Verwerkingenlogging API-standaard

Over de implementatie van de API-standaard

Quick Start Guide

De Quick Start Guide beschrijft beknopt de interactie tussen applicaties, het verwerkingenlog en het verwerkingsactiviteitenregister.

Daarna wordt met behulp van twee voorbeelden beschreven:

  • Minimale logging waarbij zowel een consumer als een provider betrokken is.
  • Volledige logging die nodig is voor vertrouwelijke verwerkingen, het later vastleggen van bewaartermijnen maar ook voor meer duidelijkheid over de aard van de verwerking richting burgers.

Aanpassingen aan consumer applicaties

Uit de Quick Start Guide valt op te maken dat applicaties en services die de verwerkingenlogging API-standaard implementeren op diverse punten moeten worden aangepast.

Uiteindelijk moet voldaan worden aan alle onderstaande punten:

  • Bij alle acties die persoonsgegevens verwerken wordt er gelogd (B7952). Hierbij gelden de volgende regels:
    • Alle verwerkingen hebben een eigen ID (B8157).
      • Als de verwerking overeenkomt met een proces uit de bedrijfsvoering (zoals een verzoek of zaak) en dit proces heeft een eigen UUID dan kan dit UUID gebruikt worden.
      • In alle andere gevallen moet een nieuw UUID toegewezen worden.
    • Het ID van de verwerking wordt gelogd en kan later gebruikt worden om acties die over deze verwerking gelogd zijn aan elkaar te relateren, eventuele vertrouwelijkheid te laten vervallen, een bewaartermijn op te geven of de acties in bijzondere situaties aan te passen of logisch te verwijderen.
    • Verwerkingsacties worden zodanig omschreven dat deze duidelijk zijn voor de burger. Hiertoe worden waar mogelijk en zinvol alle attributen van de actie ingezet (A5924).
  • Roept de applicatie/service een API aan waarbij die API persoonsgegevens verwerkt? Dan moet bij deze aanroep in de header de volgende informatie meegegeven worden (B7259, B9177): OIN, Verwerkingsactiviteit ID, Verwerkingsactiviteit URL, Verwerking ID, Vertrouwelijkheid en Bewaartermijn. Zie ‘Toevoeging aan de header van alle persoonsgegevens-verwerkende API’s’ hieronder voor meer informatie.

  • Wordt een service geboden waarbij persoonsgegevens verwerkt worden? Dan moet bij de uitvoering daarvan gekeken worden of in de header van de aanroep de volgende gegevens aanwezig zijn: OIN, Verwerkingsactiviteit ID, Verwerkingsactiviteit URL, Verwerking ID, Vertrouwelijkheid en Bewaartermijn. Deze gegevens dienen overgenomen te worden bij het loggen van de verwerking. Zie ‘Toevoeging aan de header van alle persoonsgegevens-verwerkende API’s’ hieronder voor meer informatie.

Toevoeging aan de header van alle persoonsgegevens-verwerkende APIs

Als een consumer een API aanroept van een provider die persoonsgegevens verwerkt, moet bij deze aanroep in de header de volgende informatie meegegeven worden (B9177).

Aanwezigheid van de header attributen is als volgt:

De provider logt deze informatie als volgt:

Functionele view

Onderstaande tabel beschrijft de door de API geboden functies. Klik op de naam van de functie voor de beschrijving.

Categorie \ Functie
Loggen
       F7446: Log Verwerkingsactie
       F6624: Log Vertrouwelijke Verwerkingsactie
Opvragen
       F4086: Opvragen Verwerkingsacties – Beperkte set velden, niet vertrouwelijk
       F2525: Opvragen Verwerkingsacties – Beperkte set velden, vertrouwelijkheid opgeheven
       F9787: Opvragen Verwerkingsacties – Alle velden, niet vertrouwelijk
       F0143: Opvragen Verwerkingsacties – Alle velden, vertrouwelijk
Wijzigen vertrouwelijkheid & bewaartermijn
       F2969: Wijzig vertrouwelijkheid van Verwerking
       F4415: Wijzig bewaartermijn van Verwerking
Bijzondere functies
       F8316: Wijzig Verwerkingsactie
       F3835: Wijzig Vertrouwelijke Verwerkingsactie
       F9906: Verwijder Verwerkingsactie
       F2265: Verwijder Vertrouwelijke Verwerkingsactie

Technische view

OAS

API specificatie (OAS3) in ReDoc, Swagger of YAML.

Aanvullende specificaties

Klik op de API-call in de onderstaande tabel om de aanvullende specificaties te zien.

Type API-call
REST POST /verwerkingsacties
REST GET /verwerkingsacties
REST PUT /verwerkingsacties/{actieId}
REST DELETE /verwerkingsacties/{actieId}
REST PATCH /verwerkingsacties

Opmerkingen

  • De autorisatie-scopes zijn hier beschreven. Als de API call niet voldoet aan de scope dan zal een HTTP 403 (Forbidden) foutmelding worden teruggegeven.

Gehanteerde standaarden

Op de verwerkingenlogging API-standaard zijn de volgende standaarden van toepassing: