Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents
maxLevel2

Rollenmodel

...

Het onderstaande diagram toont de rollen die vanuit de MedMij Core in de verschillende onderwerpen gebruikt worden. De rollen staan uitgewerkt in drie lagen van een Enterprise Architectuur, namelijk Business, Application en Technologie. De rollen in het MedMij Afsprakenstelsel zijn bij elkaar horende setjes verantwoordelijkheden. De rollen kunnen, over de lagen heen, aan elkaar gekoppeld zijn. Een rol gaat gepaard met één of meerdere onderliggende rollen. 

Dat wil zeggen dat een rol in het algemeen wordt ingevuld met één of meer verbonden onderliggende rollen, al-dan-niet op een onderliggende laag. De rolbindingen vormen zo de ruggengraat van de architectuur van het MedMij Afsprakenstelsel.

Image Modified

Expand
titleToelichting

In de bovenstaande plaat is allereerst de huisstijl van MedMij aangehouden, zodat

  • oranje staat voor het Persoonsdomein;
  • blauw staat voor het aanbiedersdomein en
  • groen staat voor het MedMij-domein en de MedMij algemene elementen.

De grijze kleur staat voor externe rollen waarvan het MedMij Afsprakenstelsel gebruik maakt.

De verticale lijnen in de architectuur leggen de relatie tussen rollen. De relaties leggen de eindverantwoordelijkheid voor de uitvoering van verantwoordelijkheden bij de hogere rol.


Gegevensuitwisseling

Voor gegevensuitwisseling wordt het eerder getoonde rollenmodel uitgebreid met rollen die voor gegevensuitwisseling van toepassing zijn.

...

MMAfsprakenstelsel2:Begrippenlijst

BegripDefinitie

Anchor
Eigenaar MedMij
Eigenaar MedMij
Eigenaar MedMij

Multiexcerpt include
MultiExcerptNameb_Eigenaar MedMij
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

De rechtspersoon die (eind)verantwoordelijk is voor de ontwikkeling en het beheer van het afsprakenstelsel en de informatiestandaarden die nodig zijn om gegevens in dezelfde taal te kunnen uitwisselen.

Anchor
MedMij Beheer
MedMij Beheer
MedMij Beheer

Multiexcerpt include
MultiExcerptNameb_MedMij Beheer
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

De uitvoeringsorganisatie die invulling geeft aan de operationele verantwoordelijkheden in het afsprakenstelsel, zoals het beheren en publiceren van een aanbiederslijst en gegevensdienstnamenlijst.

Anchor
Persoon
Persoon
Persoon

Multiexcerpt include
MultiExcerptNameb_Persoon
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Degene op wie Gezondheidsgegevens betrekking hebben die via MedMij worden uitgewisseld en tevens de Gebruiker in het Persoonsdomein.

Anchor
Deelnemer
Deelnemer
Deelnemer

Multiexcerpt include
MultiExcerptNameb_Deelnemer
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Een Dienstverlenende partij binnen het MedMij Afsprakenstelsel. De Dienstverlener persoon en de Dienstverlener aanbieder zijn Deelnemer in het afsprakenstelsel en daarmee gehouden aan de afspraken, bekrachtigd door het tekenen van een deelnemersovereenkomst.

Anchor
Dienstverlener persoon
Dienstverlener persoon
Dienstverlener persoon (DVP)

Multiexcerpt include
MultiExcerptNameb_Dienstverlener persoon
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Dit betreft een rol in het MedMij Afsprakenstelsel. Levert een persoonlijke gezondheidsomgeving, een dienst aan de Persoon voor de regie op zijn gezondheid die minimaal gegevensuitwisseling met de Aanbieder mogelijk maakt via het MedMij Afsprakenstelsel.


Anchor
Dienstverlener aanbieder
Dienstverlener aanbieder
Dienstverlener aanbieder (DVA)

Multiexcerpt include
MultiExcerptNameb_Dienstverlener aanbieder
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Dit betreft een rol in het MedMij Afsprakenstelsel. Deze levert Diensten aan de Aanbieder gerelateerd aan de uitwisseling tussen Persoon en Aanbieder en committeert zich hiervoor aan de naleving van de afspraken in het MedMij Afsprakenstelsel.


Anchor
Dienstverlener authenticatie
Dienstverlener authenticatie
Dienstverlener authenticatie (DVAuthN)
Multiexcerpt include
MultiExcerptNameb_Dienstverlener authenticatie
PageWithExcerpt

De Aanbieder is verplicht bij het verstrekken van gegevens vanuit een dossier de identiteit van de persoon te verifiëren, al dan niet aan de hand van het BSN. MedMij gebruikt hiervoor de door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties toegelaten authenticatiemiddelen. Vooralsnog is DigiD het enige toegelaten middel voor dit doel.

Anchor
Aanbieder
Aanbieder
Aanbiedermultiexcerpt-include
MultiExcerptNameb_Aanbieder
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Aanbieder is de term waarmee een grote diversiteit aan dienstverleners wordt bedoeld, die vanuit hun diensten gezondheidsinformatie kunnen aanbieden en ontvangen.

...

Anchor
OAuth Resource Owner
OAuth Resource Owner
OAuth Resource Owner
Multiexcerpt include
MultiExcerptNameb_OAuth Resource Owner
PageWithExcerpt

MMAfsprakenstelsel2:BegrippenlijstEen OAuth Resource Owner is een Persoon die een OAuth Client autoriseert voor toegang tot een OAuth Resource Server. De toegang is beperkt tot het bereik van de verleende autorisatie.

Applicatie

MultiExcerptName

MMAfsprakenstelsel2:Begrippenlijst

MMAfsprakenstelsel2:Begrippenlijst

BegripDefinitie

Anchor
MedMij Registratie
MedMij Registratie
MedMij Registratie
Multiexcerpt include
b_MedMij Registratie
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

MedMij Registratie is de applicatie voor de administratie van Deelnemers, de gegevensdiensten die worden aangeboden en de endpoints die hierbij horen. Deze informatie wordt uitgegeven in de verschillende lijsten.

Anchor
User Agent
User Agent
User Agent

Multiexcerpt include
MultiExcerptNameb_User Agent
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

De applicatie die de Persoon gebruikt om de MedMij-functies uit te voeren.

Anchor
DVP Server
DVP Server
DVP Server
Multiexcerpt include
MultiExcerptNameb_DVP Server
PageWithExcerpt

De DVP Server is de server die gezondheidsgegevens verzamelt en deelt op verzoek van de Persoon en hiermee het Dossier van de Persoon samenstelt.

Anchor
Authorization Server
Authorization Server
Authorization Server
Multiexcerpt include
MultiExcerptNameb_Authorization Server
PageWithExcerpt

De Authorization Server is de server bij de DVA die controleert of de Persoon voor de applicatie toegangsrechten heeft. Als de Persoon toestemming geeft om gegevens uit te wisselen met de DVP Server, dan wordt deze toestemming vastgelegd en voor uitwisseling gecontroleerd.

Anchor
Authentication Server
Authentication Server
Authentication Server

Multiexcerpt include
MultiExcerptNameb_Authentication Server
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

De Authentication Server is de server bij de DVA die de identiteit van de Persoon vaststelt.

...

MMAfsprakenstelsel2:Begrippenlijst

Anchor
Resource Client
Resource Client
Resource Client
Multiexcerpt include
MultiExcerptNameb_Resource Client
PageWithExcerpt

MMAfsprakenstelsel2:BegrippenlijstDe Resource Client is de applicatie die verbinding maakt met een Resource Server. 

Anchor
OAuth Client
OAuth Client
OAuth Client
Multiexcerpt include
MultiExcerptNameb_OAuth Client
PageWithExcerpt

MMAfsprakenstelsel2:BegrippenlijstEen OAuth Client is een Resource Client die gebruik maakt van het OAuth 2.0 raamwerk.

Anchor
Authentication Client
Authentication Client
Authentication Client

Multiexcerpt include
MultiExcerptNameb_Authentication Client
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Een Authentication Client is een applicatie die gebruikmaakt van een Authentication Server om de identiteit van een OAuth Resource Owner vast te stellen.

Anchor
Resource Server
Resource Server
Resource Server
Multiexcerpt include
MultiExcerptNameb_Resource Server
PageWithExcerpt

MMAfsprakenstelsel2:BegrippenlijstDe Resource Server is de applicatie waar gegevens kunnen worden verzameld of waarmee gegevens gedeeld kunnen worden.

Anchor
OAuth Resource Server
OAuth Resource Server
OAuth Resource Server
Multiexcerpt include
MultiExcerptNameb_OAuth Resource Server
PageWithExcerpt

Een OAuth Resource Server is een Resource Server die gebruikmaakt van het OAuth 2.0 raamwerk.

Anchor
OAuth Authorization Server
OAuth Authorization Server
OAuth Authorization Server

Een OAuth Authorization Server is een Authorization Server die gebruikmaakt van het OAuth 2.0 raamwerk.

