Edukoppeling

Beschrijving

Hoe kunnen publieke en private dienstverleners in het onderwijs (zoals DUO, Kennisnet, toetsaanbieders, uitgevers, leveranciers van administratiepakketten, leerlingvolgsystemen en elektronische leeromgevingen) op een veilige manier vertrouwelijke gegevens met elkaar uitwisselen waarbij ook de privacy wordt geborgd? Hoe kunnen ketenpartijen elkaars identiteit vaststellen? En als ketenpartijen namens een onderwijsorganisatie vertrouwelijke gegevens uitwisselen hoe kan de rechtmatigheid hiervan worden vastgesteld? Dergelijke vragen staan centraal bij de Edukoppeling. Deze standaard schrijft voor hoe onderwijsorganisaties, publieke uitvoeringsorganisaties, private dienstverleners en andere ketenpartijen vertrouwelijke gegevensuitwisselingen moeten opzetten. Edukoppeling regelt de volgende ketenfuncties: identificatie, authenticatie, autorisatie en routering, op de applicatielaag.

Edukoppeling bestaat uit een aantal voorschriften die onder het kopje Normatieve documenten te vinden zullen zijn. Daarnaast kent Edukoppeling een set van Ondersteunende documenten.

De samenstelling en samenhang tussen de normatieve documenten is hieronder weergegeven.

Deze versie van Edukoppeling bestaat uit een OAuth client credentials profiel voor RESTful API’s, een CloudEvents profiel en Architectuur versie 3,0. Deze conceptversie bevat in eerste instantie het volgende conceptdocument:

Uitwerking van een Edukoppeling OAuth client credentials profiel voor RESTful APIs.

De andere documenten zullen in 2026 op verschillende momenten worden gepubliceerd om zo ook een openbare consultatie te doorlopen.

Samenhang

In de nieuwe RESTful-API architectuur die in 2026 zal opgeleverd worden wijken we sterk af van de vorige versie. In die versie onderkende we al RESTful API’s, maar was nog sterk gericht op webservices en Digikoppeling (https://www.logius.nl/onze-dienstverlening/gegevensuitwisseling/digikoppeling). De nieuwe versie staat meer op zichzelf (Zie besluit #21 in verslag 2025-12-17) omdat we de stap die Digikoppeling maakt met de toepassing van FSC in het REST profiel voor dit moment een te grote stap achten voor toepassing binnen het onderwijs. We blijven Digikoppeling wel volgen.

De nieuwe architectuur ondersteunt de toepassing van de OAuth2.0 client credentials grant. We ondersteunen hiermee token-based access waarmee meer fijnmazig toegang kan worden ingericht dan in de vorige versies op basis van mTLS en autorisatie op basis van enkel een OIN. We bieden tevens meer flexibiliteit door een laag en een hoog risicoprofiel te onderkennen en bijbehorende vormen van clientauthenticatie. Dit betekent wel dat een ketensamenwerking afspraken moet maken rond de keuzes die het OAuth-profiel biedt. Verder sluit deze architectuur meer aan op ontkoppelde architecturen zoals een Event-driven architectuur (EDA). Hiervoor is een Edukoppeling CloudEvents-profiel opgesteld dat voorschriften bevat voor Asynchrone communicatie via RESTful API’s.

Edukoppeling maakt deel uit van de ketenreferentiearchitectuur voor het onderwijs (ROSA). De standaard valt onder de applicatielaag van het Edustandaard Lagenmodel en sluit aan op de beveiligingsvoorschriften van het Edukoppeling-UBV-beveiligingsprofiel, onderdeel van de Universele Beveiligingsvoorschriften (UBV), een set van standaarden die onderdeel zijn van de IT-infrastructuurlaag.

Meerwaarde

Het doel van Edukoppeling is standaardisatie van de technische afspraken op het m2m-koppelvlak (gericht op de communicatie tussen IT-systemen van verschillende organisaties) waardoor het ontwikkelen van ketensamenwerkingen by design veilig en eenvoudiger wordt. De toepassing van Edukoppeling zorgt ervoor dat, op het niveau van de applicatielaag, gesloten data tijdens transport van de ene naar de andere organisatie niet ongeoorloofd kan worden ingezien of gemanipuleerd.

In veel gevallen zullen deze organisaties (denk bijvoorbeeld aan private en publieke dienstverleners) deze communicatie met elkaar inrichten als onderdeel van (een) ketensamenwerking(en) waar hun dienstverlening aan onderwijsorganisaties deel van uitmaakt. Edukoppeling is dus bedoeld voor voorspelbaar en beveiligd transport van vertrouwelijke gegevens.

