relaties. Dit kan consequenties hebben voor de registraties van onderwijsorganisaties in de backofficesystemen van leveranciers. het RIO register is publiek te raadplegen waarbij voor een bepaalde onderwijsorganisatie de relaties ingezien kunnen worden.
Eisen aan het Register onderwijsorganisaties
Voor een goede werking van het Edu-V afsprakenstelsel is het cruciaal dat het Register onderwijsorganisaties volledig, betrouwbaar, actueel en onder beheer is. Op dit moment voldoet het RIO Register nog niet aan deze eis. Daarnaast is de huidige praktijk dat veel leveranciers hun Diensten hebben ingericht op basis van vestigingserkenningen (BRIN6).
De migratie naar de de primaire identifiers uit de Onderwijsinrichting is wenselijk omdat deze beter aansluit bij de daadwerkelijke organisatie van het onderwijs in onderwijsorganisaties. Echter het is hiervoor van cruciaal belang dat de registratie van deze gegevens in het RIO Register ook voldoet aan de eisen van volledigheid, betrouwbaarheid, actualiteit en onder beheer.
Vanuit het Edu-V afsprakenstelsel zijn de volgende eisen aan het Register onderwijsorganisaties van belang voor de contuititeit van de digitale infrastructuur:
Het register is volledig en bevat gegevens van alle onderwijsorganisaties binnen het werkingsgebied van Edu-V. Dit betreft erkende en niet erkende onderwijsorganisaties.
De onderwijsorganisaties zijn volledig, correct en actueel geregistreerd in het deel van zowel de onderwijserkenningen als de onderwijsinrichting.
Er is een transparant en beheersbaar proces voor het doorvoeren van wijzigingen en het verwerken van fusies en splitsingen met betrekking tot de registratie van de onderwijserkenningen en onderwijsinrichting.
De gegevens uit het Register onderwijsorganisaties zijn beschikbaar als open data middels een API.
De gegevens uit het Register onderwijsorganisaties bevatten ook de secundaire identifiers om migratie vanuit de bestaande praktijk te bevorderen.
De huidige DUO Open onderwijsdata (leerlingen, prognoses, personeel, bekostiging) is beschikbaar vanuit zowel het perspectief van de onderwijserkenning (onderwijsinstellingerkenning, bevoegd gezag) als vanuit de onderwijsinrichting (onderwijsaanbieder en onderwijsbestuur).
De leverancier van het Register onderwijsorganisaties biedt een professionele en beschikbare helpdesk aan ter ondersteuning van:
Meldingen met betrekking tot de gegevenskwaliteit vanuit onderwijsaanbieders en/of leveranciers.
Ondersteuningsvragen vanuit onderwijsorganisaties voor een correcte vulling van het Register Onderwijsorganisaties.
Ondersteuningsvragen vanuit onderwijsorganisaties bij wijzigingen, fusies en splitsingen.
Hybride situatie
Op dit moment voldoet het RIO Register niet aan de eisen zoals in deze paragraaf gesteld. Dit betekent dat in de uitwisseling van gegevens over onderwijsorganisaties veelal gecommuniceerd zal worden middels de secundaire identiteiten.
In plateau van de plateau- en releaseplanning staat gepland om deze migratie wel te gaan maken. Hiervoor is het randvoorwaardelijk dat bovenstaande vereisten op orde zijn. Zodra dit niet het geval is zal de hybride situatie blijven bestaan.
Bijlage: Achtergrondinformatie over het ECK iD
Hieronder is meer informatie te vinden over de het wettelijk kader en de totstandkoming van het ECK iD.
Wet: Regeling pseudonimisering persoonsgegevens
Sinds 17 mei 2018 is de Regeling pseudonimisering persoonsgegevens actief voor het Nederlandse onderwijs. De wet heeft tot doel om een veiliger, betrouwbaarder en meer efficiënte digitale uitwisseling van gegevens door onderwijsinstellingen mogelijk te maken, waarbij zo min mogelijk persoonsgegevens worden gebruikt van leerlingen, deelnemers of studenten.
De praktische uitwerking van de wet is dat er een uniek ketenId is voor een Onderwijsdeelnemer in vier categorieën:
categorie po: basisonderwijs, speciaal basisonderwijs, speciaal onderwijs en voortgezet speciaal onderwijs;
categorie vo: voortgezet onderwijs en voortgezet algemeen volwassenenonderwijs;
categorie mbo: beroepsonderwijs;
categorie ho: wetenschappelijk onderwijs en hoger beroepsonderwijs.
