ROSA versie 3 De bovensectorale referentie architectuur voor en van het onderwijs

1. ROSA versie 3De bovensectoralereferentiearchitectuurvoor en van het onderwijs

2. Instrument visie Referentie Architectuur Kaders P1 P2 P3 P4 P5 Inzicht en samenhang

3. Visie • Doelen • Burgers ondersteunen bij een leven lang leren over de grenzen van instituten heen • Terugdringen van administratieve lasten in het onderwijs • Basisprincipes • De onderwijsvolger voert regie op zijn eigen onderwijsgegevens • Gemeenschappelijkheid in informatiehuishouding • Koppelen - niet kantelen: onderwijsinstellingen blijven verantwoordelijk voor hun eigen (proces)inrichting • Aansluiten bij NORA • Eenmalige registratie, meervoudig gebruik • Digitaaldoen we het zo

4. Vraagstukken 1. Gemeenschappelijke informatie-huishouding “Hoe gaan we elkaar beter begrijpen?” 4. Privacy en beveiliging “Hoe wisselen we gegevens veilig met elkaar uit?” Toegang Beveiliging Instelling Instelling, burger, bedrijfsleven, overheid 3. Zeggenschap gegevensbronnen “Wat zijn de bronnen voor bepaalde type gegevens?” 2. Service georiënteerde keten “Welke generieke services moeten ontwikkeld worden?” 5. IAA “Hoe gaan we om met identiteiten?”

5. ROSA v3 1. Kernmodel Onderwijs Informatie 4. Katern Privacy en beveiliging Toegang Beveiliging Instelling Instelling, burger, bedrijfsleven, overheid 3. Streefbeeldenvoorgegevensuitwisseling 2. Edukoppeling 5. IAA-stelsel Onderwijs

6. 1. Kernmodel Onderwijs Informatie

7. 1. Kernmodel Onderwijs Informatie

8. Instellingsidentiteit - aanleiding • Verschillen tussen de criteria die de verschillende processen (bekostiging, inspectie, verantwoording) hanteren voor indeling van instellingen. • Wetgeving en daarmee samenhangende bestaande registraties waarin de ‘locatie/vestiging’ de eenheid van registratie vormt. In een tijd waarin huisvesting een flexibel in te zetten bedrijfsmiddel is geworden levert dat problemen op. • Geeneenduidigesemantiek. • Bestaanderegistratieszijnonvolledig, zodatschaduwregistraties en workarounds ontstaan. • Veel administratieve lasten om vanuit eigen registratie van scholen de aanlevering van gegevens aan DUO en Inspectie te leveren en te verwerken.

9. Instellingsidentiteit - uitgangspunt

10. Instellingsidentiteit - aanpak • Inhoudelijke analyse van de criteria in een aantal geselecteerde processen. • Informatiekundige analyse waarin de bestaande registraties worden geanalyseerd en vergeleken. • Voorstel voor de eerste versie van een gezamenlijk te hanteren basislijst met onderwijsinstellingen. • Ontwikkelen van een voorstel voor beheer van de basislijst.

11. Instellingsidentiteit – work in progress • Analyses uitgevoerdvoor het VO . • Analyseloopt nu voor PO. • Analyses MBO en HO volgen in meien juni. • De voorlopige conclusies: • Andere wijze van registratie (“basislijst”) die recht doet aan onderkende processen is haalbaar. Voor de fijnproevers: een lijst op basis van een tabel waarbij voor een nieuwe invalshoek (bijv. een proces) die tot verschillen leidt in de registratie een kolom aan de tabel wordt toegevoegd. • Leg de semantiek vast buiten de registratie. Bepaal heldere definities voor begrippen en de context waarin ze gebruikt worden en leg deze vast. Dit helpt onder andere bij het uitwisselen van gegevens zowel verticaal als horizontaal (tussen sectoren bijv.). • Scholen en inspectie samen bepalen welke onderwijskundige eenheden er zijn. • Bestaande processen (bekostigen, toezien, verantwoorden) hoeven niet veranderd te worden. Informatievoorziening t.b.v. processen mogelijk wel. • Alle gebouwen die van belang zijn worden geregistreerd dmv een verbinding met de basisregistratie gebouwen (BAG). • Alle adressen die van belang zijn worden geregistreerd.

12. Instellingsidentiteit - invalshoek Praten over Praten met

13. 2. Edukoppeling

14. 2. Edukoppelingstandaard 1 PKI SAAS-leverancier Onderwijs- instelling Edukoppeling Transactie-standaard 1 PKI 1 PKI Onderwijs- instelling DUO SAAS-leverancier 1 PKI Onderwijs- instelling Edukoppeling Transactie-standaard Certificeringsschema

15. Edusign

16. 3. Streefbeelden Zeggenschappengegevens: Beschikbaarstellen, Inzien, Inwinnen, Registreren, Bijwerken, Vernietigen, Accorderenuitwisseling

17. 3. Streefbeelden

18. afnemers bronhouders en data-aanbieders Digitaal aanmelden en inschrijven Toepassingen Edusign DA-PO DA-MBO VO/MBO-HO OSO VO-MBO DA-VO Studielink Machtigen ouder Services burger Identificeren onderwijsvolger Inzien/ toestemming Identificeren ouder Digitale handtekening plaatsen 3. Streefbeelden Handtekeningen verzamelen Status ondertekening inzien Identificeren stagebedrijf Identificeren kenniscentrum BRON Bouwstenen Signing engine bedrijf DigiD Workflow engine Instellings-register eHerkenning eID Gegevens Machtigingen (Stage)bedrijf overheid BSN Onderwijsvolger Relatie Ouder-kind BSN Ouder Standaarden Workflow koppelvlakstandaard Edukoppeling Signing koppelvlakstandaard

19. 4. Katern Privacy en beveiliging • Toenemend gebruik van SAAS • Intensivering van gegevensuitwisseling en digitalisering op alle niveaus. • Veranderende rol van DUO (niet alleen gegevens ophalen en verwerken maar ook (terug)leveren naar instellingen) • Vraag om meer transparantie • Burger aan het stuur van zijn gegevens • Door het werken in ketens zijn verantwoordelijkheden soms minder helder • Ketenaansprakelijk a.g.v. Europese Privacy Verordening • Aandacht Tweede Kamer voor informatiebeveiliging bij scholen (brief Bussemaker)

20. 4. Katern Privacy en beveiliging “Zowillen/moeten we werken” Bijvoorbeeld: Gegarandeerde end-to-end aflevering OESO NORA Principest.a.v. Privacy en beveiliging “Hieraanmoet je voldoen” Bijvoorbeeld: BIR, ISO, CCM, etc. Normenwaaraanvoldaanmoetworden Best practices en implementatierichtlijnen (per sector/ketenpartij) “Zo kun je hieraanvoldoen” Bijvoorbeeld: CertificeringsschemaCloudleveranciers

21. 5. Identificatie, authenticatie, autorisatie (IAA) - afbakening Identificatie. Aan de hand van welke gegevens (identifiers, vaak persoonsnummers) wordt een persoon geïdentificeerd? Van belang voor: • Uitwisselen van informatie in de ketens (zowel in de communicatie met een persoon als in een communicatie over een persoon); • Basis voor authenticatie (fysiek en digitaal) Authenticatie. Hoe wordt langs elektronische weg geverifieerd dat er inderdaad een bepaalde persoon ‘aan de poort staat’? Dit gaat dus over accounts, wachtwoorden, sterkere authenticatie aan de hand van kennis en bezit, federatieve authenticatie. Van belang voor: • Beveiligen toegang vertrouwelijke informatie • Veilig stellen van vertrouwelijkheid, privacy, etc. Autorisatie. Wat mag een bepaalde persoon, hoe worden diens mandaten en rechten geadministreerd en hoe wordt die informatie gebruikt bij het verlenen van toegang tot elektronische diensten? Van belang voor: • Nader regelen van toegang tot en rechten bij systemen en informatiebronnen.

22. 5. Identificatie, authenticatie, autorisatie (IAA) - aanleiding • Analyse van 12 casussen: • Inschrijven (MBO) • Overstap Service Onderwijs (OSO) • Digitaal examineren/toetsen (MBO, VO) • Toegang digitaal leermateriaal (MBO, VO, PO) • Doorstroommonitor (PO->VO) • Passend onderwijs • Studeren aan meerdere instellingen/scholen/vakgebieden en gastdocentschap (HO) • LVS, rooster systemen, aanwezigheidsregistraties (meerdere sectoren) • Backofficeprocessen (communicatie met Studielink, DUO, leerplicht ambtenaar, belastingdienst (in/uit dienst), SVB, overige overheden; verzuimregistraties). • Digitale cijferinvoer (alle sectoren) • Toegang voor ouders op schoolportaal (PO, VO) • Stagecontracten (MBO)

23. 5. Identificatie, authenticatie, autorisatie (IAA) - knelpunten • Meestal nog meerdere accounts voor verschillende diensten. • Geen unieke identifier voor docenten, onderzoekers, medewerkers. • Geen oplossing voor digitale transacties met minderjarigen. • BSN/PGN is een oplossing voor breed te gebruiken uniek persoonsnummer, maar heeft veel beperkingen, bijv. mag niet gebruikt in verkeer met niet-publieke organisaties, het kan leiden tot privacy- en security-issues. • De huidige landelijke voorzieningen op het gebied van IAA, DigiD en eHerkenning, zijn beperkt toepasbaar. • Met name MBO heeft last van gefragmenteerde infrastructuur voor IAA (Kennisnetfederatie vsSURFconext).

24. 5. Identificatie, authenticatie, autorisatie (IAA) - aanpak • Door het onderwijsveld en OCW visie/strategie laten ontwikkelen. • Gemeenschappelijke IAA-architectuur voor onderwijs formuleren (gemeenschappelijk toekomstbeeld met mogelijk verschillende wegen daar naartoe) en vaststellen. • Architectuurafstemmen (review) met o.a. Architectuurraad. • Beleidsuitgangspunten/visieen concept architectuurvoorlopig vast latenstellenin Informatiekamer. • Roadmap opstellenvooruitrolcomponenten van die architectuur(incl. impactanalyses, prioritering) • Stimuleren praktische oplossingen op basis van architectuur in lopende voorzieningen/projecten.

25. 5. Identificatie, authenticatie, autorisatie (IAA) - vraagstukken • Moeten we BSN geschikt(er) maken of eigen integraal persistent onderwijsnummer (oID) invoeren? • Scope: Hele onderwijskolom of per sector? Per toepassingsgebied (bijv. ECK)? • Scope: Alleen leerlingen/studenten/lerenden of ook onderzoekers en docenten. • Leven lang leren? Ook ‘werk’ meenemen? (perspectief burger!) • Waar met echte persistente ID-nummers werken, waar met pseudoniemen? • Betrouwbaarheidsniveausbepalen. • Welkevoorzieningenzijnnodig (centraal of decentraal)? • Governance • Hoe bepaalt de burger/leerling/student zelf welke informatie aan wie verstrekt mag worden(user consent(? • Hoe minderjarigen-problematiek oplossen (machtigen)? • Hoe stemmen we af met eID-stelsel?

26. wikixl.nl/wiki/rosa

27. Vervolg: Doorontwikkeling ROSA • Samenhanganderearchitecturen • Serviceregister • Ondertekenservice • Katern P&B / IAA • Uitrolcertificering • Doorontwikkelen BRON (Edukoppeling)

28. werkingsgebieden POVO HO MBO Andere domeinen NORA ROSA Triple A HORA Admin. keten ECK Toets- en examenketen toepassingsgebieden Leer- middelketen