AS SES IBP
 |
ROSA Architectuurscan
IBP: Onbepaald |
Hier ziet u een samenvatting van de architectuurscan van het onderwerp op het onderdeel . De scan is uitgevoerd op 31 oktober 2022.
Bevindingen "IBP" ()[bewerken]
Aanmeldformulier 2.2:
- Vanuit dataminimalisatie en doelbinding ontvangen partijen die deelnemen aan SEM Ecosysteem de minimale set aan informatie die ze nodig hebben om de gekozen rollen goed te kunnen vervullen.
- Vanuit privacy en concurrentiegevoeligheid ontvangen de partijen alleen data van de scholen die klant van de partij zijn en consent hebben gegeven voor de uitwisseling van data.
"Op de infrastructuur wordt adequate beveiliging (HTTPS, TLS1.2) toegepast."
Persoonsgegevens mogen alleen ingezien worden door die medewerkers die hier vanuit hun rol en functie toe bevoegd zijn. (Aanmeldformulier, 2.2)
Er is een pub-sub mechanisme (Generic Event Stream API) waarin persoonsgegevens worden uitgewisseld. https://stichtingsem.stoplight.io/docs/ecosystem/78b9c77ba05dd-generic-event-stream-api
Naast ECKiD of (fallback) userId wordt ook gewerkt met UUIDs voor personen, e.g. “UUID chosen by the SIS to refer to a student. This identifier is only published by the SIS as part of the url sent in an earlier event about this student. This identifier is only to be used within the context of requestparameter for this resource, not as a broader identifier of the student.”. https://stichtingsem.stoplight.io/docs/ecosystem/04ac6bbdffad6-get-student-by-id
Relatie met ROSA[bewerken]
Onbepaald - Er wordt weliswaar gesteld dat een UUID alleen gebruikt mag worden binnen de context van een enkele resource, maar er lijkt verder niet afgedwongen te worden dat UUIDs niet over resources / calls heen gebruikt kunnen worden. Daarmee ontstaat mogelijk een separate persoonsidentifier naast de eigenlijke identifier (eckID, userID) die in de requests gebruikt worden.