Wetswijziging 16 maart 2022: voortgezet speciaal onderwijs valt onder categorie po
Tijdens de laatste wijziging is het voortgezet speciaal onderwijs verplaatst van categorie vo naar categorie po. Voor meer info zie dit artikel.
Wetsevaluatie
Het Ministerie van Onderwijs, Cultuur en Wetenschap voert een wetsevaluatie uit van de Regeling pseudonimisering persoonsgegevens. Deze wetsevaluatie kan mogelijk impact hebben op de werking en het toepassingsgebied van het ketenId.
ketenId: implementatie ketenpseudoniem in het ECK iD
Het ECK iD is een ketenpseudoniem dat wordt gebruikt voor het uitwisselen van identiteiten van onderwijsdeelnemers tussen partijen. Het ECK iD wordt gegenereerd op basis van drie variabelen:
persoonsgebonden nummer (pgn)
sectorId
ketenId
In de praktijk is het ketenId een vaste variabele. Het sectorId verschilt per categorie (po, vo, mbo of ho). Het pgn wordt bepaald op basis van het burgerservicenummer (of onderwijsnummer) van de onderwijsdeelnemer.
In onderstaande figuur is het conceptueel model toegelicht hoe het ECK iD tot stand komt en beschikbaar wordt gesteld in het afsprakenstelsel. De stappen worden hieronder nader toegelicht.
Scope
De stappen inschrijving, BSN check en ECK iD ophalen zijn buiten de scope van het Afsprakenstelsel Edu-V. In het afsprakenstelsel is de component Administratiesysteem onderwijsdeelnemer belegd met de verantwoordelijkheid voor het uitvoeren van deze activiteiten en het ECK iD beschikbaar te stellen voor:
H2M identificatie en authenticatie van Personen via (authenticerende of delegerende Identity Providers).
M2M gegevensuitwisseling van gegevens over Onderwijsdeelnemer of -medewerkers naar referentiecomponenten.
Stap 1. Inschrijving onderwijsdeelnemer op onderwijsorganisatie
Allereerst schrijft de onderwijsdeelnemer zich in op een onderwijsorganisatie. Hierbij worden de persoonsgegevens geregistreerd in het Administratiesysteem onderwijsdeelnemer (LAS) van de onderwijsorganisatie.
Stap 2. BSN check
Vervolgens wordt het BSN van de leerling gecontroleerd. Deze controle wordt uitgevoerd door de Dienst Uitvoering Onderwijs (DUO).
De onderwijsorganisatie levert aan DUO het burgerservicenummer, de geboortedatum, geslacht en achternaam aan. Vervolgens controleert DUO deze combinatie van gegevens bij de Basisregistratie Personen (BRP). Na een succesvolle controle wordt de onderwijsdeelnemer bij DUO op de onderwijsorganisatie ingeschreven en krijgt de onderwijsorganisatie meer informatie over de onderwijsdeelnemer terug. De set aan informatie verschilt per onderwijssector. Dit heeft te maken met doelbinding van deze persoonsgegevens voor de verschillende onderwijssectoren.
Indien de onderwijsdeelnemer geen BSN heeft dan kan DUO tijdelijk een onderwijsnummer genereren. Dit is bijvoorbeeld het geval in de uitzonderingssituaties dat een onderwijsdeelnemer niet ingeschreven is in Nederland. Voorbeelden zijn onderwijsdeelnemers die in het buitenland wonen en onderwijsdeelnemers die asiel zoeken. Het burgerservicenummer en het onderwijsnummer zijn beiden varianten van het persoonsgebonden nummer (pgn) waarop de onderwijsdeelnemer bekend is binnen de registraties van DUO.
Stap 3. ECK iD ophalen
Zodra de verificatie van het burgerservicenummer (of onderwijsnummer) succesvol is mag het Administratiesysteem onderwijsdeelnemer een ECK iD aanvragen. Zoals hierboven toegelicht is het pgn één van de drie variabelen om een ECK iD te kunnen genereren. Het Administratiesysteem onderwijsdeelnemer vraagt een ECK iD aan bij de Nummervoorziening. De Nummervoorziening is een dienst van Stichting Kennisnet en kan alleen benaderd worden door een Administratiesysteem onderwijsdeelnemer dat voldoet aan strikte (veiligheids)eisen en geaccrediteerd is om te communiceren met de dienst. Andere partijen kunnen de Nummervoorziening niet benaderen en krijgen het ECK iD via het Administratiesysteem onderwijsdeelnemer van de onderwijsorganisatie.
Het aanvragen van een ECK iD gaat in een aantal stappen. Allereerst wordt een stampseudoniem aangevraagd op basis van een hash van het pgn. De hash van het pgn wordt uitgevoerd door het het Administratiesysteem onderwijsdeelnemer en moet voldoen aan Voorschrift NV-1. Dit stampseudoniem wordt gecombineerd met het sectorId en het ketenId. Op basis van deze drie variabelen kan de Nummervoorziening een ECK iD genereren.
Ieder Administratiesysteem onderwijsdeelnemer dat beschikt over het pgn (BSN of onderwijsnummer) kan een ECK iD aanvragen bij de Nummervoorziening. Bij het laten genereren van een stampseudoniem hanteert het Administratiesysteem onderwijsdeelnemer een salt die is verkregen van Stichting Kennisnet. Deze salt is voor ieder Administratiesysteem onderwijsdeelnemer gelijk waardoor uiteindelijk het ECK iD dat gegenereerd wordt door de Nummervoorziening gelijk is voor ieder LAS dat een ECK iD voor hetzelfde pgn en voor dezelfde sector aanvraagt.
Stap 4. ECK iD beschikbaar stellen aan andere partijen
In de derde stap wordt het ECK iD vanuit het Administratiesysteem onderwijsdeelnemer beschikbaar gesteld aan andere partijen. Dit kan een Leverancier zijn die de referentiecomponent (authenticerende of delegerende) Identity Provider vervult ten behoeve van de identificatie en authenticatie van eindgebruikers. Ook kan het een Leverancier zijn die een referentiecomponent heeft geïmplementeerd in de applicatie en gegevens over eindgebruikers ontvangt via de gegevensdiensten uit de administratiesystemen onderwijsdeelnemer of onderwijsmedewerker.
Release notes
Deze uitwerking is gebaseerd op basis van de volgende stappen:
0.0.1: Draft uitwerking als onderdeel van H2M kader
Digitale identiteit Onderwijsdeelnemer en –medewerker
Digitale identiteit Onderwijsorganisaties
0.0.2: Na feedback van Architectenraad Edu-V een separate pagina opgenomen over Identiteiten. Tevens is feedback op de inhoud van de Architectenraad Edu-V verwerkt in deze iteratie.
ECK iD als primaire identifier voor onderwijsdeelnemers
Onderwijsmedewerkers hebben op dit moment een sectorspecifieke identifier. Hier is nog geen passende oplossing voor gevonden sectoroverstijgend.
De achtergrondinformatie over het ECK ID is als bijlage opgenomen in de uitwerking.
Proces van aanvragen en beschikbaar stellen ECK iD aangepast met nieuwe Figuur.
0.0.3: Op basis van de bespreking in de werkgroep Doorgifte identiteiten zijn de vraagstukken aangescherpt en uitgebreid met nieuwe vragen omtrent Stagebedrijven en Stagebegeleiders uit het mbo.
0.0.4: BasispoortId is als identifier voor Onderwijsorganisaties toegevoegd. Voor het onderwijsbestuur is het bevoegd gezag nummer toegevoegd. Beiden binnen de scope van de proof of concept.
0.0.5: POC scope verwijderd en tekst nagelopen voor wijziging in referentiecomponenten en gegevensdefinities.
0.0.6: Primaire en secundaire identifiers voor onderwijsorganisaties toegevoegd inclusief een toelichting op de verschillen tussen BRIN6 en RIO Onderwijsaanbieder.
0.0.7: De pagina is besproken tijdens de bijeenkomst van de Architectenraad Edu-V en is gereed voor de ROSA-architectuurscan.
0.0.8: Onderscheid tussen primaire en secundaire identifiers nader toegelicht. Stagebegeleiders en stagebedrijven verwijderd. Tabellen toegevoegd voor onderwijsdeelnemers en onderwijsmedewerkers.
0.0.9: Paragraaf over Digitale Identiteit Onderwijsorganisaties nader uitgewerkt met vereisten aan het Register Onderwijsorganisaties.
0.9.0: Het Bestuurlijk Overleg heeft tijdens de bijeenkomst van 27 juni 2024 het Afsprakenstelsel Edu-V als versie 0.9.0 goedgekeurd voor implementatie.
0.9.1: De Vestigingserkenning stond als secundaire identifier van zowel de onderwijsaanbieder als de onderwijslocatie. De Vestigingserkenning is een identifier van een onderwijslocatie in het domein van de Onderwijserkenningen. Om deze reden is de Vestigingserkenning als secundaire identifier voor een Onderwijsaanbieder verwijderd.