Delegatie is het overdragen van een bevoegdheid, van de datarechthebbende, aan een ander die vervolgens die bevoegdheid kan gebruiken. Wanneer een datadienstaanbieder het in een datadienst mogelijk maakt voor een datarechthebbende om haar rechten te delegeren, moeten de door de datarechthebbende gedelegeerde rechten van tevoren zijn geregistreerd. Wanneer daarna een gedelegeerde datadienstgebruiker een datadienstverzoek verstuurt moet de datadienstaanbieder het delegatiebewijs krijgen of op basis van de ontvangen informatie zelf een autorisatiebesluit kunnen nemen. Het registeren van delegaties en het ophalen van delegatiebewijs is een onderdeel van het organiseren van autorisatie-informatie van een datadienst.
Registratie van delegaties
...
De datarechthebbende beheert zelf delegaties
De datarechthebbende registreert haar delegaties bij de datadienstaanbieder
De datarechthebbende registreert haar delegaties bij een onafhankelijk autorisatieregister
De datadienstaanbieder is verantwoordelijk voor het vaststellen waar delegaties geregistreerd kunnen worden in haar datadienst. De datarechthebbende heeft binnen de aangeboden opties keuze over waar ze haar delegaties geregistreerd.
| Excerpt |
|---|
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als gedelegeerde datadienstgebruikers een datadienst kunnen afnemen MOETEN datadienstaanbieders in de datadienstspecificatie vaststellen waar delegaties geregistreerd mogen worden
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als de datarechthebbende gebruik wil maken van de mogelijkheid om haar rechten te delegeren dan MOET de datarechthebbende binnen de opties aangeboden in een datadienst bepalen waar haar delegaties geregistreerd worden
|
|
...
Wanneer de datarechthebbende haar delegaties zelf beheert moet de datarechthebbende elke gedelegeerde datadienstgebruiker toestemming geven voordat deze een datadienstverzoek kan sturen. Dit is geschikt bij datadiensten met zeer waardevolle data waar de datarechthebbende volledige controle over wil hebben.
| Excerpt |
|---|
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als een datadienstaanbieder de mogelijkheid biedt voor de datarechthebbende om zelf haar delegaties te beheren dan MOET dit worden gedaan volgens het afsprakenstelsel
|
|
...
| Info |
|---|
Merk op, op dit moment is gekozen voor dit interactiemodel omdat het federatief ecosysteem voor datadelen data delen (DSGO) nog in ontwikkeling is, en de implementatielast wordt gelegd bij de partijen die er waarde uit ervaren. Andere interactiemodellen kunnen deze functionaliteit mogelijk te maken, waarbij de implementatie last bij de datadienstaanbieder ligt. In de toekomst, in een volwassen DSGO, is dit wellicht gewenst, en kan dit worden herzien. |
...
| Info |
|---|
Merk op, dit interactiemodel is niet geschikt voor delegatie naar een mens als datadienstaanbieder datadienstgebruiker (zie Authenticatie op datadienstniveau voor meer informatie). In de toekomst zal dit worden uitgebreid om dit mogelijk te maken |
Het leveren van delegatiebewijs door een data rechthebbende wordt mogelijk gemaakt door het /delegation endpoint die geimplementeerd wordt door de datarechthebbende aan een datadienstgebruiker beschikbaar wordt gesteld. Een datadienstgebruiker kan dan delegatiebewijs opvragen bij de data rechthebbende voordat een succesvol datadienstverzoek bij de datadienstaanbieder kan plaatsvinden.
| Excerpt |
|---|
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Datarechthebbende MOETEN deelnemer zijn van het DSGO om haar eigen delegaties te beheren
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: De datarechthebbende MOET delegatie bewijs beschikbaar stellen volgens een /delegation endpoint
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als een datadienstaanbieder de mogelijkheid biedt voor de datarechthebbende om zelf haar delegaties te beheren dan MOET de datadienstaanbieder datadienstverzoeken met HTTP header delegation_evidence met een geldige delegationEvidence object accepteren
|
|
...
Wanneer delegaties geregistreerd zijn bij de datadienstaanbieder bepaalt en deelt de datarechthebbende de delegatieregels met de datadienstaanbieder op basis waarvan de datadienstaanbieder autonoom een gedelegeerde datadienstgebruiker toestemming kan geven. Dit is geschikt in het geval de datadienstaanbieder over de software beschikt welke technische integratie mogelijk maakt tussen de datarechthebbende en de datadienstaanbieder.
| Excerpt |
|---|
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als een datadienstaanbieder de mogelijkheid biedt voor datarechthebbende om haar delegaties te registreren bij de datadienstaanbieder dan MOET de datadienstaanbieder dit mogelijk maken voor de datarechthebbende
|
|
| Info |
|---|
Merk op, het afsprakenstelsel definieert niet hoe de registratie van delegaties bij de datadienstaanbieder moet plaatsvinden. Dit is omdat bij deze delegatie registratie keuze geen afhankelijkheden liggen bij andere partijen, en daarmee de implementatie hiervan geen impact heeft op interoperabiliteit in het DSGO. |
Interactiemodel
...
Wanneer de datarechthebbende haar delegaties registreert bij een autorisatieregister vraagt de datadienstaanbieder bij een datadienstverzoek van een gedelegeerde datadienstgebruiker het delegatiebewijs op bij het autorisatieregister. Dit is geschikt in het geval waar schaalbaarheid belangrijk is. Een autorisatieregister kan het beheer van een groot aantal delegaties op haar nemen.
| Excerpt |
|---|
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als een datadienstaanbieder de mogelijkheid biedt voor datarechthebbende om haar delegaties te registreren bij een autorisatieregister dan MOET dit worden gedaan volgens het afsprakenstelsel
|
|
...
| Info |
|---|
Merk op, Op dit moment is gekozen voor dit interactiemodel omdat het federatief ecosysteem voor datadelen data delen (DSGO) nog in ontwikkeling is, en de implementatielast wordt gelegd bij de partijen die er waarde uit ervaren. Andere interactiemodellen kunnen deze functionaliteit mogelijk te maken, waarbij de implementatie last bij de datadienstaanbieder ligt. In de toekomst, in een volwassen DSGO, is dit wellicht gewenst, en kan dit worden herzien. |
...
| Info |
|---|
Merk op, dit interactiemodel is niet geschikt voor delegatie naar een mens als datadienstaanbieder datadienstgebruiker (zie Authenticatie op datadienstniveau voor meer informatie). In de toekomst zal dit worden uitgebreid om dit mogelijk te maken |
Het leveren van delegatiebewijs door een autorisatieregister wordt mogelijk gemaakt door het /delegation endpoint die geimplementeerd wordt door de autorisatieregister aan een datadienstgebruiker beschikbaar wordt gesteld. Een datadienstgebruiker kan dan delegatiebewijs opvragen bij de autorisatieregister voordat een succesvol datadienstverzoek bij de datadienstaanbieder kan plaatsvinden.
| Excerpt |
|---|
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Autorisatieregisters MOETEN delegatie bewijs beschikbaar stellen volgens een /delegation endpoint
|
| Panel |
|---|
| panelIconId | 2705 |
|---|
| panelIcon | :white_check_mark: |
|---|
| panelIconText | ✅ |
|---|
| bgColor | #FFF0B3 |
|---|
| DSGO.Basis: Als een datadienstaanbieder de mogelijkheid biedt voor datarechthebbende om haar delegaties te registreren bij een autorisatieregister dan MOET de datadienstaanbieder datadienstverzoeken met HTTP header delegation_evidence met een geldige delegationEvidence object accepteren
|
|