Overheid in transitie
Artikel

Hoe organiseer je veilig gebruik van Haal Centraal API’s?

Gemeenten moeten basisgegevens rechtstreeks kunnen afnemen bij de landelijke registraties: dat is wat het programma "Haal Centraal":https://www.vngrealisatie.nl/producten/haal-centraal/ wil realiseren, in lijn met de informatiekundige visie "Common Ground":https://www.vngrealisatie.nl/roadmap/common-ground/. Een belangrijke schakel in de uitvoering zijn de Haal Centraal API’s die rechtstreeks ophalen bij de bron mogelijk maken. Veilig gebruik vraagt om investeringen aan de kant van gemeenten in beveiliging, autorisatie, protocollering en identiteitsbeheer.

Beeld: Shutterstock

De praktijk vandaag de dag is dat gemeenten de basisgegevens die ze nodig hebben voor hun processen opslaan en opvragen in hun eigen gegevensmagazijnen en processystemen. In feite gaat het dan om kopieën van gegevens, met alle risico’s van dien: risico’s op fouten en op privacy- en securitykwesties. Daar willen we van af en dat kan met de Haal Centraal API’s. Een API (Application Programming Interface) maakt het mogelijk dat twee systemen rechtstreeks met elkaar kunnen communiceren; een soort digitale stekkerdoos. Met een API kan de afnemer bijvoorbeeld rechtstreeks gegevens in de Basisregistratie Kadaster (BRK) zoeken en raadplegen.

Maar dat moet natuurlijk wel aan bepaalde eisen voldoen. Hoe zorgen we er bijvoorbeeld voor dat gebruikers van privacygevoelige gegevens uitsluitend toegang krijgen tot gegevens waarvoor zij zijn geautoriseerd als zij een landelijke API gebruiken?
Cathy Dingemanse schetst namens Haal Centraal de context. “Het beheer van data en gebruikersaccounts in allerlei verschillende systemen brengt risico’s voor de informatieveiligheid met zich mee. Waar we naartoe willen is centraal beheer van gebruikersaccounts in de gemeente met een centrale infrastructuur voor toegangsbeveiliging en logging. Haal Centraal betekent besparen én investeren. We moeten investeren in beveiliging, autorisatie, protocollering en identiteitsbeheer. Maar op aansluitkosten en beheerkosten kunnen we besparen; we hebben immers geen gegevensmagazijnen meer nodig en lokale kopieën zijn van de baan. Onder de streep zijn koppelingen met Haal Centraal API’s goedkoper dan de huidige manier van werken.”

Gegevens van de basisregistraties ophalen bij de bron, dat stelt eisen aan de toegangsbeveiliging. We gaan van in de systemen zelf autoriseren naar centrale autorisatie en protocollering. Dingemanse: “Dat betekent dat alleen geautoriseerde gebruikers toegang krijgen tot de API-gegevens en dan alleen tot die gegevens waarvoor ze geautoriseerd zijn. En een (SaaS)applicatie krijgt uitsluitend toegang tot de gegevens namens een gebruiker van jouw gemeente op het moment jouw medewerker de applicatie gebruikt, en dus ook echt achter de knoppen zit.”

Migratiestrategie

De toegangspoort waardoor alle aanvragen lopen is de API Gateway. Een API Gateway zorgt voor centraal autorisatie- en toegangsbeheer van API’s bij gemeenten, en bevat allerlei functies om dit proces veilig te laten verlopen. Naast een API Gateway heeft een gemeente een Identity Provider nodig, die tokens (op basis van OAuth en OpenID Connect) verstrekt aan (SaaS)applicaties om namens de gebruiker een API te bevragen. Ten slotte heeft een gemeente een logging of protocolleringsvoorziening nodig om achteraf alle bevragingen te kunnen controleren. Maar hoe knoop je als gemeente al die onderdelen veilig aan elkaar en hoe leg je de puzzel met je bestaande applicaties?

“Ruwweg zijn er twee migratiestrategieën”, vervolgt Dingemanse. “Je kunt alle bestaande afnemers direct migreren naar API’s waardoor je de oude voorzieningen uit kunt zetten. Of je maakt een nieuwe infrastructuur naast je bestaande landschap, waarop je alle nieuw aan te sluiten applicaties aansluit. De rest faseer je geleidelijk uit. Waar je als gemeente uiteindelijk voor kiest hangt af van de rekensom die je voor jouw specifieke situatie moet maken. Daartoe kun je jezelf vragen stellen als: wat kost mijn gegevensmagazijn per jaar, hoe duur is het om de cliëntapplicatie over te zetten naar API’s, hoe lang gaan de applicaties die nu op mijn gegevens zitten nog mee, wat kost in één keer overzetten, enzovoort. In de gemeente Den Haag zijn bijvoorbeeld de kosten voor het gegevensmagazijn veel hoger dan de kosten voor het omzetten van alle dertig bestaande koppelingen naar API’s. Welke strategie je ook kiest, uiteindelijk is het een onmisbare beweging richting Common Ground.”

Verhuizen in Den Bosch

Gemeente ’s Hertogenbosch is een jaar geleden samen met Eindhoven aan de slag gegaan met het ontwikkelen van het proces voor verhuizing doorgeven volgens Common Ground-principes. Joost van Kempen, senior adviseur informatievoorziening Den Bosch: “Dat wil zeggen dat persoonsgegevens en adres bij de bron worden opgehaald volgens de specificaties van Haal Centraal. Alleen, de Haal Centraal BRP Bevragen API (voor het opvragen van de persoonsgegevens van aanvrager en meeverhuizers) en BAG Bevragen API (voor adressen opvragen bij het Kadaster) bestonden toen alleen nog maar op papier, op GitHub. We besloten om niet te wachten en een tijdelijke oplossing te maken. Den Bosch had al een API Gateway met veel koppelingen tussen oude en nieuwe toepassingen. Op de Gateway hebben we een tool ingericht die een vertaling maakt tussen de oude en de nieuwe wereld. Aan de voorkant, het verhuisformulier, verloopt de zoekvraag volgens het model van Haal Centraal. De inwoner die inlogt met DigiD heeft de autorisatie om de gegevens van zichzelf en zijn gezin op te halen bij de Landelijke Voorziening. Het verzoek wordt vertaald naar StUF-BG en intern via de klassieke route opgepakt. Nu de BRPAPI er is wordt het antwoord in StUF-BG weer getransformeerd naar de BRPAPI. Op deze manier kunnen we BRPAPI-bevragingen doen conform Haal Centraal. Uiteindelijk willen we van die vertaalslag af en alleen nog direct bij de bron ophalen. We hebben er in onze transitiestrategie voor gekozen om met nieuwe processen en componenten niet voort te borduren op de oude manieren en systemen, maar oud en nieuw gescheiden te houden. En voor de nieuwe manier moet je ook nieuwe manieren van security bedenken. Die dingen die nog niet werken bufferen we dan in de toepassing; dat is een tussenoplossing. Dat klinkt simpel, maar kost veel tijd. We doen dit op deze manier om de druk erop te houden, zowel intern als bij de leveranciers. Als je ruimte laat voor het oude, glipt dat door de achterdeur zo weer naar binnen als je niet oppast.”

