Eigenschap:Implicaties nl

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

This property page has been created by SmartConnect. The datatype is Text.

Showing 25 pages using this property.
E
Maak gebruik van de WaardenWijzer om in het ontwerpproces expliciet te maken op welke wijze de onderwijswaarden in de belangenafweging betrokken zijn. De handreiking [https://www.edustandaard.nl/app/uploads/2020/11/20210929-Onderwijswaarden-en-ROSA.pdf Waarden en Architectuur in ROSA] is beschikbaar als een handreiking en inspiratiebron voor ketenprojecten om vanuit een reeks vragen en voorbeelden in de praktijk met de WaardenWijzer te werken.  +
F
<ul><li>Bepaal foundational identity (contextloos, levert betrouwbaarheid)</li><li>Hanteer een functionele identiteit met een betrouwbaarheidsniveau dat passend is bj de specifieke context.</li><li>De scope van de foundational identity moet de scope van (alle) afgeleide functionele identiteiten omvatten.<ul><li>Een foundational identity (voor een bepaalde scope) kan bestaan uit een verzameling foundational identities (voor diverse scopes). (Voorbeeld: EIDAS)</li><li>Zorg dat de foundational identity het hoogste betrouwbaarheidsniveau heeft dat nodig is in (een toepassing van) de daarvan afgeleide functionele identiteiten.</li></ul></li><li>Voor foundational identities wordt altijd identity proofing en identity verification uitgevoerd.</li><li>Voor functionele identiteiten wordt situationeel bepaald welke mate van identity proofing en/of identity verification noodzakelijk is.</li></ul>  +
G
Uitwisseling van vertrouwelijke gegevens verloopt via webservices;  +
Alle objecten en gegevens(domeinen) in het Gegevenswoordenboek DUO die een rol spelen bij gegevensuitwisseling met de keten zijn te classificeren met elementen uit het KOI  +
De in de onderwijsketen gebruikte systemen, worden ontwikkeld met gebruikmaking van technieken voor veilig programmeren. De gebruikte technieken passen bij de benodigde vertrouwelijkheids- integriteits- en beschikbaarheidsniveaus.  +
Binnen een toepassingspatroon wordt in een privacy-protocol beschreven hoe invulling wordt gegeven aan de IBP kaders, waaronder transparantie, verantwoording en rechten betrokkene .  +
<ul><li>Voor personen die voor het onderwijsdomein relevante rollen vervullen moet duidelijk zijn welke attributen beschikbaar worden gesteld voor deze rol. Het gaat dan niet alleen gaan over syntax en semantiek, maar ook over andere zaken die van belang zijn voor de personen of systemen die deze gegevens gebruiken (De Avg noemt dat: 'verwerken' van gegevens), bijvoorbeeld om vast te kunnen stellen of zulke gegevens voor een specifiek doel valide zijn.</li><li>Partijen die deze gegevens willen gebruiken voor een specifiek doel moeten nadenken over (a) de criteria waar die gegevens aan moeten voldoen om valide te zijn om voor dat doel te worden gebruikt, en (b) op welke manier(en) – design-time of run-time – voldoende zekerheid verkregen kan worden dat (run-time) aangeleverde gegevens aan die criteria voldoen. Waar traditioneel alleen administratieve gegevens als NAW werden gestuurd, biedt SSI mogelijkheden om additionele 'zekerheden' mee te sturen, zoals een bewijs dat de persoon ergens staat ingeschreven bij een onderwijsaanbieder, of medewerker is, een zeker diploma of andere kwalificatie heeft, een werkplek heeft in een bepaald gebouw, etc.</li></ul>  +
Belanghebbenden worden geclusterd op basis van de onderdelen van de ketenafspraak waar zij belang in hebben. Ketenafspraken zijn zo gesegmenteerd dat clustering van belangen en belanghebbenden op het juiste niveau mogelijk is.  +
Zodra het, vanuit het oogpunt van (keten)procesuitvoering, mogelijk is worden gegevens direct vernietigd. Wanneer gegevens in een andere (primaire) bron beschikbaar zijn, worden de gegevens in beginsel uit die bron geraadpleegd; het 'lokaal' opslaan van die gegevens wordt zo veel mogelijk vermeden. Daar waar de wet restricties of verplichtingen oplegt met betrekking tot bewaar- en archieftermijnen worden die gevolgd.  +
<ul><li>Zodra het, vanuit het oogpunt van (keten)procesuitvoering, mogelijk is worden gegevens direct vernietigd. Wanneer gegevens in een andere (primaire) bron beschikbaar zijn, worden de gegevens in beginsel uit die bron geraadpleegd; het 'lokaal' opslaan van die gegevens wordt zo veel mogelijk vermeden. Daar waar de wet restricties of verplichtingen oplegt met betrekking tot bewaar- en archieftermijnen worden die gevolgd.</li><li>Voor de verschillende soorten persoongegevens worden bewaartermijnen vastgelegd.</li><li>Van actoren die deze persoonsgegevens verwerken is opgenomen op welke wijze geverifieerd kan worden dat de afspraken ten aanzien van de bewaartermijn worden nageleefd.</li></ul>  +
Er zijn maatregelen rond integriteit en vertrouwelijkheid vastgelegd waar de partijen die gegevens verwerken aan moeten voldoen.  +
Er wordt rekening gehouden met belanghebbenden en hun belangen, de architectuur van de ketenafspraak, en de bestendiging van projectresultaten.  +
H
Handelingen rondom gegevens zijn te herleiden naar personen.  +
Een gedegen begrippenkader moet in de ROSA opgebouwd worden en actief beheerd.,Het ROSA begrippenkader moet worden aangevuld met begrippen vanuit HORA, MORA en FORA.,Wanneer begrippen niet gelijk kunnen worden getrokken wordt in ieder geval gebruik gemaakt van SKOS relaties om semantische samenhang aan te duiden.  +
I
Voorkomen is beter dan genezen. De privacy- en beveiligingskaders richten zich daarom met name op het tegengaan van privacy- en beveiligingsincidenten. Toch kan zich altijd de situatie voordoen dat een plotseling incident leidt tot de noodzaak om snel in te grijpen, door de hele onderwijsketen heen. Zo'n situatie ontstaat bijvoorbeeld wanneer een serieus lek wordt gevonden in veelgebruikte (systeem)software. In zo'n geval moeten - afhankelijk van de schaal en reikwijdte van het incident - individuele partijen in het onderwijsdomein, volledige onderwijssectoren of het hele onderwijsdomein voorbereid zijn om op de juiste manier te kunnen reageren.  +
Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging'  +
Informatie waarvoor de integriteit op orde is, is dus informatie die 'klopt'. Merk op dat een aantasting van vertrouwelijkheid (waardoor onbevoegden bijvoorbeeld mutaties kunnen doorvoeren) kan leiden tot een aantasting van integriteit.  +
K
Er wordt een ketenserviceregister ingericht waar ketenpartijen met de juiste autorisaties hun eigen logistieke punten beheren. Dit kan per toepassing (verzuim, LAS, OSO, ECK) anders zijn. Het project richt een portaal in waar instellingen kunnen aangeven welke logistieke punten ze hanteren gekoppeld aan de nog te realiseren Basislijst Instellingen. Huidige separate lijstjes met aanleverpunten (DUO, OSO etc) worden hierin opgenomen.  +
Scholen (c.q. hun leveranciers) richten endpoints in waarlangs gegevens aan scholen geleverd kunnen worden. Per gegevensuitwisseling worden er afspraken gemaakt over de "choreografie": wie biedt welke service aan en wanneer.  +
Ketenpartijen implementeren een managementsysteem voor informatiebeveiliging en privacybescherming gericht op het vaststellen, implementeren, bijhouden en continu verbeteren van beheersmaatregelen die beveiligings- en privacyrisico's mitigeren.  +
<ul><li>Binnen de architectuuraanpak moet binnen een toepassingspatroon beschreven worden hoe zelfbeschikking ingericht kan worden.</li></ul>  +
M
<ul><li>Het ontwerp is te herleiden naar een bepaald toepassingspatroon van de architectuuraanpak en bijbehorende privacy-protocol.</li><li>De toepassingspatronen die aansluiten bij een vertrouwensraamwerk worden gepubliceerd.</li><li>Het is raadpleegbaar welke organisaties een vertrouwensraamwerk volgen.</li><li> In het ontwerp van een ketenproces wordt informatiebeveiliging en privacy integraal meegenomen. Het maakt expliciet of er persoonsgegevens uitgewisseld worden en welke maatregelen er gelden. Hierbij wordt ook aangegeven welke rollen worden onderscheiden en welke taken en verantwoordelijkheden horen bij een rol.</li></ul>  +
<ul><li>Dienstverleners loggen transacties waarbij persoonsgegevens zijn betrokken</li><li>Dienstverleners zorgen dat betrokken op een gebruikersvriendelijke wijze kunnen vaststellen welk gebruik is gemaakt van zijn of haar persoonsgegevens.</li></ul>  +
Alle onderwijsreferentiearchitecturen modelleren zo veel mogelijk op vergelijkbare manier en hebben een goed beeld van elkaars modelleerkeuzes.,Sectoroverstijgende referentiecomponenten kunnen binnen iedere SRA worden overgenomen/'overerft'. Vanuit het werkpakket “Samenhang ROSA en SRA’s” van het Revisie ROSA-project wordt een inventarisatie gemaakt waarin de raakvlakken tussen de SRA's in kaart worden gebracht.,Er zullen hiervoor aanpassingen gedaan moeten worden in de sector- en referentiearchitecturen, werk wat niet in 1 keer zal kunnen worden uitgevoerd, maar incrementeel zal worden opgepakt.,Er moest een robuust governance-proces worden ingericht om de samenhang voortdurend te blijven bewaken en elkaar hierbij te helpen. Dit is gedaan in de vorm van de Werkgroep Samenhang Sector- en Referentiearchitecturen.  +
N
Er is onderlinge afstemming nodig tussen alle referentiearchitecturen; introduceert ook mogelijke afhankelijkheid van elkaars wijze van modelleren.,Voor generiek beschreven applicaties hanteren we de ROSA-term ‘referentiecomponenten’.,Er is capaciteit nodig binnen de beheerteams van alle aangesloten sector- en referentiearchitecturen om aanpassingen door te kunnen voeren.,Er zijn duidelijke spelregels op het gebied van het opnemen referentiecomponenten in de ROSA.,Referentiecomponenten die voorkomen in meerdere sectorale referentiearchitecturen en dezelfde/sterk overlappende functionaliteit hebben worden onder een generieke naam geduid in de ROSA maar kunnen desgewenst voor elke sector met een sectorspecifiek label worden geduid (bijv. een LAS in po/vo, SIS in het mbo/ho).  +