Architectuurscan OO API IBP

Uit ROSA Wiki
Versie door Lbraam (overleg | bijdragen) op 6 apr 2018 om 13:51
Naar navigatie springen Naar zoeken springen


Onbepaald.png ROSA Architectuurscan OO API

IBP: Onbepaald

Hier ziet u een samenvatting van de architectuurscan van het onderwerp OO API op het onderdeel . De scan is uitgevoerd op 18 januari 2018.

Bevindingen "IBP" (OO API)[bewerken]

Voorkom onrechtmatige toegang of verspreiding - Uit de website blijkt dat de OO API onderstaande data beschikbaarheidsniveaus kent:

  1. “Data wat beschikbaar is voor iedereen, zoals nieuwsberichten of een overzicht van de verschillende studies.”
  2. “Data wat voor een bepaalde doelgroep beschikbaar is, zoals rooster data wat alleen beschikbaar is voor studenten van een bepaalde instelling of van een bepaalde studierichting. Voordat deze data kan worden vrijgegeven dient het systeem (veelal de API manager) de identiteit van de gebruiker te achterhalen om te kunnen bepalen ‘Is dit een student van deze instelling of van deze studierichting?’. De gebruiker zal deze gegevens middels een inlog moeten vrijgeven.”
  3. “Data wat bedoeld is voor een bepaalde gebruiker. Denk hier bijvoorbeeld aan tentamen/examen cijfers. Voordat deze data kan worden vrijgegeven dient het systeem de identiteit van de gebruiker te achterhalen. De gebruiker zal hiervoor moeten inloggen”

Zie: https://openonderwijsapi.nl/community/faq/

In de website van de OO API staat dat de OO API de OAuth 2.0 protocol ondersteunt. De specificatie zelf geeft niet aan hoe OAuth 2.0 precies gebruikt/geïmplementeerd moet worden. Er is een PoC waarin informatie hierover is opgenomen.

Transparantie over maatregelen - In het HO is gekozen voor het vastleggen van afspraken ten aanzien van privacy en security middels het SURF juridisch normenkader.

De juiste gegevens op het juiste moment op de juiste plaats - De OO API geeft een goede invulling hieraan Maakt het mogelijk om gegevens op een laagdrempelige manier op te vragen bij de bronnen. Welke gegevens de ‘juiste’ zijn, kan worden aangegeven via filters (zie hierover de opmerkingen bij Voorkom onrechtmatige toegang of verspreiding)

Handelingen zijn herleidbaar - Over de traceerbaarheid van opvragingen via de OO API zijn geen besluiten of richtlijnen vastgelegd

Voorkom ongewenste traceerbaarheid en vindbaarheid - Over het gebruik van persoonsgegevens (zoals geslacht, tel.nummer, foto,..) zijn geen besluiten of richtlijnen vastgelegd

Relatie met ROSA[bewerken]

Onbepaald - Verdere ontwerp- en implementatiekeuzes bepalen de mate waarin toegang tot vertrouwelijke gegevens afdoende kan worden beperkt

terug naar de ROSA Architectuurscan