Technologie

MMAfsprakenstelsel2:BegrippenlijstEen Backchannel Node communiceert met andere backchannel nodes, waarbij voor identificatie gebruikgemaakt wordt van de verschillende lijsten die door MedMij Registratie worden geboden. 

BegripDefinitie

Anchor
Frontchannel Node
Frontchannel Node
Frontchannel Node

Multiexcerpt include
MultiExcerptNameb_Frontchannel Node
PageWithExcerptMMAfsprakenstelsel2:Begrippenlijst

Een Frontchannel Node communiceert met de User Agent van de Persoon, waarbij de communicatie internet facing is. De rol van User Agent wordt hierbij ingevuld door een webbrowser.

Anchor
Backchannel Node
Backchannel Node
Backchannel Node

Multiexcerpt include
MultiExcerptNameb_Backchannel Node
PageWithExcerpt

Persoonsdomein

Business

In het Persoonsdomein is er naast de rol Dienstverlener persoon ook de rol Persoon. Hoewel Dienstverlener persoonnamens Persoonhandelt, kan Persoon niet ongenoemd blijven in de afspraken op deze en onderliggende lagen. Dat komt doordat Persoon niet enkel de gebruiker van Dienstverlener persoonis, maar allereerst het onderwerp van de gezondheidsinformatie die Deelnemers ter beschikking moet stellen; daarvoor is authenticatie en autorisatie nodig. In de architectuur van het afsprakenstelsel heeft Persoon een operationele rol bij authenticatie en autorisatie van het gegevensverkeer.

...

In het persoonsdomein zijn twee rollen onderscheiden: de User Agent en de DVP Server. Dat is nodig om de verbinding te kunnen leggen met de rollen volgens OAuth. User Agent is de front-end-rol voor de DVP Server, en kan bijvoorbeeld in een browser zijn geïmplementeerd. Zoals ook elders in het MedMij Afsprakenstelsel gaat het hier om rollen, om setjes verantwoordelijkheden dus, niet om implementatiecomponenten.

...

In het Aanbiedersdomein is er naast de rol Dienstverlener aanbieder ook de rol Aanbieder. Deze rol wordt operationeel geheel vertegenwoordigd door de Dienstverlener aanbieder.

Application

Waar een Persoon zelf operationeel betrokken wordt in het informatieverkeer — namelijk om zich te laten authenticeren, en het verkeer te laten autoriseren — laat de Aanbieder zich operationeel geheel vertegenwoordigen door zijn Dienstverlener en diens Authorization Serveren Resource Server. Ook al zal in veel gevallen de gezondheidsinformatie uiteindelijk uit een achterliggend systeem worden betrokken, voor het MedMij Afsprakenstelsel is dat geen kwestie. Het is voldoende om bij de Authorization Server en Resource Server de eindverantwoordelijkheid neer te leggen (black box).

...

Hoezeer ook alle eindverantwoordelijkheden gedragen worden door de Dienstverleners die deelnemer zijn in het MedMij Afsprakenstelsel, zij kunnen ervoor kiezen de uitvoering van die verantwoordelijkheden deels of zelfs geheel uit te besteden. In een mogelijke systeemarchitectuur maken meerdere Resource Server-systemen gebruik van een­zelf­de (al dan niet uitbesteed) Authorization Server-systeem. Het is mogelijk dat die Resource Server-systemen samen onder de eindverantwoordelijkheid van één Dienstverlener aanbieder vallen, met de uitvoering al dan niet uitbesteed. Het is ook mogelijk dat twee verschillende Dienstverlener aanbieders voor de Authorization Servergebruik maken van eenzelfde onderaannemer. 

De architectuur heeft zo maximale ruimte aan de eigen businessmodellen en architecturen van Dienstverlener aanbieder willen geven zonder daarbij de interoperabiliteit en strakke eindverantwoordelijkheden geweld aan te doen.

...

Al het MedMij-verkeer is over domeingrenzen. Verkeer binnen het Persoonsdomein of het Aanbiedersdomein maakt geen deel uit van MedMij-verkeer. Ook authenticatieverkeer is uitgesloten, omdat het MedMij Afsprakenstelsel geen eisen oplegt over welke (externe) Authentication Server wordt gebruikt. Het MedMij Afsprakenstelsel vereist dát er een passende authenticatie door Aanbieder moet plaatsvinden, maar het verkeer dat daarvoor nodig is — tussen Authorization Server, Authentication Server en User Agent — is geen MedMij-verkeer. Het is de Aanbieder die niettemin als verwerkingsverantwoordelijke verantwoordelijk blijft voor een passende keuze van een Authentication Server en voor het laten inrichten van het authenticatieverkeer.