Implementerende partijen hebben bij nieuwe ontwikkelingen waar vertrouwelijke gegevensuitwisseling een rol speelt, er baat bij dat ze met deze standaard sneller de uitwisseling tot stand kunnen brengen en niet eerst een afstemmings- en ontwikkeltraject gestart hoeft te worden om de technische koppeling te definiëren. Uiteindelijk levert toepassing van Edukoppeling in tal van gegevensuitwisselingen ook winst op in het beheer omdat er minder bilaterale afspraken over de te hanteren standaarden gemaakt en ondersteund hoeven te worden.

Gebruik

Edukoppeling schrijft voor hoe onderwijsorganisaties, publieke uitvoeringsorganisaties, dienstverleners en andere ketenpartners gegevensuitwisselingen opzetten. Edukoppeling heeft als scope alle werkingsgebieden vallend onder alle onderwijssectoren. Hieronder vallen dus alle door de overheid erkende onderwijsorganisaties binnen de sectoren po, vo, mbo/bve en ho. Daar waar behoefte is aan technische afspraken op het m2m-koppelvlak, volgens het functioneel toepassingsgebied van Edukoppeling, zijn ketensamenwerkingen binnen deze sectoren verantwoordelijk voor de toepassing ervan. De toepassing buiten het organisatorisch werkingsgebied is toegestaan.

Het functioneel toepassingsgebied van Edukoppeling is de geautomatiseerde uitwisseling van gesloten gegevens tussen informatiesystemen van onderwijsorganisaties en dienstverleners (onderling, met bedrijven of met de overheid). Het gaat om gegevens waarvoor je geautoriseerd moet worden voor toegang. De gegevens zijn niet voor publiek hergebruik beschikbaar. Dit kan om verschillende redenen zijn, zie https://data.overheid.nl/gesloten-datasets.

Deze uitwisseling betreft M2M point-to-point verbinding voor uitwisseling tussen een confidential client en een gesloten API.

Edukoppeling gaat over de afhandeling van gegevensuitwisseling (het transport) en niet over de inhoud van berichten. Het is een functioneel technische standaard, maar zal ook aansluiting moeten vinden op kaders van andere architectuurlagen. Hoe Edukoppeling aansluit op bredere afspraken is aan ketensamenwerkingen waarin de standaard als onderdeel van de afspraak of het afsprakenstelsel wordt gevat.

Ontwikkelingen

Het groeifondsprogramma Edu-V wilde in 2024 starten met implementaties op basis van OAuth 2.0. Er is in de werkgroep toentertijd besloten om OAuth 2,0 best practices op te stellen op basis van de destijds beschikbare versie van het NL GOV OAuth profiel (zie het verslag van de bijeenkomst van 22 april 2024). Daarbij was de afspraak dat de best practice opgevolgd zou worden door een volwaardig Edukoppeling OAuth-profiel dat breed toepasbaar zou zijn voor alle werkingsgebieden (“sectoren”) in het onderwijs voor meerdere ketensamenwerkingen zoals die tussen onderwijsorganisaties en DUO (waaronder uitwisseling onderwijsdeelnemergegevens met ROD), tussen onderwijsorganisaties onderling en tussen dienstverleners onderling die namens een onderwijsorganisatie diensten verlenen (bijvoorbeeld in de leermiddelenketen). De nieuwe versie die bij de Normatieve documenten is gepubliceerd is dus het beoogde volwaardige Edukoppeling OAuth-profiel. Het gaat om een concept waar nog reviewcommentaar in deze eerste consultatieronde op mogelijk is en verwerkt kan worden.

De bovengenoemde best practice was als concept gepubliceerd op Edustandaard en is hier nog in te zien. Binnen Edu-V zijn de huidige implementaties op deze best practice nog gebaseerd maar is aangegeven dat zij gaan migreren naar het nieuwe profiel. Het wordt dus afgeraden om nieuwe ketensamenwerkingen en uitwisselingen nog op deze best practice te baseren.

Momenteel wordt er nog gewerkt aan de bijbehorende nieuwe architectuur voor Edukoppeling. Deze wordt in samenhang ontwikkeld met het ontwerpgebied interoperabiliteit en het IV-domein gegevensuitwisseling binnen de ROSA.

Tenslotte gaat het Overzicht actuele documentatie en compliance onderdeel geworden van de architectuur. Met het zelfstandig beschrijven van de documenten is het overzicht overzichtelijker geworden. We geven in dit onderdeel nog steeds de vigerende (en niet meer ondersteunde) documenten aan.

Eerder is al bepaald dat het Edukoppeling WUS-profiel vanaf 2026 niet meer ondersteund zal worden vanuit Edustandaard. Het gebruiksadvies is voor dit profiel dan ook om deze niet meer te kiezen bij nieuw op te zetten uitwisselingen.