Doelen en principes: verschil tussen versies

Uit ROSA Wiki
Ga naar: navigatie, zoeken
(Visie en doelen)
Regel 4: Regel 4:
 
{{#ask: [[Categorie:Doelen]]|?Toepassingsgebied |format=outline|outlineproperties=Toepassingsgebied}}
 
{{#ask: [[Categorie:Doelen]]|?Toepassingsgebied |format=outline|outlineproperties=Toepassingsgebied}}
  
Deze doelen komen voort uit de [[Visie en doelen|visie]] en zijn vertaald naar richtinggevende principes, die als kader dienen voor ketenprojecten in het onderwijsdomein.
+
Deze doelen komen voort uit de [[Visie en doelen|visie van het onderwijs]] en zijn vertaald naar richtinggevende principes, die als kader dienen voor ketenprojecten in het onderwijsdomein.
  
 
==Principes==
 
==Principes==

Versie van 7 aug 2017 om 09:26

Visie en doelen

De ROSA ondersteunt de volgende onderwijsdomeinbrede doelen (zie details, of download CSV):

Bovensectorale samenwerking

Privacy en beveiliging

IAA


Deze doelen komen voort uit de visie van het onderwijs en zijn vertaald naar richtinggevende principes, die als kader dienen voor ketenprojecten in het onderwijsdomein.

Principes

De principes in ROSA zijn verdeeld over drie lagen:

 1. Basisprincipes beschrijven de belangrijkste gewenste kenmerken van het onderwijsdomein gerelateerd aan de doelen uit de visie. Basisprincipes doen geen uitspraken over de wijze waarop deze kenmerken moeten worden gerealiseerd.
 2. Afgeleide principes zijn principes die volgen uit de basisprincipes en die een verdere concretisering van die basisprincipes beogen.
 3. Ontwerpprincipes zijn een verdere invulling van de afgeleide principes. Zij bieden concrete kaders en richtlijnen voor (keten)projecten om aan de doelen en principes van ROSA te voldoen.

Basisprincipes

(zie details, of download CSV)

Bovensectorale samenwerking

Privacy en beveiliging

Gegevensuitwisseling in de keten

IAA


Afgeleide principes

(zie details, of download CSV)

Bovensectorale samenwerking

Privacy en beveiliging

IAA

Gegevensuitwisseling in de keten


Ontwerpkaders

(zie details, of download CSV)

IAA

Privacy en beveiliging

Gegevensuitwisseling in de keten


Samenhang doelen en principes en aansluiting bij NORA

Het onderstaande diagram toont de samenhang tussen de doelen en principes uit de referentiearchitectuur onderwijs alsook de samenhang met de relevante onderdelen ui NORA. Een pijl vanuit uitspraak A naar uitspraak B drukt uit dat A een realisatie is van B. Bijvoorbeeld: 'Persoonlijke digitale ruimte' realiseert 'De onderwijsvolger voert regie op zijn eigen onderwijsgegevens' (uit RAO) en ook 'Afnemer heeft inzage' (uit NORA).

Doelen in detail

Terug naar boven

 • Inspelen op beleidswijzigingen
  Stelling: De informatie-uitwisseling moet snel aangepast kunnen worden op beleidswijzingen en wijzigingen in wet-en regelgeving.
 • Ketenbrede informatiebeveiliging en privacybescherming
  Stelling: Ketenbrede informatiebeveiliging en privacybescherming
  Rationale: Vraagstukken rondom privacy en beveiliging beperken zich al lang niet meer tot individuele organisaties. Het onderwijs werkt in hoge mate in ketens, waarbij de veiligheid van de keten bepaald wordt door de sterkte van de zwakste schakel. Het heeft geen zin om op één plaats in de keten hoge muren rond informatie op te werpen, als verderop in de keten niet hetzelfde niveau van privacybescherming en informatiebeveiliging wordt gehanteerd.
  Implicaties: Om ketenbreed de beveiliging van informatie en de bescherming van privacy te waarborgen, moeten alle ketenpartijen zich committeren aan een aantal kaders over hoe om te gaan met informatiebeveiliging en privacy.
 • Leven lang leren
  Stelling: Burgers ondersteunen bij een leven lang leren over de grenzen van instituten heen
  Rationale: Het onderwijssysteem in Nederland is gestructureerd in verschillende sectoren. Elke sector kent een unieke wetgeving, financiering en organisatievorm. Onderwijsdeelnemers stappen tijdens hun onderwijsloopbaan van de ene sector over naar een volgende onderwijssector en uiteindelijk ook naar werk. Het is vanuit het oogpunt van de kwaliteit en effectiviteit van ons onderwijssysteem van groot belang dat onderwijsprocessen in verschillende sectoren goed op elkaar aansluiten. Dan kunnen onderwijsdeelnemers soepel de best bij hen passende route door het systeem volgen en kunnen zij zo goed mogelijk worden ondersteund in hun ontwikkeling en groei.
  Implicaties: Streven naar een betere afstemming en meer gemeenschappelijkheid in de informatiehuishouding van de administratieve ketenprocessen in de doorlopende leerlijn.
 • Privacy by design
  Stelling: Het onderwijsdomein beschermt de privacy op basis van dataminimalisatie, reductie van koppelbaarheid en user consent
 • Terugdringen administratieve lasten
  Stelling: Terugdringen van administratieve lasten in het onderwijs
  Rationale: De overheid, de maatschappij en het onderwijs zelf vragen van scholen en andere ketenpartijen om gegevens te verzamelen, te registreren en ter beschikking te stellen. Deze gegevens worden gebruikt bij de begeleiding van de onderwijsvolger, voor horizontale en verticale verantwoording, en voor beleid en interne organisatie. Veel gegevens worden op verschillende plaatsen in de onderwijsketen bijgehouden. Dit leidt tot onnodige administratieve lasten.
  Implicaties: Meer hergebruik van gegevens die binnen het onderwijsdomein al bekend zijn; betere afstemming en meer gemeenschappelijkheid in informatiehuishouding.


Basisprincipes in detail

Terug naar boven

 • Aansluiten bij NORA
  Stelling: De referentiearchitectuur voor het onderwijs sluit aan bij de Nederlandse Overheid Referentie Architectuur.
  Rationale: Een referentiearchitectuur voor het onderwijs is een nadere concretisering van de Nederlandse Overheid Referentie Architectuur (NORA), die als doel heeft om de dienstverlening van de overheid te verbeteren. De Referentie Architectuur Onderwijs beoogt ditzelfde te bewerkstelligen in de specifiekere onderwijscontext.
  Implicaties: Het doel is om tot één gemeenschappelijke Referentie Architectuur Onderwijs te komen, die door alle partijen in het onderwijsveld gedragen wordt, zowel de partijen uit de diverse onderwijssectoren alsook OCW en DUO. In de aansluiting bij NORA maken we vooral gebruik van die onderdelen van NORA die het meest helpen bij het realiseren van de overige basisprincipes.
 • Basisniveau informatiebeveiliging en privacybescherming
  Stelling: Ketenpartijen realiseren een basisniveau informatiebeveiliging en privacybescherming
  Rationale: Om risico's af te dekken moeten onderwijsinstellingen samen met andere ketenpartijen dus maatregelen nemen die zorgen voor veilig gebruik van - vaak privacygevoelige - gegevens. Die maatregelen zijn voor verschillende onderwijssectoren grotendeels identiek. Het is daarom belangrijk dat er kennis gedeeld wordt en dat ketenpartijen samen optrekken om te werken aan een veiliger keten.
  Implicaties: Het basisniveau omvat zaken op het gebied van privacy en beveiliging die hoe dan ook geregeld moeten zijn. De kaders in het basisniveau zijn dus in elke situatie binnen het onderwijs van toepassing en zijn gericht op:
  • Informatiebeveiliging door ketenpartijen.
  • Ketenbrede waarborging van vertrouwelijkheid en integriteit;
  • Ketenbrede waarborging van beschikbaarheid in ketenprocessen;
  • Ketenbrede waarborging van controleerbaarheid;
  • Ketenbrede governance van privacy- en beveiligingsmaatregelen
 • Behoeftegerichte en doelgebonden gegevensuitwisseling
  Stelling: Behoeftegerichte en doelgebonden gegevensuitwisseling
  Rationale: Gegevens die vanuit een bepaald ketenproces of bepaalde sector relevant zijn, zijn dat in een andere context soms niet.
  Implicaties: Gegevensservices zijn geënt op de context waarbinnen die services gebruikt worden. Er wordt niet meer (maar ook niet minder) informatie uitgewisseld dan nodig.
 • De onderwijsvolger voert regie op zijn eigen onderwijsgegevens
  Stelling: De onderwijsvolger wordt in staat gesteld reeds bekende gegevens (her) te gebruiken, en in sommige gevallen te bewerken, en te beslissen welke partijen al dan niet mogen inzien, gebruiken en bewerken
  Rationale: Om de onderwijsvolger optimaal te kunnen ondersteunen in zijn ontwikkeling en groei zal de informatiehuishouding voor de burger zelf ook transparant moeten zijn en is het noodzakelijk dat hij regie kan voeren op zijn eigen (onderwijs)gegevens.
  Implicaties: Transparantie betekent dat het voor de onderwijsvolger duidelijk moet zijn bij welke organisatie welke gegevens over hem zijn opgeslagen. Regie betekent dat de onderwijsvolger in staat wordt gesteld deze gegevens (her) te gebruiken en in sommige gevallen te bewerken, en te beslissen welke partijen al dan niet mogen inzien, gebruiken en bewerken. Daarbij is het niet noodzakelijk dat gegevens centraal worden beheerd en opgeslagen, maar dat gegevens op het moment dat het nodig is, opgehaald kunnen worden bij de bron. Dus geen centraal dossier, maar een samenstelling van diensten.
 • Digitaal doen we het zo
  Stelling: Wanneer we digitaal gegevens uitwisselen, doen we dat volgens de afspraken uit de referentiearchitectuur.
  Rationale: Ketenpartijen verzamelen en wisselen gegevens uit via verschillende kanalen, zoals post, telefoon, e-mail, webformulieren, en machine-machinekoppelingen. Voor elk kanaal zijn afspraken nodig. De referentiearchitectuur richt zich op digitalisering van ketenprocessen.
  Implicaties: De referentiearchitectuur legt afspraken vast voor het digitale kanaal, met name voor machine-machinekoppelingen, maar dwingt het gebruik van dat kanaal niet af. Afspraken die betrekking hebben op andere kanalen zijn buiten de scope van de referentiearchitectuur en worden door partijen onderling ad hoc of structureel (bilateraal) ingevuld.
 • Een gemeenschappelijk IAA-stelsel
  Stelling: Het onderwijsdomein gebruikt voor identificatie, authenticatie één gemeenschappelijk IAA-stelsel
 • Eenmalige registratie meervoudig gebruik
  Stelling: We streven ernaar dat gegevens binnen het onderwijsdomein steeds op één plaats worden geregistreerd en van daaruit op andere plaatsen worden hergebruikt.
  Rationale: Veel gegevens worden op verschillende plaatsen in de onderwijsketen bijgehouden. Dit leidt tot onnodige administratieve lasten.
  Implicaties: Gegevens die reeds in het onderwijsdomein bekend zijn, worden niet opnieuw samengesteld of uitgevraagd maar in plaats daarvan hergebruikt.
 • Gemeenschappelijkheid in informatiehuishouding
  Stelling: We streven naar een betere afstemming en meer gemeenschappelijkheid in de informatiehuishouding van de administratieve ketenprocessen.
  Rationale: Een betere afstemming en meer gemeenschappelijkheid draagt bij aan het optimaliseren van de keten(s) van gegevensuitwisseling ten behoeve van de eigen bedrijfsprocessen van de verschillende ketenpartners die een rol hebben in de doorlopende leerlijn Voor deze optimalisatie is gegevensuitwisseling nodig op het niveau van het gehele onderwijsdomein, die het niveau van een deelsector of een instelling of de grens overheid/onderwijsveld overstijgt.
  Implicaties: (technische interoperabiliteit) toewerken naar een gemeenschappelijke en neutrale basisinfrastructuur, waarop services worden aangeboden die aan het gehele onderwijsveld beschikbaar kunnen worden gesteld en waarmee partijen door hen gewenste gegevens, op een door hen gewenst moment op kunnen vragen c.q. beschikbaar kunnen stellen; (semantische interoperabiliteit) informatie zo organiseren dat, met inachtneming van sector- en processpecifieke terminologie, de betekenis van gegevens eenduidig is.
 • Koppelen - niet kantelen
  Stelling: We richten ons op het koppelen van de informatievoorziening, en niet op het kantelen van bestaande processen.
  Rationale: Elke partij in de onderwijsketen heeft eigen verantwoordelijkheden. Partijen bepalen zelf de procesinrichting om die verantwoordelijkheden in te vullen.
  Implicaties: Slechts daar waar de processen vanuit ketensamenwerking raakvlakken vertonen - dat wil zeggen, daar waar informatie wordt uitgewisseld - vallen zij binnen de scope van de referentiearchitectuur onderwijs. Dat betekent dat de referentiearchitectuur onderwijs zich richt op dat wat tussen organisaties in de keten plaatsvindt, en niet op de inrichting binnen die organisaties.


Afgeleide principes in detail

Terug naar boven

 • Een gezamenlijke basisinfrastructuur
  Stelling: We werken toe naar een gemeenschappelijke informatie-infrastructuur gebaseerd op services, die voor alle partijen beschikbaar zijn om door hen gewenste gegevens, op een door hen gewenst moment op te vragen c.q. beschikbaar te stellen.
  Rationale: .
  Implicaties: Er zijn centrale afspraken en generieke diensten nodig om de basisinfrastructuur draaiende te houden. Organisaties die zich aansluiten op de basisinfrastructuur moeten aan een aantal voorwaarden voldoen. In principe kunnen alle organisaties en personen die deel uitmaken van of een relatie hebben tot het onderwijsveld zich aansluiten op de basisinfrastructuur.
 • Eenheid in verscheidenheid
  Stelling: We ondersteunen het bestaan van verschillende terminologie in de verschillende onderwijssectoren en ketenprocessen, en overbruggen die verschillen zonder een gemeenschappelijke taal voor te schrijven.
  Rationale: Hoewel binnen de onderwijssectoren en ketenprocessen soortgelijke gegevens worden uitgewisseld, zijn er per onderwijssector nog wel sterke verschillen in gegevensaanduiding en -definities. Denk bijvoorbeeld aan leerling, student, deelnemer, etc. Daarnaast worden dezelfde aanduidingen soms gebruikt voor wezenlijk andere betekenissen, denk bijvoorbeeld aan het begrip 'begindatum van de opleiding' dat achtereenvolgens kan betekenen: de beoogde datum waarop iemand met een opleiding begint, de datum waarop iemand daadwerkelijk begint en de eerste les heeft, de datum van inschrijving, en het moment waarop de opleiding tot stand is gekomen.
  Implicaties: De betekenis van begrippen is eenduidig vast te stellen. Het verband tussen begrippen uit verschillende onderwijssectoren of ketenprocessen is inzichtelijk.
 • Informatiebeveiliging door ketenpartijen
  Stelling: Elke individuele ketenpartij dient zijn eigen (interne) informatiebeveiliging op orde te hebben.
  Rationale: Van alle partijen in het onderwijsdomein mag worden verwacht dat zij serieus met informatiebeveiliging omgaan.
  Implicaties: Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging'
 • Ketenbrede governance van privacy- en beveiligingsmaatregelen
  Stelling: Er is ketenbrede sturing op de te nemen privacy- en beveiligingsmaatregelen.
  Rationale: Een ketenbrede aanpak van privacy- en beveiligingsvraagstukken vraagt om een ketenbrede sturing op de te nemen maatregelen.
  Implicaties: Vanuit de verschillende onderwijssectoren vindt harmonisatie plaats van de te nemen maatregelen ter voorkoming van en in reactie op incidenten
 • Ketenbrede waarborging van beschikbaarheid in ketenprocessen
  Stelling: De beschikbaarheid van relevante resources moet ketenbreed worden gewaarborgd.
  Rationale: In de uitvoering van ketenprocessen zijn we afhankelijk van andere partijen in de keten.
  Implicaties: Tijdige en juiste uitvoering van ketenprocessen
 • Ketenbrede waarborging van controleerbaarheid
  Stelling: Ketenpartijen maken het mogelijk vast te stellen of de in de keten genomen maatregelen in voldoende mate de risico's op het vlak van informatiebeveiliging en privacybescherming afdekken
  Rationale: Als we in het onderwijs als een veilige en privacybewuste keten willen opereren, moeten we vast kunnen stellen of de maatregelen door de keten heen genomen zijn, afdoende zijn.
  Implicaties: Elkaar kunnen aanspreken op het naleven van de in het basisniveau opgenomen kaders.
 • Ketenbrede waarborging van vertrouwelijkheid en integriteit
  Stelling: Vertrouwelijkheid en integriteit moeten niet enkel door individuele ketenpartijen, maar juist ketenbreed worden gewaarborgd.
  Rationale: We zijn als onderwijsketen gezamenlijk verantwoordelijk voor de vertrouwelijkheid en integriteit van informatie die door de keten heen gebruikt wordt. Eén zwakke schakel kan alle maatregelen elders in de keten teniet doen.
  Implicaties: Vertrouwelijkheid en integriteit worden ketenbreed te gewaarborgd
 • Minimalisering van de digitale sleutelbos
  Stelling: We streven naar verkleining van de digitale sleutelbos van de leerlingen, docenten en overige medewerkers
 • Niet bemoeien met interne aangelegenheden
  Stelling: Niet bemoeien met interne aangelegenheden, waar nodig transparantie bieden
  Rationale: Projecten met belangrijke ketenaspecten raken ook de interne informatiehuishouding van ketenpartijen.
  Implicaties: Een keten(start)architectuur betreft het koppelvlak voor de gegevensuitwisseling tussen ketenpartijen. De wijze waarop ketenpartijen hun informatievoorziening inrichten om te voldoen aan de vanuit de keten gestelde eisen is aan de partijen zelf. In het kader van betrouwbaarheid kan het nodig zijn dat ketenpartijen inzage geven in de genomen beheersmaatregelen t.a.v. beveiliging. Ketenpartijen zullen zich bijvoorbeeld aantoonbaar aan doelbinding moeten houden.
 • Onderwijsidentiteit
  Stelling: Een onderwijsvolger wordt in administraties en processen van onderwijsinstellingen geïdentificeerd aan de hand van een onderwijsidentiteit
 • Persoonlijke digitale ruimte
  Stelling: Burgers krijgen een eigen 'digitale ruimte', waarmee zij inzicht en toegang kunnen krijgen tot de gegevens die over hen in het onderwijsveld zijn opgeslagen.
  Rationale: Vanuit de digitale ruimte ontstaat voor burgers een goed beeld welke gegevens over hen geregistreerd zijn bij welke organisaties/instellingen binnen het onderwijsdomein. Hiermee krijgen zij de regie over hun eigen gegevens en kunnen zij hun gegevens beter (her)gebruiken gedurende hun loopbaan en leven lang leren.
  Implicaties: Er moeten afspraken gemaakt worden over de (standaard)wijze waarop gegevens uit de verschillende registraties ontsloten worden. Ontwikkelingen rondom UMA (user managed access) bieden hierbij kansen.
 • Serviceprestaties in beeld
  Stelling: De serviceprestaties van de keten in het verleden, heden en de toekomst zijn in beeld.
  Rationale: In de keten worden prestatieafspraken gemaakt over services. Deze zijn vaak tijd- of kwaliteitkritisch omdat de dienstverlening op een bepaald niveau moet opereren. Bijvoorbeeld: services moeten beschikbaar zijn en berichten mogen niet kwijtraken.
  Implicaties: Het beheer van de keten moet worden ingericht, niet alleen binnen de deelnemende organisaties maar ook over de organisaties heen. Dit is enerzijds een organisatorisce kwestie, wie kan worden aangesproken op het overstijgende gedeelte, en deels een technische kwestie: hoe wordt de keten gemonitord? Daarnaast moet per proces aangegeven kunnen worden welke serviceprestaties moeten en mogen worden gemonitord
 • Veilige IAA-infrastructuur conform afsprakenstelsel
  Stelling: De gemeenschappelijke IAA-infrastructuur is veilig en betrouwbaar, conform afsprakenstelsel
 • Vertrouwensfunctie
  Stelling: Een vertrouwensfunctie wordt ingericht, die verantwoordelijk is voor koppelingen, verstrekkingen en toepassingen van identiteiten.
 • Zeggenschap in kaart
  Stelling: Van gegevens die in ketenprocessen worden uitgewisseld, is duidelijk welke partijen welke zeggenschapsrechten over die gegevens hebben.
  Rationale: We streven er naar dat beschikbare informatie niet opnieuw wordt uitgevraagd. Hiervoor is het noodzakelijk om een overzicht op te stellen van alle voor de levering van een dienst noodzakelijke gegevens. Verschillende partijen hebben verschillende rechten en plichten jegens die gegevens. Zo is uitwisseling in sommige gevallen wettelijk geregeld, en vereist het in andere gevallen de toestemming van het onderwerp of de 'eigenaar' van de gegevens. De zeggenschap van verschillende partijen over de gegevens bepaalt in belangrijke mate hoe de gegevens in de keten gebruikt kunnen worden.
  Implicaties: Van elk gegeven is vastgesteld waar het geregistreerd staat, welke partij het gegeven voor hergebruik aan de keten ter beschikking stelt, wie de gegevens bij die bron mogen inwinnen, wiens toestemming vereist is voor uitwisseling, welke partijen inzagerecht hebben, wie de gegevens mogen corrigeren en/of bijwerken, en onder wiens verantwoordelijkheid vernietiging van de gegevens kan geschieden.


Ontwerpkaders in detail

Terug naar boven

 • Afnemers bepalen benodigde betrouwbaarheidsniveaus op basis van risicoanalyse
  Stelling: Afnemers van IAA-diensten bepalen welk betrouwbaarheidsniveau van authenticatie of andere IAA-diensten zij nodig hebben aan de hand van een risicoanalyse
 • Afspraken over te realiseren ambitieniveaus
  Stelling: Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan
 • Classificeer alle gegevens- en domeinobjecten met het Kernmodel Onderwijsinformatie
  Stelling: Alle gegevens en domeinobjecten worden geclassificeerd met het Kernmodel Onderwijs Informatie.
  Rationale: Ketenprojecten kunnen leiden tot nieuwe en vernieuwde gegevensuitwisseling tussen ketenpartijen in de onderwijsketen. Het Kernmodel Onderwijs Informatie helpt om de betekenis vande uit te wisselen gegevens voor alle ketenpartijen eenduidig vast te stellen.
  Implicaties: Alle objecten en gegevens(domeinen) die een rol spelen binnen een ketenproject zijn op te hangen aan elementen uit het KOI. Dit heeft als implicatie dat er ook aangesloten wordt bij de Stelselcatalogus.
 • Continuïteit van de dienstverlening
  Stelling: Ketenpartijen waarborgen de continuïteit van dienstverlening (ook bij calamiteiten)
 • De juiste gegevens op het juiste moment op de juiste plaats
  Stelling: Ketenpartijen zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar
 • Duidelijke eisen en verwachtingen
  Stelling: Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben
 • Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling
  Stelling: De Edukoppeling transactiestandaard wordt gebruikt voor de communicatie (M2M) ten behoeve van in ieder geval vertrouwelijke gegevensuitwisseling
  Rationale: De logistiek rondom berichtuitwisseling met services moet op een gestandaardiseerde wijze ingevuld worden. De Edukoppeling voorziet in een 'berichtenvelop' waarmee SAAS-leveranciers achter de voordeur kunnen routeren.
  Implicaties: Uitwisseling van vertrouwelijke gegevens verloopt via webservices;
 • Gebruik het Gegevenswoordenboek DUO voor berichtuitwisseling met DUO
  Stelling: Het Gegevenswoordenboek DUO wordt gebruikt voor de berichtspecificatie ten behoeve van berichtuitwisseling met DUO.
  Rationale: Ketenprojecten kunnen leiden tot nieuwe en vernieuwde gegevensuitwisseling tussen ketenpartijen in de onderwijsketen.
  Implicaties: Alle objecten en gegevens(domeinen) in het Gegevenswoordenboek DUO die een rol spelen bij gegevensuitwisseling met de keten zijn te classificeren met elementen uit het KOI
 • Gebruik onderwijsidentiteit waar nodig
  Stelling: Waar onderwijsprocessen dit vereisen, wordt de onderwijsidentiteit gebruikt om een onderwijsvolger te identificeren
 • Gebruik pseudoniem waar mogelijk
  Stelling: Waar het gebruik vande onderwijsidentiteit in onderwijsprocessen niet noodzakelijk is, wordt buiten onderwijsinstellingen de onderwijsvolger geïdentificeerd aan d hand van een pseudoniem.
 • Gebruik technieken voor veilig programmeren
  Stelling: Ketenpartijen gebruiken technieken voor veilig programmeren
 • Gegevens worden niet langer bewaard dan strikt noodzakelijk
  Stelling: Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk
 • Handelingen zijn herleidbaar
  Stelling: Ketenpartijen zorgen dat handelingen herleidbaar zijn
 • Het gemeenschappelijk IAA-stelsel kent een publiek-private governance
  Stelling: Het gemeenschappelijk IAA-stelsel kent een publiek-private governance
 • Identiteituitgifte bij onderwijsinstellingen
  Stelling: Identiteiten worden uitgegeven bij onderwijsinstellingen, in communicatie met een centrale functie ("nummergenerator") om uniciteit en betekenisloosheid te regelen, alsmede een registratie in een nummervertaalvoorziening.
 • Incident response
  Stelling: Ketenpartijen zorgen voor een goede incident response
 • Ketenpartijen bepalen zelf de identificerende kenmerken van logistieke punten
  Stelling: Ketenpartijen bepalen en registreren zelf de identificerende kenmerken ten behoeve van de logistieke punten voor verzending en aflevering (binnen de systematiek van de Edukoppeling transactiestandaard)
  Rationale: De technisch-administratieve organisatie van ketenpartijen zoals scholen hoeft niet gelijk op te lopen met andere organisatorische structuren zoals bijvoorbeeld BRIN. Scholen moeten zelf in staat zijn om te bepalen op welk technisch aanleverpunt bepaalde berichten afgeleverd moeten worden, en welke identificerende kenmerken er vervolgens nodig zijn om vanaf het aanleverpunt de interne routering en verwerking van het bericht correct te laten verlopen.
  Implicaties: Er wordt een ketenserviceregister ingericht waar ketenpartijen met de juiste autorisaties hun eigen logistieke punten beheren. Dit kan per toepassing (verzuim, LAS, OSO, ECK) anders zijn. Het project richt een portaal in waar instellingen kunnen aangeven welke logistieke punten ze hanteren gekoppeld aan de nog te realiseren Basislijst Instellingen. Huidige separate lijstjes met aanleverpunten (DUO, OSO etc) worden hierin opgenomen.
 • Ketenpartijen bieden wederzijdse services
  Stelling: Zowel DUO als scholen c.q. leveranciers bieden (web)services aan voor gegevensuitwisseling binnen de keten
 • Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging'
  Stelling: Binnen het basisniveau gelden de beheersdoelstellingen uit ISO/IEC 27001/27002 als kaders voor informatiebeveiliging door individuele ketenpartijen.
  Rationale: ISO/IEC 27001/27002 is een internationale standaard die voorziet in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Met behulp van beheersdoelstellingen wordt in deze standaard aangegeven wat er binnen een organisatie moet worden bereikt op het gebied van informatiebeveiliging. Voorbeelden van beheersdoelstellingen uit ISO zijn het hebben van een beveiligingsbeleid, het uitvoeren van risicoanalyses en het vaststellen van en handelen naar een passend beschermingsniveau van informatie binnen de organisatie. De standaard biedt een reeks van beheersmaatregelen die kunnen worden toegepast om de beheersdoelstellingen te realiseren.
  Implicaties: Voor het in het onderwijsdomein gewenste basisniveau gelden de beheersdoelstellingen uit ISO/IEC 27001/27002 onverkort als kaders voor informatiebeveiliging door individuele ketenpartijen. Een overzicht van deze doelstellingen is opgenomen in het Katern Informatiebeveiliging en Privacy
 • Kwaliteitsborging van identiteiten
  Stelling: De kwaliteit van de identiteiten wordt geborgd door een kwaliteitssysteem.
 • Marktpartijen kunnen IAA-diensten leveren
  Stelling: Marktpartijen kunnen IAA-diensten leveren in het gemeenschappelijke IAA-stelsel. De ruimte voor marktdiensten wordt door het onderwijsveld bepaald.
 • Meerdere expliciete betrouwbaarheidsniveaus
  Stelling: Het gemeenschappelijke IAA-stelsel hanteert meerdere, expliciete betrouwbaarheidsniveaus voor IAA-diensten zoals authenticatie op basis van gangbare standaarden
 • Ontsluiten van lokale informatiediensten
  Stelling: Het gemeenschappelijke IAA-stelsel ontsluit ook lokale informatiediensten van onderwijsinstellingen
 • Openbare registergegevens worden ontsloten als Linked Open Data
  Stelling: Voor openbare registergegevens worden gegevens ontsloten in de vorm van Linked Open Data (5 sterren op de schaal van Berners-Lee).
