Verwerkingenlogging bewerking API-standaard
Over de implementatie van de Bewerking API-standaard
Quick Start Guide
De Quick Start Guide beschrijft beknopt de interactie tussen gemeentelijke applicaties, het verwerkingenlog en het verwerkingsactiviteitenregister.
Daarna wordt met behulp van twee voorbeelden beschreven:
- Minimale logging waarbij zowel een consumer als een provider betrokken is.
- Volledige logging die nodig is voor vertrouwelijke verwerkingen, het later vastleggen van bewaartermijnen maar ook voor meer duidelijkheid over de aard van de verwerking richting burgers.
Aanpassingen aan consumer applicaties
Uit de Quick Start Guide valt op te maken dat gemeentelijke applicaties en services die de verwerkingenlogging API-standaard implementeren op diverse punten moeten worden aangepast.
Uiteindelijk moet voldaan worden aan alle onderstaande punten:
- Bij alle acties die persoonsgegevens verwerken wordt er gelogd (B7952). Hierbij gelden de volgende regels:
- Alle verwerkingen hebben een eigen ID (B8157).
- Als de verwerking overeenkomt met een proces uit de bedrijfsvoering (zoals een verzoek of zaak) en dit proces heeft een eigen UUID dan kan dit UUID gebruikt worden.
- In alle andere gevallen moet een nieuw UUID toegewezen worden.
- Het ID van de verwerking wordt gelogd en kan later gebruikt worden om acties die over deze verwerking gelogd zijn aan elkaar te relateren, eventuele vertrouwelijkheid te laten vervallen, een bewaartermijn op te geven of de acties in bijzondere situaties aan te passen of logisch te verwijderen.
- Verwerkingsacties worden zodanig omschreven dat deze duidelijk zijn voor de burger. Hiertoe worden waar mogelijk en zinvol alle attributen van de actie ingezet (A5924).
- Alle verwerkingen hebben een eigen ID (B8157).
-
Roept de applicatie/service een API aan waarbij die API persoonsgegevens verwerkt? Dan moet bij deze aanroep in de header de volgende informatie meegegeven worden (B7259, B9177):
OIN,Verwerkingsactiviteit ID,Verwerkingsactiviteit URL,Verwerking ID,VertrouwelijkheidenBewaartermijn. Zie ‘Toevoeging aan de header van alle persoonsgegevens-verwerkende API’s’ hieronder voor meer informatie. - Wordt een service geboden waarbij persoonsgegevens verwerkt worden? Dan moet bij de uitvoering daarvan gekeken worden of in de header van de aanroep de volgende gegevens aanwezig zijn:
OIN,Verwerkingsactiviteit ID,Verwerkingsactiviteit URL,Verwerking ID,VertrouwelijkheidenBewaartermijn. Deze gegevens dienen overgenomen te worden bij het loggen van de verwerking. Zie ‘Toevoeging aan de header van alle persoonsgegevens-verwerkende API’s’ hieronder voor meer informatie.
Toevoeging aan de header van alle persoonsgegevens-verwerkende APIs
Als een consumer een API aanroept van een provider die persoonsgegevens verwerkt, moet bij deze aanroep in de header de volgende informatie meegegeven worden (B9177).
Aanwezigheid van de header attributen is als volgt:
De provider logt deze informatie als volgt:
Functionele view Bewerking API
Onderstaande tabel beschrijft de door de API geboden functies. Klik op de naam van de functie voor de beschrijving.
Technische view Bewerking API
OAS
-
Published versie van de API specificatie (OAS3) in ReDoc, Swagger of YAML.
-
Development versie van de API specificatie (OAS3) in ReDoc, Swagger of YAML.
Aanvullende specificaties Bewerking API
Klik op de API-call in de onderstaande tabel om de aanvullende specificaties te zien.
| Type | API-call |
|---|---|
| REST | POST /verwerkingsacties |
| REST | GET /verwerkingsacties |
| REST | PUT /verwerkingsacties/{actieId} |
| REST | DELETE /verwerkingsacties/{actieId} |
| REST | PATCH /verwerkingsacties |
Opmerkingen
- De autorisatie-scopes zijn hier beschreven. Als de API call niet voldoet aan de scope dan zal een
HTTP 403 (Forbidden)foutmelding worden teruggegeven.
Gehanteerde standaarden
Op de verwerkingenlogging API-standaard zijn de volgende standaarden van toepassing: