Een (potentiƫle) datadienstgebruiker doet een datadienstverzoek bij een datadienstaanbieder. Dit verzoek wordt door de datadienstaanbieder getoetst aan het autorisatiebeleid, als autorisatiebesluit, om te controleren of de datadienstgebruiker toegang krijgt tot de datadienst. De manier waarop deze toets plaatsvindt, is afhankelijk van de specifieke datadienst autorisatiebeleid en de voorbereiding die hiervoor is getroffen.
...
De datadienstaanbieder haalt informatie op uit het datadienstverzoek, en eventueel extra informatie die voor het datadienstverzoek is georganiseerd die nodig is bij het komen tot een autorisatiebesluit. De nodige informatie is afhankelijk van het autorisatiebeleid en de getroffen voorbereidingen. Afhankelijk van de datadienst kan dit informatie bevatten over (o.a.) kwalificaties en eigenschappen, delegatie of een access token.
3. Autorisatiebesluit
Om een autorisatiebesluit te nemen zou de datadienstaanbieder de informatie betreffend het datadienstverzoek moeten houden tegen het opgestelde autorisatiebeleid. De datadienstaanbieder is verantwoordelijk om de juiste informatie te controleren bij het nemen van een autorisatiebesluit. Er kunnen redenen ontstaan voor het afwijken van autorisatiebeleid, zelfs wanneer alle nodige autorisatie-informatie correct is voorbereid, bijvoorbeeld het gebruik van een blacklist. In een geval waar dit voorkomt, is het de verwachting dat de datadienstaanbieder haar besluit kan onderbouwen en communiceren aan de datadienstaanbieder indien nodig.
...