De eisen in dit hoofdstuk zijn de generieke eisen, benodigd voor deze toepassing. Waar aanvullende afspraken zijn gemaakt, vind je deze bij ‘Implicatie bij toepassing’ of is er een afgeleide van de basiseis aangemaakt.
Generieke functie: Identificatie en authenticatie
|
TW-F-IA-001 |
Identificatie op basis van uniek ID |
|---|---|
|
Legacy code |
Id-01 |
|
Status |
NORMATIEF |
|
Omschrijving |
Zorgverleners MOETEN geïdentificeerd worden op basis van een uniek ID. Dit is een UZI of een ander uniek tot één persoon te herleiden nummer. |
|
Toelichting |
Wanneer een eigen ID wordt gebruikt MOET dit een unieke combinatie van persoons-ID en organisatie-ID opleveren en dat dit herleidbaar blijft (ook na, bijvoorbeeld, vertrek van zorgverlener), uitgegeven op het op het juiste betrouwbaarheidsniveau. Deze eis is van toepassing op alle Twiin-transacties. |
|
Vereiste |
MOET |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
Identificatie Authenticatie |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-IA-002 |
Authenticatie op eIDAS-niveau hoog |
|---|---|
|
Legacy code |
Auth-01 |
|
Status |
NORMATIEF |
|
Omschrijving |
Zorgverlener/gebruiker (van het GTK) ZOUDEN (lokaal) geauthentiseerd MOETEN worden op eIDAS-niveau hoog |
|
Toelichting |
Door de keten heen kan hier nog geen bewijs van worden meegeven zodat andere partijen de zorgverlener ook met zekerheid kunnen authenticeren. Deze eis is van toepassing op alle Twiin-transacties. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
TWIIN DEELNEMER |
|
Functie |
Identificatie Authenticatie |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-IA-003 |
Opzoekbaar maken publieke sleutel gebruikt voor ondertekening |
|---|---|
|
Legacy code |
BgZ-2a-AA-01 / BgZ-2a-AA-02 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender en GTK Ontvanger ZOUDEN de publieke sleutel(s) die zij gebruiken voor de ondertekening van JWT’s via |
|
Toelichting |
De wijze waarop de uitwisseling van publieke sleutels tussen GTK Verzender en GTK Ontvanger plaatsvindt is (nog) niet gebonden aan normatieve eisen. Het is aan GTK Verzender en GTK Ontvanger AANBEVOLEN om onderling en in afstemming met de gebruikte infrastructuur afspraken te maken over de wijze van uitwisseling van publieke sleutels. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
GTK |
|
Functie |
Identificatie Authenticatie |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
|
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-IA-004 |
Aanmaken client assertion |
|---|---|
|
Legacy code |
BgZ-2a-AA-03 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender is MOET een client assertion in de vorm van een |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
Identificatie Authenticatie |
|
Actor |
GTK VERZENDER |
|
Referenties |
|
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
Generieke Functie: Autorisatie
|
TW-F-AU-001 |
Systeem identifiers autorisatie-clients |
|---|---|
|
Legacy code |
BgZ-2a-AA-04 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN gebruik maken van dezelfde identifiers voor de systemen die opereren als autorisatie-clients (OAuth clients). |
|
Toelichting |
Het toekennen en gebruiken van identifiers van systemen is (nog) niet gebonden aan normatieve eisen. GTK Verzender en GTK Ontvanger moeten daarom onderling en in afstemming met de gebruikte infrastructuur afspraken maken over de te gebruiken identifiers van systemen. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
AUTORISATIE |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
Twiin-07 | Token Request Zie |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-AU-002 |
Systeem identifiers autorisatie-servers |
|---|---|
|
Legacy code |
BgZ-2a-AA-04 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender en GTK Ontvanger MOETEN gebruik maken van dezelfde identifiers voor de systemen die opereren als autorisatie-servers (authorization server token endpoints). |
|
Toelichting |
Het toekennen en gebruiken van identifiers van systemen is (nog) niet gebonden aan landelijke normatieve eisen. GTK Verzender en GTK Ontvanger moeten daarom onderling en in afstemming met de gebruikte infrastructuur afspraken maken over de te gebruiken identifiers van systemen. Voor nu is afgestemd dat de systeem identifiers zelf gekozen moeten zijn, maar de vorm van een FQDN of OID mogen hebben. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
AUTORISATIE |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
Twiin-07 | Token Request Zie |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-AU-003 |
Aanmaken access token request voor resource endpoint |
|---|---|
|
Legacy code |
BgZ-2a-AA-13 |
|
Status |
NORMATIEF |
|
Omschrijving |
De GTK Ontvanger MOET conform de specificaties een access token request voor toegang tot het resource-endpoint aan kunnen maken en aan GTK Verzender versturen. |
|
Toelichting |
Eventueel inclusief een eerder van GTK Verzender ontvangen |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
AUTORISATIE |
|
Actor |
GTK ONTVANGER |
|
Referenties |
Twiin-07 | Token Request | Access token requestTwiin-07 | Token Request | Authorization grantTwiin-07 | Token Request | Authorization base |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
|
TW-F-AU-004 |
Aanmaken access token request voor resource endpoint |
|---|---|
|
Legacy code |
BgZ-2a-AA-14 |
|
Status |
NORMATIEF |
|
Omschrijving |
GTK Verzender MOET conform de specificaties een access token request van GTK Ontvanger voor toegang tot het resource server endpoint af kunnen handelen. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
AUTORISATIE |
|
Actor |
GTK VERZENDER |
|
Referenties |
|
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
TECHNISCH |
|
Niveau |
GENERIEK |
Generieke functie: Toestemming
|
TW-F-T-001 |
Aansluiting op Mitz |
|---|---|
|
Legacy code |
Toestemming-01 |
|
Status |
NORMATIEF |
|
Omschrijving |
Een GTK ZOU een aansluiting op Mitz MOETEN hebben. |
|
Toelichting |
Een GTK die uitwisselingen ondersteunt waar uitdrukkelijke toestemming voor nodig is, ZOU een Mitz Connector Aansluiting MOETEN ondersteunen. |
|
Vereiste |
ZOU MOETEN |
|
Rollen |
GTK |
|
Functie |
TOESTEMMING |
|
Referenties |
|
|
Toetsingscategorie |
GEEN |
|
Niveau |
GENERIEK |
Generieke functie: Logging
|
TW-F-LO-001 |
Loggen berichtuitwisseling |
|---|---|
|
Legacy code |
Log-01 |
|
Status |
NORMATIEF |
|
Omschrijving |
Het GTK MOET alle berichtuitwisseling met andere GTK’s loggen. |
|
Toelichting |
Wat er functioneel gelogd moet worden is gespecificeerd in de norm NEN 7513:2024. Deze eis is van toepassing op alle Twiin-transacties. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
LOGGING |
|
Toepassing |
BGZ |
|
Referenties |
NEN 7513:2024, tabel 3 - Format van logregel voor uiwisselingsgebeurtenissen |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
|
TW-F-LO-002 |
Loggegevens uitwisselen |
|---|---|
|
Legacy code |
Log-02 |
|
Status |
NORMATIEF |
|
Omschrijving |
Het GTK MOET loggegevens over uitwisselingen met andere GTK's kunnen aanleveren aan die GTK's. |
|
Toelichting |
Eis uit NEN7512:2022 6.2.9: “De communicatiepartijen moeten afspraken maken over de wederzijdse inzage in de logbestanden en de termijn waarbinnen deze mogelijk wordt gemaakt.” Zolang er nog geen landelijke procedures en afspraken zijn opgesteld over de uitwisseling van de logging tussen GTK’s zal dit in de (uitzonderlijke) gevallen wanneer dit toch nodig is op ad hoc basis gedaan moeten worden. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
LOGGING |
|
Toepassing |
BGZ |
|
Referenties |
NEN7512:2022 6.2.9 |
|
Toetsingscategorie |
VALIDATIE BIJ TWIIN |
|
Toetsingsvorm |
ZELFVERKLARING |
|
Niveau |
GENERIEK |
Generieke functie: Adressering
|
TW-F-AD-001 |
Publiceren adresinformatie endpoints |
|---|---|
|
Legacy code |
BgZ-2a-TANP-04 / BgZ-2a-TANP-05 |
|
Status |
NORMATIEF |
|
Omschrijving |
De GTK Ontvanger en GTK Verzender MOETEN de technische adressen van het resource-endpoint, het notificatie-endpoint en het token-endpoint kenbaar maken aan de Twiin Beheerorganisatie. |
|
Toelichting |
De wijze waarop technische adressen tussen GTK Verzender en GTK Ontvanger worden gecommuniceerd is (nog) niet gebonden aan normatieve eisen. De Twiin Beheerorganisatie publiceert de endpoints en technische adressen in ZORG-AB. Om de technische adressen van een andere partij te achterhalen kan er worden gekozen om ZORG-AB te raadplegen (Zie ZORG-AB Transacties) maar dit is niet verplicht. GTK Verzender en GTK Ontvanger kunnen bijvoorbeeld ook onderling afspraken maken over de wijze waarop technische adressen worden gecommuniceerd. |
|
Vereiste |
MOET |
|
Rollen |
GTK |
|
Functie |
ADRESSERING |
|
Actor |
GTK Ontvanger GTK Verzender |
|
Referenties |
|
|
Toetsingscategorie |
GEEN |
|
Niveau |
GENERIEK |