Transcript ROSA v3 De bovensectorale referentie architectuur voor en van het

ROSA versie 3
De bovensectorale referentie
architectuur voor en van het onderwijs
Instrument
Kaders
visie
Referentie
Architectuur
P1
P3
P2
P4
Inzicht en samenhang
P5
Visie
• Doelen
– Burgers ondersteunen bij een leven lang leren over de
grenzen van instituten heen
– Terugdringen van administratieve lasten in het onderwijs
• Basisprincipes
– De onderwijsvolger voert regie op zijn eigen
onderwijsgegevens
– Gemeenschappelijkheid in informatiehuishouding
– Koppelen - niet kantelen: onderwijsinstellingen blijven
verantwoordelijk voor hun eigen (proces)inrichting
– Aansluiten bij NORA
– Eenmalige registratie, meervoudig gebruik
– Digitaal doen we het zo
Vraagstukken
1. Gemeenschappelijke informatiehuishouding
“Hoe gaan we elkaar beter begrijpen?”
Producten en diensten
Informatieservices
Informatiearchitectuur
Informatiearchitectuur
Infrastructuurservices
Technische architectuur
DeInstelling
Provincie
3. Zeggenschap gegevensbronnen
“Wat zijn de bronnen voor bepaalde
type gegevens?”
Toegang
Bedrijfsarchitectuur
Beveiliging
Bedrijfsarchitectuur
4. Privacy en beveiliging
“Hoe wisselen we gegevens veilig met
elkaar uit?”
Technische architectuur
Burger,burger,
bedrijfsleven
of overheid
Instelling,
bedrijfsleven,
overheid
2. Service georiënteerde keten
“Welke generieke services
moeten ontwikkeld worden?”
5. IAA
“Hoe gaan we om
met identiteiten?”
ROSA v3
1. Kernmodel Onderwijs Informatie
4. Katern Privacy en beveiliging
Producten en diensten
Informatieservices
Informatiearchitectuur
Informatiearchitectuur
Infrastructuurservices
Technische architectuur
DeInstelling
Provincie
3. Streefbeelden voor
gegevensuitwisseling
Toegang
Bedrijfsarchitectuur
Beveiliging
Bedrijfsarchitectuur
Technische architectuur
Burger,burger,
bedrijfsleven
of overheid
Instelling,
bedrijfsleven,
overheid
2. Edukoppeling
5. IAA-stelsel
Onderwijs
1. Kernmodel Onderwijs Informatie
1. Kernmodel Onderwijs Informatie
Instellingsidentiteit - aanleiding
• Verschillen tussen de criteria die de verschillende processen
(bekostiging, inspectie, verantwoording) hanteren voor indeling van
instellingen.
• Wetgeving en daarmee samenhangende bestaande registraties
waarin de ‘locatie/vestiging’ de eenheid van registratie vormt. In
een tijd waarin huisvesting een flexibel in te zetten bedrijfsmiddel is
geworden levert dat problemen op.
• Geen eenduidige semantiek.
• Bestaande registraties zijn onvolledig, zodat schaduwregistraties en
workarounds ontstaan.
• Veel administratieve lasten om vanuit eigen registratie van scholen
de aanlevering van gegevens aan DUO en Inspectie te leveren en te
verwerken.
Instellingsidentiteit - uitgangspunt
Instellingsidentiteit - aanpak
• Inhoudelijke analyse van de criteria in een aantal
geselecteerde processen.
• Informatiekundige analyse waarin de bestaande
registraties worden geanalyseerd en vergeleken.
• Voorstel voor de eerste versie van een
gezamenlijk te hanteren basislijst met
onderwijsinstellingen.
• Ontwikkelen van een voorstel voor beheer van de
basislijst.
Instellingsidentiteit – work in progress
•
•
•
•
Analyses uitgevoerd voor het VO .
Analyse loopt nu voor PO.
Analyses MBO en HO volgen in mei en juni.
De voorlopige conclusies:
– Andere wijze van registratie (“basislijst”) die recht doet aan onderkende
processen is haalbaar. Voor de fijnproevers: een lijst op basis van een tabel
waarbij voor een nieuwe invalshoek (bijv. een proces) die tot verschillen leidt
in de registratie een kolom aan de tabel wordt toegevoegd.
