Ontwerpkaders
Ontwerpkaders bieden kaders aan opdrachtgevers, projectleiders en uitvoerders om projecten en ontwikkelingen in lijn met de ROSA uit te voeren. De ontwerpkaders zijn ingedeeld naar ontwerpgebied:
IAA
Stelling | |
---|---|
Afnemers bepalen benodigde betrouwbaarheidsniveaus op basis van risicoanalyse | Afnemers van IAA-diensten bepalen welk betrouwbaarheidsniveau van authenticatie of andere IAA-diensten zij nodig hebben aan de hand van een risicoanalyse |
Gebruik onderwijsidentiteit waar nodig | Waar onderwijsprocessen dit vereisen, wordt de onderwijsidentiteit gebruikt om een onderwijsvolger te identificeren |
Gebruik pseudoniem waar mogelijk | Waar het gebruik vande onderwijsidentiteit in onderwijsprocessen niet noodzakelijk is, wordt buiten onderwijsinstellingen de onderwijsvolger geïdentificeerd aan d hand van een pseudoniem. |
Het gemeenschappelijk IAA-stelsel kent een publiek-private governance | Het gemeenschappelijk IAA-stelsel kent een publiek-private governance |
Identiteituitgifte bij onderwijsinstellingen | Identiteiten worden uitgegeven bij onderwijsinstellingen, in communicatie met een centrale functie ("nummergenerator") om uniciteit en betekenisloosheid te regelen, alsmede een registratie in een nummervertaalvoorziening. |
Kwaliteitsborging van identiteiten | De kwaliteit van de identiteiten wordt geborgd door een kwaliteitssysteem. |
Marktpartijen kunnen IAA-diensten leveren | Marktpartijen kunnen IAA-diensten leveren in het gemeenschappelijke IAA-stelsel. De ruimte voor marktdiensten wordt door het onderwijsveld bepaald. |
Meerdere expliciete betrouwbaarheidsniveaus | Het gemeenschappelijke IAA-stelsel hanteert meerdere, expliciete betrouwbaarheidsniveaus voor IAA-diensten zoals authenticatie op basis van gangbare standaarden |
Ontsluiten van lokale informatiediensten | Het gemeenschappelijke IAA-stelsel ontsluit ook lokale informatiediensten van onderwijsinstellingen |
Toenadering tot eID | De relatie met het eID-stelsel is er één van toenadering en afstemming zodat het eID-stelsel ook goed past op de specifieke situatie in het onderwijsveld. |
Voortbouwen op bestaande federaties | De gemeenschappelijke IAA-infrastructuur wordt ontwikkeld, integraal ondersteund door de bestaande federaties (SURFconext en Kennisnetfederatie), gelet op, maar vooralsnog autonoom ten opzichte van het eID-stelsel. |
IBP
Stelling | |
---|---|
Afspraken over te realiseren ambitieniveaus | Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan |
Continuïteit van de dienstverlening | Ketenpartijen waarborgen de continuïteit van dienstverlening (ook bij calamiteiten) |
De juiste gegevens op het juiste moment op de juiste plaats | Ketenpartijen zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar |
Duidelijke eisen en verwachtingen | Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben |
Gebruik technieken voor veilig programmeren | Ketenpartijen gebruiken technieken voor veilig programmeren |
Gegevens worden niet langer bewaard dan strikt noodzakelijk | Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk |
Handelingen zijn herleidbaar | Ketenpartijen zorgen dat handelingen herleidbaar zijn |
Incident response | Ketenpartijen zorgen voor een goede incident response |
Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging' | Binnen het basisniveau gelden de beheersdoelstellingen uit ISO/IEC 27001/27002 als kaders voor informatiebeveiliging door individuele ketenpartijen. |
Proactief technisch beheer | Ketenpartijen voeren proactief technisch beheer uit |
Sectorbrede frameworks en baselines | Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines |
Transparantie over maatregelen | Ketenpartijen zijn transparant over de genomen privacy- en beveiligingsmaatregelen |
Valideer persoonsgebonden gegevens | Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens |
Voldoende meet- en controlepunten | Ketenpartijen zorgen voor voldoende meet- en controlepunten |
Voorkom aantasting van integriteit | Ketenpartijen voorkomen aantasting van de integriteit van gegevens |
Voorkom ongewenste traceerbaarheid en vindbaarheid | Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen |
Voorkom onrechtmatige toegang of verspreiding | Ketenpartijen voorkomen onrechtmatige toegang tot of verspreiding van gegevens |
Gegevensuitwisseling in de keten
Stelling | |
---|---|
Classificeer alle gegevens- en domeinobjecten met het Kernmodel Onderwijsinformatie | Alle gegevens en domeinobjecten worden geclassificeerd met het Kernmodel Onderwijs Informatie. |
Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling | De Edukoppeling transactiestandaard wordt gebruikt voor de communicatie (M2M) ten behoeve van in ieder geval vertrouwelijke gegevensuitwisseling |
Gebruik het Gegevenswoordenboek DUO voor berichtuitwisseling met DUO | Het Gegevenswoordenboek DUO wordt gebruikt voor de berichtspecificatie ten behoeve van berichtuitwisseling met DUO. |
Ketenpartijen bepalen zelf de identificerende kenmerken van logistieke punten | Ketenpartijen bepalen en registreren zelf de identificerende kenmerken ten behoeve van de logistieke punten voor verzending en aflevering (binnen de systematiek van de Edukoppeling transactiestandaard) |
Ketenpartijen bieden wederzijdse services | Zowel DUO als scholen c.q. leveranciers bieden (web)services aan voor gegevensuitwisseling binnen de keten |
Openbare registergegevens worden ontsloten als Linked Open Data | Voor openbare registergegevens worden gegevens ontsloten in de vorm van Linked Open Data (5 sterren op de schaal van Berners-Lee). |
Registreer de betekenis van nieuwe gegevens | Gegevens die niet aan een bestaande semantische bron zijn te koppelen, moeten aan de meest toepasselijke semantische bron binnen het onderwijs worden toegevoegd |
Semantiek in berichtuitwisseling is traceerbaar | Semantiek in berichtuitwisseling moet traceerbaar zijn (ter voorkoming vanonnodige variëteit) |
Serviceinformatie wordt samenhangend beschikbaar gesteld | Informatie over wie services waar aanbiedt en wie daar gebruik van mogen maken, wordt samenhangend beschikbaar gesteld. |