De eisen in dit hoofdstuk zijn de generieke eisen, benodigd voor deze toepassing. Waar aanvullende afspraken zijn gemaakt, vind je deze bij ‘Implicatie bij toepassing’ of is er een afgeleide van de basiseis aangemaakt. Toelichting over de opgenomen attributen is te vinden onder 1.3 | Schrijfwijze van objecten.
Generieke functie: Identificatie en authenticatie
|
TW-F-IA-001 |
Identificatie op basis van uniek ID
|
|---|---|
|
Legacy code |
Id-01 |
|
Status |
Normatief |
|
Omschrijving |
Zorgverleners MOETEN geïdentificeerd worden op basis van een uniek ID. Dit is een UZI of een ander uniek tot één persoon te herleiden nummer. |
|
Toelichting |
Wanneer een eigen ID wordt gebruikt MOET dit een unieke combinatie van persoons-ID en organisatie-ID opleveren en dat dit herleidbaar blijft (ook na, bijvoorbeeld, vertrek van zorgverlener), uitgegeven op het op het juiste betrouwbaarheidsniveau. Deze eis is van toepassing op alle Twiin-transacties. |
|
Vereiste |
MOET |
|
Functie |
Identificatie Authenticatie |
|
Rol |
Twiin Deelnemer |
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
|
TW-F-IA-002 |
Authenticatie op eIDAS-niveau hoog
|
|---|---|
|
Legacy code |
Auth-01 |
|
Status |
Normatief |
|
Omschrijving |
Zorgverlener/gebruiker (van het GTK) ZOUDEN (lokaal) geauthentiseerd MOETEN worden op eIDAS-niveau hoog |
|
Toelichting |
Door de keten heen kan hier nog geen bewijs van worden meegeven zodat andere partijen de zorgverlener ook met zekerheid kunnen authenticeren. Deze eis is van toepassing op alle Twiin-transacties. |
|
Vereiste |
ZOU MOETEN |
|
Functie |
Identificatie Authenticatie |
|
Rol |
Twiin Deelnemer |
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Zelfverklaring |
|
Niveau |
Generiek |
|
TW-F-IA-003 |
Opzoekbaar maken publieke sleutel gebruikt voor ondertekening
|
|---|---|
|
Legacy code |
BgZ-2a-AA-01 / BgZ-2a-AA-02 |
|
Status |
Normatief |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN de publieke sleutel(s) die zij gebruiken voor de ondertekening van JWT’s via |
|
Toelichting |
De wijze waarop de uitwisseling van publieke sleutels tussen GTK Verzender en GTK Ontvanger plaatsvindt is (nog) niet gebonden aan normatieve eisen. Het is aan GTK Verzender en GTK Ontvanger AANBEVOLEN om onderling en in afstemming met de gebruikte infrastructuur afspraken te maken over de wijze van uitwisseling van publieke sleutels. |
|
Vereiste |
MOET |
|
Functie |
Identificatie Authenticatie |
|
Rol |
GTK |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
|
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
|
TW-F-IA-004 |
Aanmaken client assertion
|
|---|---|
|
Legacy code |
BgZ-2a-AA-03 |
|
Status |
Normatief |
|
Omschrijving |
GTK Verzender MOET een client assertion in de vorm van een |
|
Vereiste |
MOET |
|
Functie |
Identificatie Authenticatie |
|
Rol |
GTK |
|
Actor |
GTK Verzender |
|
Referenties |
|
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
|
TW-F-IA-005 |
Identifiers GTK
|
|---|---|
|
Legacy code |
BgZ-2a-AA-05 |
|
Status |
Normatief |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN gebruik maken van dezelfde identifiers voor de systemen die opereren als autorisatie-servers (authorization server token endpoints) |
|
Toelichting |
Het toekennen en gebruiken van identifiers van systemen is (nog) niet gebonden aan landelijke normatieve eisen. GTK Verzender en GTK Ontvanger MOETEN daarom onderling en in afstemming met de gebruikte infrastructuur afspraken maken over de te gebruiken identifiers van systemen.Voor nu is afgestemd dat de systeem identifiers zelf gekozen moeten zijn, maar de vorm van een FQDN of OID mogen hebben. Zie |
|
Vereiste |
MOET |
|
Functie |
Authenticatie |
|
Rol |
GTK |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Toepassing |
BgZ Correspondentie |
|
Referenties |
|
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
Generieke Functie: Autorisatie
|
TW-F-AU-001 |
Systeem identifiers autorisatie-clients
|
|---|---|
|
Legacy code |
BgZ-2a-AA-04 |
|
Status |
Normatief |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN gebruik maken van dezelfde identifiers voor de systemen die opereren als autorisatie-clients (OAuth clients). |
|
Toelichting |
Het toekennen en gebruiken van identifiers van systemen is (nog) niet gebonden aan normatieve eisen. GTK Verzender en GTK Ontvanger moeten daarom onderling en in afstemming met de gebruikte infrastructuur afspraken maken over de te gebruiken identifiers van systemen. |
|
Vereiste |
MOET |
|
Functie |
Autorisatie |
|
Rol |
GTK |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
Twiin-07 | Token Request Zie |
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
|
TW-F-AU-002 |
Systeem identifiers autorisatie-servers
|
|---|---|
|
Legacy code |
BgZ-2a-AA-04 |
|
Status |
Normatief |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN gebruik maken van dezelfde identifiers voor de systemen die opereren als autorisatie-servers (authorization server token endpoints). |
|
Toelichting |
Het toekennen en gebruiken van identifiers van systemen is (nog) niet gebonden aan landelijke normatieve eisen. GTK Verzender en GTK Ontvanger moeten daarom onderling en in afstemming met de gebruikte infrastructuur afspraken maken over de te gebruiken identifiers van systemen. Voor nu is afgestemd dat de systeem identifiers zelf gekozen moeten zijn, maar de vorm van een FQDN of OID mogen hebben. |
|
Vereiste |
MOET |
|
Functie |
Autorisatie |
|
Rol |
GTK |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
Twiin-07 | Token Request Zie |
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
|
TW-F-AU-003 |
Aanmaken access token request voor resource endpoint
|
|---|---|
|
Legacy code |
BgZ-2a-AA-13 |
|
Status |
Normatief |
|
Omschrijving |
De GTK Ontvanger MOET conform de specificaties een access token request voor toegang tot het resource-endpoint aan kunnen maken en aan GTK Verzender versturen. |
|
Toelichting |
Eventueel inclusief een eerder van GTK Verzender ontvangen |
|
Vereiste |
MOET |
|
Functie |
Autorisatie |
|
Rol |
GTK |
|
Actor |
GTK Ontvanger |
|
Referenties |
Twiin-07 | Token Request | Access token request
|
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
|
TW-F-AU-004 |
Aanmaken access token request voor resource endpoint
|
|---|---|
|
Legacy code |
BgZ-2a-AA-14 |
|
Status |
Normatief |
|
Omschrijving |
GTK Verzender MOET conform de specificaties een access token request van GTK Ontvanger voor toegang tot het resource server endpoint af kunnen handelen. |
|
Vereiste |
MOET |
|
Functie |
Autorisatie |
|
Rol |
GTK |
|
Actor |
GTK Verzender |
|
Referenties |
|
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Technisch |
|
Niveau |
Generiek |
Generieke functie: Toestemming
|
TW-F-T-001 |
Aansluiting op Mitz
|
|---|---|
|
Legacy code |
Toestemming-01 |
|
Status |
Normatief |
|
Omschrijving |
Een GTK ZOU een aansluiting op Mitz MOETEN hebben. |
|
Toelichting |
Een GTK die uitwisselingen ondersteunt waar uitdrukkelijke toestemming voor nodig is, ZOU een Mitz Connector Aansluiting MOETEN ondersteunen. Op het moment dat de onderliggende bronsystemen zelf de controle op de toestemming voor gegevensuitwisseling uitvoeren, is er geen noodzaak voor het GTK om dit ook te doen. |
|
Vereiste |
ZOU MOETEN |
|
Functie |
Toestemming |
|
Rol |
GTK |
|
Referenties |
|
|
Toetsingscategorie |
Geen |
|
Niveau |
Generiek |
Generieke functie: Adressering
|
TW-F-AD-001 |
Publiceren endpoints voor adresinformatie
|
|---|---|
|
Legacy code |
BgZ-2a-TANP-04 / BgZ-2a-TANP-05 |
|
Status |
Normatief |
|
Omschrijving |
De GTK Ontvanger en GTK Verzender MOETEN de technische adressen van het resource-endpoint, het notificatie-endpoint en het token-endpoint kenbaar maken aan de Twiin Beheerorganisatie. |
|
Toelichting |
De wijze waarop technische adressen tussen GTK Verzender en GTK Ontvanger worden gecommuniceerd is (nog) niet gebonden aan normatieve eisen. De Twiin Beheerorganisatie publiceert de endpoints en technische adressen in ZORG-AB. Om de technische adressen van een andere partij te achterhalen kan er worden gekozen om ZORG-AB te raadplegen (Zie ZORG-AB Transacties) maar dit is niet verplicht. GTK Verzender en GTK Ontvanger kunnen bijvoorbeeld ook onderling afspraken maken over de wijze waarop technische adressen worden gecommuniceerd. |
|
Vereiste |
MOET |
|
Functie |
Adressering |
|
Rol |
GTK |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
|
|
Toetsingscategorie |
Geen |
|
Niveau |
Generiek |
Generieke functie: Logging
|
TW-F-LO-001 |
Loggen berichtuitwisseling
|
|---|---|
|
Legacy code |
Log-01 |
|
Status |
Normatief |
|
Omschrijving |
Het GTK MOET alle berichtuitwisseling met andere GTK’s loggen. |
|
Toelichting |
Wat er functioneel gelogd moet worden is gespecificeerd in de norm NEN 7513:2024. Deze eis is van toepassing op alle Twiin-transacties. |
|
Vereiste |
MOET |
|
Functie |
Logging |
|
Rol |
GTK |
|
Toepassing |
BgZ Correspondentie |
|
Referenties |
NEN 7513:2024, tabel 3 - Format van logregel voor uiwisselingsgebeurtenissen |
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Zelfverklaring |
|
Niveau |
Generiek |
|
TW-F-LO-002 |
Loggegevens uitwisselen
|
|---|---|
|
Legacy code |
Log-02 |
|
Status |
Normatief |
|
Omschrijving |
Het GTK MOET loggegevens over uitwisselingen met andere GTK's kunnen aanleveren aan die GTK's. |
|
Toelichting |
Eis uit NEN7512:2022 6.2.9: “De communicatiepartijen moeten afspraken maken over de wederzijdse inzage in de logbestanden en de termijn waarbinnen deze mogelijk wordt gemaakt.” Zolang er nog geen landelijke procedures en afspraken zijn opgesteld over de uitwisseling van de logging tussen GTK’s zal dit in de (uitzonderlijke) gevallen wanneer dit toch nodig is op ad hoc basis gedaan moeten worden. |
|
Vereiste |
MOET |
|
Functie |
Logging |
|
Rol |
GTK |
|
Toepassing |
BgZ Correspondentie |
|
Referenties |
NEN7512:2022 6.2.9 |
|
Toetsingscategorie |
Via Twiin |
|
Toetsingsvorm |
Zelfverklaring |
|
Niveau |
Generiek |