– Leg de semantiek vast buiten de registratie. Bepaal heldere definities voor
begrippen en de context waarin ze gebruikt worden en leg deze vast. Dit helpt
onder andere bij het uitwisselen van gegevens zowel verticaal als horizontaal
(tussen sectoren bijv.).
– Scholen en inspectie samen bepalen welke onderwijskundige eenheden er zijn.
– Bestaande processen (bekostigen, toezien, verantwoorden) hoeven niet
veranderd te worden. Informatievoorziening t.b.v. processen mogelijk wel.
– Alle gebouwen die van belang zijn worden geregistreerd dmv een verbinding
met de basisregistratie gebouwen (BAG).
– Alle adressen die van belang zijn worden geregistreerd.
Instellingsidentiteit - invalshoek
Praten over
Praten met
2. Edukoppeling
2. Edukoppeling standaard
1 PKI
SAASleverancier
Onderwijsinstelling
Edukoppeling
Transactie-standaard
1 PKI
1 PKI
Onderwijsinstelling
SAASleverancier
DUO
1 PKI
Edukoppeling
Transactie-standaard
Certificeringsschema
Onderwijsinstelling
Edusign
3. Streefbeelden
Zeggenschappen gegevens:
Beschikbaar stellen, Inzien, Inwinnen, Registreren, Bijwerken,
Vernietigen, Accorderen uitwisseling
3. Streefbeelden
afnemers
bronhouders en
data-aanbieders
Digitaal aanmelden en inschrijven
Toepassingen
3. Streefbeelden
DA-PO
OSO
DA-MBO
Edusign
VO/MBO-HO
VO-MBO
DA-VO
Studielink
overheid
Services
Identificeren
onderwijsvolger
Handtekeningen
verzamelen
Inzien/
toestemming
Status
ondertekening
inzien
Machtigen ouder
Identificeren
ouder
Identificeren
stagebedrijf
Digitale
handtekening
plaatsen
Identificeren
kenniscentrum
BRON
burger
Bouwstenen
Signing engine
DigiD
Workflow
engine
bedrijf
eHerkenning
eID
Gegevens
BSN
Onderwijsvolger
Machtigingen
(Stage)bedrijf
BSN
Ouder
Standaarden
Edukoppeling
Signing
koppelvlakstandaard
Relatie
Ouder-kind
Workflow
koppelvlakstandaard
Instellingsregister
4. Katern Privacy en beveiliging
• Toenemend gebruik van SAAS
• Intensivering van gegevensuitwisseling en digitalisering
op alle niveaus.
• Veranderende rol van DUO (niet alleen gegevens ophalen
en verwerken maar ook (terug)leveren naar instellingen)
• Vraag om meer transparantie
• Burger aan het stuur van zijn gegevens
• Door het werken in ketens zijn verantwoordelijkheden
soms minder helder
• Ketenaansprakelijk a.g.v. Europese Privacy Verordening
• Aandacht Tweede Kamer voor informatiebeveiliging bij
scholen (brief Bussemaker)
4. Katern Privacy en beveiliging
NORA
OESO
Principes t.a.v. Privacy en beveiliging
“Zo willen/moeten
we werken”
Bijvoorbeeld:
Gegarandeerde
end-to-end
aflevering
Normen waaraan voldaan moet worden
“Hieraan moet je
voldoen”
Bijvoorbeeld: BIR,
ISO, CCM, etc.
Best practices en implementatierichtlijnen (per sector/ketenpartij)
“Zo kun je hieraan
voldoen”
Bijvoorbeeld:
Certificeringsschema
Cloudleveranciers
5. Identificatie, authenticatie,
autorisatie (IAA) - afbakening
Identificatie. Aan de hand van welke gegevens (identifiers, vaak
persoonsnummers) wordt een persoon geïdentificeerd? Van belang voor:
• Uitwisselen van informatie in de ketens (zowel in de communicatie met
een persoon als in een communicatie over een persoon);
• Basis voor authenticatie (fysiek en digitaal)
Authenticatie. Hoe wordt langs elektronische weg geverifieerd dat er
inderdaad een bepaalde persoon ‘aan de poort staat’? Dit gaat dus over
accounts, wachtwoorden, sterkere authenticatie aan de hand van kennis en
bezit, federatieve authenticatie. Van belang voor:
• Beveiligen toegang vertrouwelijke informatie
• Veilig stellen van vertrouwelijkheid, privacy, etc.
Autorisatie. Wat mag een bepaalde persoon, hoe worden diens mandaten en
rechten geadministreerd en hoe wordt die informatie gebruikt bij het
verlenen van toegang tot elektronische diensten? Van belang voor:
• Nader regelen van toegang tot en rechten bij systemen en
informatiebronnen.
5. Identificatie, authenticatie,
autorisatie (IAA) - aanleiding
• Analyse van 12 casussen:
–
–
–
–
–
–
–
–
–
–
–
–
Inschrijven (MBO)
Overstap Service Onderwijs (OSO)
Digitaal examineren/toetsen (MBO, VO)
Toegang digitaal leermateriaal (MBO, VO, PO)
Doorstroommonitor (PO->VO)
Passend onderwijs
Studeren aan meerdere instellingen/scholen/vakgebieden en gastdocentschap
(HO)
LVS, rooster systemen, aanwezigheidsregistraties (meerdere sectoren)
Backofficeprocessen (communicatie met Studielink, DUO, leerplicht
ambtenaar, belastingdienst (in/uit dienst), SVB, overige overheden;
verzuimregistraties).
Digitale cijferinvoer (alle sectoren)
Toegang voor ouders op schoolportaal (PO, VO)
Stagecontracten (MBO)
5. Identificatie, authenticatie,
autorisatie (IAA) - knelpunten
• Meestal nog meerdere accounts voor verschillende
diensten.
• Geen unieke identifier voor docenten, onderzoekers,
medewerkers.
• Geen oplossing voor digitale transacties met minderjarigen.
• BSN/PGN is een oplossing voor breed te gebruiken uniek
persoonsnummer, maar heeft veel beperkingen, bijv. mag
niet gebruikt in verkeer met niet-publieke organisaties, het
kan leiden tot privacy- en security-issues.
• De huidige landelijke voorzieningen op het gebied van IAA,
DigiD en eHerkenning, zijn beperkt toepasbaar.
• Met name MBO heeft last van gefragmenteerde
infrastructuur voor IAA (Kennisnetfederatie vs SURFconext).
5. Identificatie, authenticatie,
autorisatie (IAA) - aanpak
• Door het onderwijsveld en OCW visie/strategie laten
ontwikkelen.
• Gemeenschappelijke IAA-architectuur voor onderwijs
formuleren (gemeenschappelijk toekomstbeeld met
mogelijk verschillende wegen daar naartoe) en vaststellen.
• Architectuur afstemmen (review) met o.a.
Architectuurraad.
• Beleidsuitgangspunten/visie en concept architectuur
voorlopig vast laten stellen in Informatiekamer.
• Roadmap opstellen voor uitrol componenten van die
architectuur (incl. impactanalyses, prioritering)
• Stimuleren praktische oplossingen op basis van
architectuur in lopende voorzieningen/projecten.
5. Identificatie, authenticatie,
autorisatie (IAA) - vraagstukken
• Moeten we BSN geschikt(er) maken of eigen integraal persistent
onderwijsnummer (oID) invoeren?
• Scope: Hele onderwijskolom of per sector? Per toepassingsgebied (bijv.
ECK)?
• Scope: Alleen leerlingen/studenten/lerenden of ook onderzoekers en
docenten.
• Leven lang leren? Ook ‘werk’ meenemen? (perspectief burger!)
• Waar met echte persistente ID-nummers werken, waar met
pseudoniemen?
• Betrouwbaarheidsniveaus bepalen.
• Welke voorzieningen zijn nodig (centraal of decentraal)?
• Governance
• Hoe bepaalt de burger/leerling/student zelf welke informatie aan wie
verstrekt mag worden (user consent(?
• Hoe minderjarigen-problematiek oplossen (machtigen)?
• Hoe stemmen we af met eID-stelsel?
wikixl.nl/wiki/rosa
Vervolg: Doorontwikkeling ROSA
•
•
•
•
•
•
Samenhang andere architecturen
Serviceregister
Ondertekenservice
Katern P&B / IAA
Uitrol certificering
Doorontwikkelen BRON (Edukoppeling)
Toets- en
examenketen
Admin. keten
NORA
Leermiddelketen
toepassingsgebieden
werkingsgebieden
Andere
domeinen
POVO
ECK
MBO
Triple A
HO
ROSA
HORA