  Rationale: Gegevens en hun beschrijvingen worden gepubliceerd als semantisch beschreven webpagina’s. Deze techniek staat bekend als Web 3.0. Dit maakt dat applicatiebouwers in en buiten het onderwijs worden gestimuleerd om daarmee meerwaarde te creëren. Dit sluit aan bij de open-data strategie van de overheid
  Implicaties: Gegevenswoordenboek en openbare registers worden vertaald als zogeheten resources op een URI en permanent geplaatst in een zogenaamde RDF-store. Hiervoor moet een gezamenlijke URI-strategie aanwezig zijn.
 • Proactief technisch beheer
  Stelling: Ketenpartijen voeren proactief technisch beheer uit
 • Registreer de betekenis van nieuwe gegevens
  Stelling: Gegevens die niet aan een bestaande semantische bron zijn te koppelen, moeten aan de meest toepasselijke semantische bron binnen het onderwijs worden toegevoegd
  Rationale: Ketenprojecten kunnen leiden tot nieuwe en vernieuwde gegevensuitwisseling tussen ketenpartijen in de onderwijsketen.
  Implicaties: Dit maakt het mogelijk om begrippen waarvan de semantische betekenis nog niet officieel is vastgelegd in de stelselcatalogus, KOI of het Gegevenswoordenboek DUO alsnog vast te leggen zodat er geen semantische gaten ontstaan.
 • Sectorbrede frameworks en baselines
  Stelling: Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines
 • Semantiek in berichtuitwisseling is traceerbaar
  Stelling: Semantiek in berichtuitwisseling moet traceerbaar zijn (ter voorkoming vanonnodige variëteit)
  Rationale: Een 'los' bericht kan vaak op verschillende manieren worden geïnterpreteerd. Dit kan leiden tot verwarring, tot verschillend gebruik van dzelfde berichtelementen in andere situaties, en uiteindelijk tot fouten in de verwerking. De betekenis van een bericht moet daarom eenduidig kunnen worden bepaald.
  Implicaties: Berichtelementen in XSD's verwijzgen naar de URI die de betekenis van dat element representeert. De gegevens in het Gegevenswoordenboek zijn traceerbaar
 • Serviceinformatie wordt samenhangend openbaar gemaakt
  Stelling: Informatie over wie services waar aanbiedt en wie daar gebruik van mogen maken, wordt samenhangend openbaar gemaakt.
  Rationale: Een serviceregister dat deze informatie bevat wordt geraadpleegd voor autorisatie en routering van service- en berichtenverkeer beheerd door de aanbieder van een service. Een geautomatiseerd uitwisselingsmechanisme wordt relevant als een groot aantal deelnemers tientallen verschillende M2M services met elkaar uitwisselen.
  Implicaties: Er wordt een gemeenschappelijk model opgezet voor een serviceregister
 • Toenadering tot eID
  Stelling: De relatie met het eID-stelsel is er één van toenadering en afstemming zodat het eID-stelsel ook goed past op de specifieke situatie in het onderwijsveld.
 • Transparantie over maatregelen
  Stelling: Ketenpartijen zijn transparant over de genomen privacy- en beveiligingsmaatregelen
 • Valideer persoonsgebonden gegevens
  Stelling: Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens
 • Voldoende meet- en controlepunten
  Stelling: Ketenpartijen zorgen voor voldoende meet- en controlepunten
 • Voorkom aantasting van integriteit
  Stelling: Ketenpartijen voorkomen aantasting van de integriteit van gegevens
 • Voorkom ongewenste traceerbaarheid en vindbaarheid
  Stelling: Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen
 • Voorkom onrechtmatige toegang of verspreiding
  Stelling: Ketenpartijen voorkomen onrechtmatige toegang tot of verspreiding van gegevens
 • Voortbouwen op bestaande federaties
  Stelling: De gemeenschappelijke IAA-infrastructuur wordt ontwikkeld, integraal ondersteund door de bestaande federaties (SURFconext en Kennisnetfederatie), gelet op, maar vooralsnog autonoom ten opzichte van het eID-stelsel.


Zie ook