Cache-Control

[MelvLee]

Een response van de BRP (1.0.0) bevat de Cache-Control header met waarde no-cache. Dit betekent dat de response mag worden gecached. Het is beter om de Cache-Control waarde op no-store (mag niet worden gecached) of op private (lokaal) te zetten. Voor gedetailleerd info zie Private browser caches en Cache-Control directives

[JohanBoer]

@Melvin Ik denk dat de "Private Browser Caches" hier geen rol gaat spelen. Deze API gaat niet aangeroepen worden vanuit de browser toch ? Of zou dit een rol kunnen spelen bij een browser based applicatie ? Is dit op te lossen door deze responseheader op te nemen in de OAS ? Of willen we deze vrijdheid wel bij de provider-implementatie laten liggen. Met name met het oog dat er waarschijnlijk de komende tijd meerdere lokale provider-implementaties worden gemaakt kan ik me voorstellen dat we dit gaan voorschrijven in de specificatie. Als we dit gaan voorschrijven in de OAS, is dat dan een breaking change ?

@CathyDingemanse Ben je het met de stelling van Melvin eens ?

Als het geen breaking change is dan kunnen we deze indien gewenst in v1.4 meenemen. Als het wel een breaking change is dan zetten we hem in de wachtrij met label V2.0

[MelvLee]

De Cache-Control geldt niet alleen voor browsers maar ook voor proxies/gateways. Als data ge-cached mag worden, dan kunnen proxies/gateways deze data ook cachen. Omdat het om persoonsgegevens gaat is het denk ik handig om aan te geven dat de response niet wordt gecached