Forumadvies Digikoppeling Uitbreiding REST API koppelvlak

Vergadering: Forum Standaardisatie 8 December

Agendapunt: 3A

Documentnummer: FS-20211208.3A

Aan: Forum Standaardisatie

Van: Stuurgroep Open Standaarden

Bijlagen:

• Intakeadvies Digikoppeling uitbreiding REST API koppelvlak
• Expertadvies Digikoppeling uitbreiding REST API koppelvlak
• Reacties uit de openbare consultatie Digikoppeling uitbreiding REST API koppelvlak

Download hier de PDF versie van dit Forumadvies. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

1. Advies

Het Forum Standaardisatie wordt gevraagd om in te stemmen met onderstaand advies.

Het Forum Standaardisatie adviseert het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) om:

1. De standaard Digikoppeling met de voorgestelde toevoeging van het REST API koppelvlak te handhaven op de ‘pas toe of leg uit’-lijst;
2. Logius het predicaat ‘uitstekend beheer’ voor Digikoppeling te laten behouden, dit inclusief de uitbreiding met het REST API koppelvlak;
3. Het functioneel toepassingsgebied voor Digikoppeling als volgt te verduidelijken:

“Digikoppeling moet worden toegepast bij digitale gegevensuitwisseling die plaatsvindt met voorzieningen die onderdeel zijn van de GDI,

waaronder de basisregistraties, of die sectoroverstijgend is. De verplichting geldt voor gegevensuitwisseling tussen systemen waarbij er noodzaak is voor tweezijdige authenticatie.

Geautomatiseerde gegevensuitwisseling tussen informatiesystemen op basis van NEN3610 is uitgesloten van het functioneel toepassingsgebied.”

1.1 Aanleiding en achtergrond

Dit document is het Forumadvies over de uitbreiding van de standaard Digikoppeling met het REST API koppelvlak gericht aan het OBDO en Forum Standaardisatie.

Digikoppeling staat al sinds 20 mei 2009 op de ‘pas toe of leg uit’-lijst. Digikoppeling bestaat uit een set koppelvlakstandaarden (WUS, ebMS en Grote Berichten) voor gestructureerd berichtenverkeer met en tussen overheidsorganisaties. Digikoppeling maakt veilige berichtenuitwisseling tussen overheden mogelijk. De uitbreiding van Digikoppeling is ingediend door Logius en wordt ondersteund door de Digikoppeling Community. Deze community bestaat uit 26 partijen waaronder 20 overheidsorganisaties.

Het bestaande functioneel toepassingsgebied beschrijft niet expliciet dat Digikoppeling alleen verplicht is voor gegevensuitwisseling tussen systemen waarbij tweezijdige authenticatie moet plaatsvinden. Het advies luidt daarom de reikwijdte van de verplichting te verduidelijken met het voorgestelde toepassingsgebied.

Digikoppeling blijft met het toegevoegde REST API koppelvlak alle bestaande koppelvlakken ondersteunen. De uitbreiding van Digikoppeling heeft geen impact op bestaande toepassingen van Digikoppeling. Het REST API koppelvlak van Digikoppeling is conform de standaard REST API Design Rules die op de ‘pas-toe-of-leg-uit’ lijst staat. De toevoeging van een REST API koppelvlak maakt het voor gebruikers makkelijker om Digikoppeling toe te passen waar dat verplicht is.

1.2 Gevolgd proces

Op 12 april 2021 heeft Logius het verzoek tot de uitbreiding van Digikoppeling met het REST API koppelvlak en wijziging van het functioneel toepassingsgebied op de ‘pas toe of leg uit’-lijst aangemeld.

Digikoppeling is al opgenomen op de ‘pas toe of leg uit’-lijst. De beheerorganisatie Logius heeft het predicaat ‘uitstekend beheer’ voor Digikoppeling. Normaal gesproken is voor het toevoegen van een nieuw koppelvlak dan geen procedure nodig. Voor het wijzigen van het functioneel toepassingsgebied wordt doorgaans een kleine toets ingezet. Echter, vanwege de impact van de toevoeging van het nieuwe koppelvlak en het nieuwe voorstel voor een wijziging van het functioneel toepassingsgebied, is een volledige toetsingsprocedure uitgevoerd.

De toetsingsprocedure bestond uit een intakeonderzoek, een expertonderzoek en een openbare consultatie. Dit Forumadvies is samengesteld op basis van de resultaten uit de toetsingsprocedure.

1.3 Consequenties en vervolgstappen

Het Forum Standaardisatie brengt op basis van dit document een advies uit aan het OBDO. Het OBDO bepaalt op basis van dit advies of Digikoppeling al dan niet wordt uitgebreid met het REST API koppelvlak op de ‘pas toe of leg uit’-lijst en of het functioneel toepassingsgebied wordt gewijzigd.

2. Toelichting

2.1 Over de standaard

De standaard Digikoppeling staat sinds 20 mei 2009 op ‘pas toe of leg uit’-lijst. In juni 2013 werd de versie van Digikoppeling gewijzigd naar 2.0. Op 25 mei 2018 stemde het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) in met het weglaten van het versie nummer van Digikoppeling, waarna het versiebeheer op niveau van de deelspecificaties wordt gevoerd. Voor gebruikers is dit duidelijker dan het gelaagde versiebeheer.

Digikoppeling bestaat uit een set koppelvlakstandaarden voor gestructureerd berichtenverkeer met en tussen overheidsorganisaties. De standaarden bevatten afspraken om berichten juist te adresseren, leesbaar en uitwisselbaar te maken en veilig en betrouwbaar te verzenden. Digikoppeling bestaat uit drie koppelvlakken:

1. WUS: voor bevragingen met direct antwoord
2. ebMS: voor zowel bevragingen met direct antwoord als meldingen / transacties met uitgesteld antwoord
3. Grote Berichten: voor uitwisselen van grote bestanden.

Aan Digikoppeling is recentelijk een REST API Koppelvlak toegevoegd. Waar de ebMS en WUS koppelvlakken SOAP principes gebruiken, maakt het nieuwe API koppelvlak gebruik van REST principes. Het REST API koppelvlak van Digikoppeling is conform de standaard REST API Design Rules die op de ‘pas toe of leg uit’-lijst staat. Tevens laat het REST API koppelvlak implementaties van oplossingen voor de landelijke integratiefaciliteit van Common Ground toe.

Digikoppeling blijft met het toegevoegde REST API koppelvlak alle bestaande koppelvlakken (WUS, ebMS en Grote Berichten) ondersteunen. De uitbreiding van Digikoppeling met een REST API koppelvlak heeft dus geen impact op de bestaande toepassingen van Digikoppeling

2.2 Betrokkenen en proces

Het verzoek om Digikoppeling uit te breiden met het REST API koppelvlak en het functioneel toepassingsgebied te wijzigen is op 12 april 2021 ingediend door Maarten van der Veen (Logius).

Voor het opstellen van dit Forumadvies is de volgende toetsingsprocedure doorlopen:

1. De procesbegeleider heeft op 20 april 2021 een intakegesprek gevoerd met de indiener. Tijdens de intake is de standaard getoetst op criteria voor inbehandelname en is een eerste inschatting gemaakt van de kansrijkheid van de procedure. Normaal gesproken is voor het toevoegen van een nieuw koppelvlak dan geen procedure nodig.
2. Op basis van de intake heeft het Forum Standaardisatie op 9 juni 2021 besloten de aanmelding in procedure te nemen. Hierop volgend is een expertgroep samengesteld en een voorzitter aangesteld.
3. De leden van de expertgroep hebben een voorbereidingsdossier gekregen dat is samengesteld met informatie uit de aanmelding en het intake onderzoek. Voorafgaand aan de expertbijeenkomst heeft de expertgroep dit voorbereidingsdossier doorgenomen en aandachtspunten geïdentificeerd.
4. De expertgroep is op 2 september 2021 online bijeengekomen om de bevindingen in het algemeen en de geïdentificeerde aandachtspunten in het bijzonder te bespreken. Tijdens deze bijeenkomst zijn ook het toepassings- en werkingsgebied vastgesteld.
5. Het expertadvies is van 30 september tot en met 28 oktober ter openbare consultatie aangeboden op deze Link. Uit de openbare consultatie volgden twee reacties, welke zijn vastgelegd in een rapport.
6. Dit Forumadvies is samengesteld met de informatie uit het intakeonderzoek, expertonderzoek en de openbare consultatie.

Aan de expertbijeenkomst hebben online deelgenomen:

• André Batenburg (Provincie Zuid-Holland)
• Antoon Bijen (Justitiële Informatiedienst)
• Arjen Monster (Gemeente Den Haag)
• Bob Moget (KOOP)
• Bob Teriele (RvIG)
• Eelco Hotting (VNG)
• Erwin Reinhoud (Kennisnet)
• Frank Terpstra (Geonovum)
• Hans Sinnige (RINIS)
• Henri Korver (VNG Realisatie)
• Humphrey Modirono (Gemeente Delft)
• Karl de Boer (JNet)
• Maarten van der Veen (Logius, indiener)
• Mark Backer (VNG Realisatie)
• Martijn Keizer (Enable-U)
• Martin van der Plas (Logius, indiener)
• Paul Peter Polak (Kamer van Koophandel)
• Peter Haasnoot (Logius, indiener)
• Peter Zandbergen (CBS)

Gert Jan van der Kooij (PinkRoccade) kon niet deelnemen aan de expertbijeenkomst, maar heeft voorafgaand schriftelijk input aangeleverd. Zijn reactie is meegenomen in de totstandkoming van het expertadvies.

Als onafhankelijk voorzitter trad op Diana Koppenol, directeur bij Lost Lemon. Delphine Meertens, consultant, en Arjen Brienen, senior consultant, hebben de toetsingsprocedure in opdracht van Bureau Forum Standaardisatie begeleid. Han Zuidweg en Hans Laagland van het Bureau Forum Standaardisatie waren als toehoorders bij de expertbijeenkomst (online) aanwezig.

2.3 Toetsing criteria

Toegevoegde waarde

De experts zien voldoende toegevoegde waarde in de standaard en de uitbreiding ervan met REST API’s om deze toe te voegen aan de ‘pas toe of leg uit’-lijst, gezien het wereldwijde gebruik van REST-gebaseerde API’s en de vraag van gebruikers om Digikoppeling van het koppelvlak te voorzien. De toevoeging van een REST API koppelvlak maakt het voor gebruikers gemakkelijker om Digikoppeling toe te passen waar dat verplicht is. De uitbreiding van een REST API koppelvlak doet dan ook geen afbreuk aan de toegevoegde waarde van de standaard.

Daarnaast bevat de aanmelding een voorstel om het huidige functioneel toepassingsgebied te verduidelijken. De experts hebben het functioneel toepassingsgebied geherformuleerd en zien de voorliggende wijziging als een verduidelijking in de reikwijdte van de verplichting. Daarmee is het een verbetering van de oorspronkelijke opname.

Open standaardisatieproces

Logius heeft het predicaat ‘uitstekend beheer’ voor Digikoppeling. In 2013 en 2018 is beheer van Digikoppeling nogmaals getoetst en voldeed het ruimschoots aan het criterium ‘open beheerproces’. Wel dient de website van Digikoppeling aangepast te worden, zodat deze is bijgewerkt met informatie over het nieuwe koppelvlak voor REST API’s.

Draagvlak

Uit het intakeadvies en expertadvies blijkt dat er voldoende draagvlak is voor de uitbreiding van de Digikoppeling. De voorliggende uitbreiding komt voort uit en wordt ondersteund door de Digikoppeling community. Deze community bestaat uit tenminste 18 overheidsorganisaties en -koepels en verschillende marktpartijen. De verwachting is dat er voldoende ondersteuning is door marktpartijen, omdat het gaat om een breed gedragen en breed toegepaste internationale standaard. Met het aanbieden van een REST API koppelvlak komt Digikoppeling tegemoet aan de vraag van veel Digikoppeling gebruikers en ondersteunt Digikoppeling inmiddels gangbare technologie.

Opname bevordert de adoptie

Uit het expertadvies blijkt dat de toevoeging van een REST API koppelvlak het voor gebruikers gemakkelijker maakt om Digikoppeling toe te passen waar dat verplicht is. Dit zou de adoptie van Digikoppeling verder moeten aanjagen.

2.4 Conclusies van de openbare consultatie

Er zijn twee anonieme reacties op de openbare consultatie gekomen. Een van de respondenten sprak waardering uit voor de uitbreiding van de Digikoppeling-standaard en bevestigde het belang van de koppeling met de REST API Design Rules. De andere respondent zette vraagtekens bij de performance van REST API’s en bij de beveiliging van REST API’s i.v.m. eenzijdige authenticatie. Ook vindt deze respondent dat API’s niet AVG-compatibel zijn omdat ze geen restricties opleggen aan het uitwisselen van persoonsgegevens. Op basis van dit laatste commentaar is bij de beheerder van de standaard geverifieerd dat Digikoppeling juist tweezijdige authenticatie vereist. Het optreden van performance-issues door het gebruik van REST API’s is niet bekend bij de beheerder van Digikoppeling en kan gemonitord worden bij in gebruikname van de uitbreiding REST API koppelvlak van Digikoppeling. AVG-gerelateerde zaken behoren op een ander abstractieniveau te worden gewaarborgd.

Conclusie op basis van de twee reacties uit de openbare consultatie is dat het toevoegen van het REST API koppelvlak aan Digikoppeling op de ‘pas toe of leg uit’-lijst kan worden gehandhaafd. Digikoppeling dwingt altijd tweezijdige authenticatie af, waarmee de veiligheid – ook met uitbreiding met het REST API koppelvlak - blijft gewaarborgd. Voor wat betreft performanceproblemen door het gebruik van REST API’s volgens de Digikoppeling-standaard is de indiener en de experts niets bekend.

2.5 Welke additionele adviezen zijn er ten aanzien van de adoptie van de standaard?

De experts doen het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) de aanbeveling om bij de opname op de ‘pas-toe-of-leg-uit’-lijst de volgende oproep ten aanzien van de adoptie van Digikoppeling met REST API koppelvlak te doen:

• Aan Forum Standaardisatie wordt gevraagd om implementatievoorbeelden actief uit te dragen, waarmee de toepasbaarheid van de standaard wordt verduidelijkt.
• Aan Logius, als beheerder van Digikoppeling:
  • Het eerdere adoptieadviezen (expertadvies, d.d. 11 juni 2018) na te volgen: monitor actief de behoefte ten opzichte van standaarden ebMS 3.0/AS4 om (de ontwikkeling van) Digikoppeling aan te laten sluiten op recente technologische ontwikkelingen.
  • Het eerdere adoptieadviezen (expertadvies, d.d. 11 juni 2018) na te volgen: promoot intra-sectoraal gebruik van Digikoppeling om de adoptie van Digikoppeling te bevorderen.
  • Werk de webpagina van Digikoppeling bij met informatie over het nieuwe koppelvlak voor REST API’s.

3. Referenties

1. Intakeadvies Digikoppeling uitbreiding REST API koppelvlak
2. Expertadvies Digikoppeling uitbreiding REST API koppelvlak
3. Reacties uit de openbare consultatie Digikoppeling uitbreiding REST API koppelvlak