Ontwerpkaders
Ontwerpkaders bieden kaders aan opdrachtgevers, projectleiders en uitvoerders om projecten en ontwikkelingen in lijn met de ROSA uit te voeren. De ontwerpkaders zijn ingedeeld naar ontwerpgebied:
IAA
| Stelling | |
|---|---|
| Afnemers bepalen benodigde betrouwbaarheidsniveaus op basis van risicoanalyse | Afnemers van IAA-diensten bepalen welk betrouwbaarheidsniveau van authenticatie of andere IAA-diensten zij nodig hebben aan de hand van een risicoanalyse |
| Gebruik onderwijsidentiteit waar nodig | Waar onderwijsprocessen dit vereisen, wordt de onderwijsidentiteit gebruikt om een onderwijsvolger te identificeren |
| Gebruik pseudoniem waar mogelijk | Waar het gebruik vande onderwijsidentiteit in onderwijsprocessen niet noodzakelijk is, wordt buiten onderwijsinstellingen de onderwijsvolger geïdentificeerd aan d hand van een pseudoniem. |
| Het gemeenschappelijk IAA-stelsel kent een publiek-private governance | Het gemeenschappelijk IAA-stelsel kent een publiek-private governance |
| Identiteituitgifte bij onderwijsinstellingen | Identiteiten worden uitgegeven bij onderwijsinstellingen, in communicatie met een centrale functie ("nummergenerator") om uniciteit en betekenisloosheid te regelen, alsmede een registratie in een nummervertaalvoorziening. |
| Kwaliteitsborging van identiteiten | De kwaliteit van de identiteiten wordt geborgd door een kwaliteitssysteem. |
| Marktpartijen kunnen IAA-diensten leveren | Marktpartijen kunnen IAA-diensten leveren in het gemeenschappelijke IAA-stelsel. De ruimte voor marktdiensten wordt door het onderwijsveld bepaald. |
| Meerdere expliciete betrouwbaarheidsniveaus | Het gemeenschappelijke IAA-stelsel hanteert meerdere, expliciete betrouwbaarheidsniveaus voor IAA-diensten zoals authenticatie op basis van gangbare standaarden |
| Ontsluiten van lokale informatiediensten | Het gemeenschappelijke IAA-stelsel ontsluit ook lokale informatiediensten van onderwijsinstellingen |
| Toenadering tot eID | De relatie met het eID-stelsel is er één van toenadering en afstemming zodat het eID-stelsel ook goed past op de specifieke situatie in het onderwijsveld. |
| Voortbouwen op bestaande federaties | De gemeenschappelijke IAA-infrastructuur wordt ontwikkeld, integraal ondersteund door de bestaande federaties (SURFconext en Kennisnetfederatie), gelet op, maar vooralsnog autonoom ten opzichte van het eID-stelsel. |
IBP
| Stelling | |
|---|---|
| Afspraken over te realiseren ambitieniveaus | Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan |
| Continuïteit van de dienstverlening | Ketenpartijen waarborgen de continuïteit van dienstverlening (ook bij calamiteiten) |
| De juiste gegevens op het juiste moment op de juiste plaats | Ketenpartijen zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar |
| Duidelijke eisen en verwachtingen | Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben |
| Gebruik technieken voor veilig programmeren | Ketenpartijen gebruiken technieken voor veilig programmeren |
| Gegevens worden niet langer bewaard dan strikt noodzakelijk | Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk |
| Handelingen zijn herleidbaar | Ketenpartijen zorgen dat handelingen herleidbaar zijn |
| Incident response | Ketenpartijen zorgen voor een goede incident response |
| Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging' | Binnen het basisniveau gelden de beheersdoelstellingen uit ISO/IEC 27001/27002 als kaders voor informatiebeveiliging door individuele ketenpartijen. |
| Proactief technisch beheer | Ketenpartijen voeren proactief technisch beheer uit |
| Sectorbrede frameworks en baselines | Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines |
| Transparantie over maatregelen | Ketenpartijen zijn transparant over de genomen privacy- en beveiligingsmaatregelen |
| Valideer persoonsgebonden gegevens | Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens |
| Voldoende meet- en controlepunten | Ketenpartijen zorgen voor voldoende meet- en controlepunten |
| Voorkom aantasting van integriteit | Ketenpartijen voorkomen aantasting van de integriteit van gegevens |
| Voorkom ongewenste traceerbaarheid en vindbaarheid | Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen |
| Voorkom onrechtmatige toegang of verspreiding | Ketenpartijen voorkomen onrechtmatige toegang tot of verspreiding van gegevens |
Gegevensuitwisseling in de keten
| Stelling | |
|---|---|
| Classificeer alle gegevens- en domeinobjecten met het Kernmodel Onderwijsinformatie | Alle gegevens en domeinobjecten worden geclassificeerd met het Kernmodel Onderwijs Informatie. |
| Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling | De Edukoppeling transactiestandaard wordt gebruikt voor de communicatie (M2M) ten behoeve van in ieder geval vertrouwelijke gegevensuitwisseling |
| Gebruik het Gegevenswoordenboek DUO voor berichtuitwisseling met DUO | Het Gegevenswoordenboek DUO wordt gebruikt voor de berichtspecificatie ten behoeve van berichtuitwisseling met DUO. |
| Ketenpartijen bepalen zelf de identificerende kenmerken van logistieke punten | Ketenpartijen bepalen en registreren zelf de identificerende kenmerken ten behoeve van de logistieke punten voor verzending en aflevering (binnen de systematiek van de Edukoppeling transactiestandaard) |
| Ketenpartijen bieden wederzijdse services | Zowel DUO als scholen c.q. leveranciers bieden (web)services aan voor gegevensuitwisseling binnen de keten |
| Openbare registergegevens worden ontsloten als Linked Open Data | Voor openbare registergegevens worden gegevens ontsloten in de vorm van Linked Open Data (5 sterren op de schaal van Berners-Lee). |
| Registreer de betekenis van nieuwe gegevens | Gegevens die niet aan een bestaande semantische bron zijn te koppelen, moeten aan de meest toepasselijke semantische bron binnen het onderwijs worden toegevoegd |
| Semantiek in berichtuitwisseling is traceerbaar | Semantiek in berichtuitwisseling moet traceerbaar zijn (ter voorkoming vanonnodige variëteit) |
| Serviceinformatie wordt samenhangend beschikbaar gesteld | Informatie over wie services waar aanbiedt en wie daar gebruik van mogen maken, wordt samenhangend beschikbaar gesteld. |
Governance
| Stelling | |
|---|---|
| Alle belangen in kaart | Het is duidelijk welke belanghebbenden bij de ketenafspraak betrokken zijn, en wat hun belangen zijn. |
| Betrokken belanghebbenden | Voor alle belanghebbenden is vastgesteld hoe zij betrokken kunnen zijn bij beheer en (door)ontwikkeling van (de voor hen relevante onderdelen van) de ketenafspraak. |
| Bewaak relaties met andere afspraken | Het is bekend welke gerelateerde ketenafspraken er zijn en hoe afstemming met die gerelateerde ketenafspraken is georganiseerd. |
| Geclusterde belanghebbenden | Voor iedere belanghebbende is in beeld op welk onderdeel en/of niveau van de ketenafspraak zij welk belang hebben. |
| Recht doen aan verschillen in dynamiek en betrokkenheid | Overlegstructuren en andere governanceaspecten worden zo ingericht dat recht gedaan wordt aan verschillen in dynamiek in en betrokkenheid bij onderdelen van de ketenafspraak. |