Stap voor stap in Hollands Kroon

Voor Sergei Rik en zijn team staat vast dat het bij innovatie vooral gaat om partnerships. De ICT-consultant van Hollands Kroon heeft van verbinden z’n handelsmerk gemaakt: “Wij zijn hier al een aantal jaren bezig met koppelingen maken voor veilige en stabiele verbindingen. Dat is complex en gaat met babystapjes. Verzamel de juiste partners om je heen, praat met je medediensten en begin gewoon. Hollands Kroon heeft innovatie hoog in het vaandel staan en beseft dat we dit niet alleen kunnen. We gaan met z’n allen nieuwe uitdagingen aan, moeten het vertrouwde laten liggen; dat geldt dus ook voor onze externe partners. Voordeel van deze aanpak is dat we hiermee ons eigen kleine team bij Hollands Kroon uitbreiden en gezamenlijk veilig kunnen innoveren.
Wij zijn vier jaar geleden gestart met een API-Gateway, omdat we onze eigen website wilden voorzien van BRP-gegevens van de binnengemeentelijke personen. De inwoner die inlogt ziet dan de juiste gegevens onder ‘mijnhollandskroon’. Dat betekent wel dat we gegevens van binnen naar buiten brengen en dat moet veilig. De volgende koppeling hebben we ruim anderhalf jaar geleden gelegd toen onze interne Openwave-applicatie naar de cloud ging. Onze oplossing is dat we via de API-Gateway met het integratieplatform van Enable U, vanuit de cloud een beveiligde koppeling hebben gemaakt naar ons interne zaaksysteem. Het heeft meer dan een jaar geduurd voordat we dat voor elkaar hadden. Stap voor stap. In zo’n ontwikkeling moet je incalculeren dat je ook een keer een stap achteruit moet zetten om de boel te herijken. Blijf nadenken en blijf kritisch. Zorg dat je de organisatie meeneemt in de uitdagingen; dat geldt ook voor partners als de Omgevingsdienst. Iedereen heeft een stukje van de puzzel; samen maak je hem compleet. Ons ICT-team telt negen mensen, dan begrijp je wel dat we moeten kunnen vertrouwen op de kennis van onze leveranciers/partners en vice versa.
Zoals ik al zei heeft het een tijd geduurd voordat we de koppeling met het zaaksysteem voor elkaar hadden. Dan moet je goed kunnen praten met je integratiepartner, in ons geval Enable U. Daarom sturen we – naast goede contractafspraken – liever op relatie dan op SLA’s. Ook belangrijk om te melden: je hoeft geen dure machine in huis te halen. Wij huren de API Gateway voor ongeveer 8000 euro per jaar. Inmiddels heeft die eerste koppeling in onze eigen gemeente geleid tot een waterval van andere koppelingen, waarbij de teller momenteel staat op 6 gerealiseerd en 4 in ontwikkeling. Binnenkort delen we onze kennis en gemaakte configuratie items in Openwave Cloud met gemeente Druten en Wijchen die een soortgelijke infrastructuur heeft en ook op eenzelfde wijze gaat werken met hun vergunningenapplicatie. Dit zorgt ervoor dat zij niet ook veel tijd en geld kwijt zijn aan het vervolmaken van hun Openwave inrichting. Onze directie heeft het droombeeld dat we over tien jaar één overheid zijn die alles met elkaar deelt, en als Hollands Kroon hieraan kan bijdragen dan doen we dat zeker.”

Starterkit

Hoe organiseren we veilig gebruik van de Haal Centraal API’s: de API’s waarmee gemeenten rechtstreeks gegevens op kunnen halen bij de landelijke basisregistraties. Tijdens het dagvullende Fieldlab Haal Centraal Websecurity op 25 maart jongstleden, kwamen securityspecialisten en andere geïnteresseerden van gemeentelijke softwareleveranciers en van gemeenten online bij elkaar om hun kennis bij te spijkeren, ervaringen te delen en mee te denken over oplossingen. Speciaal voor het fieldlab heeft Melvin Lee van VNG Realisatie docker containers gemaakt waarmee met name de toegangsbeveiliging OAuth 2.0 en OpenID Connect beproefd konden worden. Dit is onderdeel van de Starterkit die gemeenten kunnen gebruiken om stap voor stap aan de slag te gaan met de borging van de informatieveiligheid. Niet zozeer door te vertellen waar men aan moet voldoen, maar door gemeenten (en leveranciers) te helpen met hoe zij zelf de beveiliging kunnen richten.

De Starterkit is te vinden in de Haal Centraal Web Security repo.
In Getting Started staat hoe men de starter kit kan gebruiken.
Tijdens het fieldlab klonken er van leverancierszijde al positieve geluiden over de Starterkit. Andy Verberne, architect en product-owner bij Atos, is verantwoordelijk voor de e-Suite, het zaaksysteem van Dimpact. Hij vertelde dat zijn team al bezig is geweest met de starterkit om bepaalde componenten te koppelen binnen de huidige omgeving en dat ze nu aan slag gaan om te beproeven hoe dat met de Haal Centraal API’s werkt.

“Heel nuttig en leerzaam deze starterkit.” Roger Knoben, senior consultant Datadistributie bij Centric ziet vooral veel winst in het feit dat gemeenten en leveranciers nu echt samen het gesprek aan gaan en het gezamenlijk belang voorop stellen. Zijn collega Michael Kuipers voegt daar nog aan toe dat de security-aspecten zoals die tijdens het fieldlab gepresenteerd zijn goed passen bij de principes die Centric daarvoor hanteert.”
Tot slot deelde Brenda de Graaf, programmamanager Haal Centraal bij de VNG, mee dat er bij VNG Realisatie een ‘kookboek’ in de maak is waarin kennis en vooruitzichten rond dit thema gebundeld worden. Dit kookboek wordt eind tweede kwartaal door de VNG opgeleverd.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren