Als PO wil ik dat gemeenten de fields parameter moeten gebruiken om de gegevensset in de response te beperken conform de autorisatie van afnemers

[CathyDingemanse]

...zodat door afnemers aan het criterium van dataminimalisatie bij de bron kan worden voldaan EN afnemers gedwongen worden de response te beperken tot wat men op het moment van bevragen nodig heeft EN gemeenten de mogelijkheid wordt geboden om de gegevensset in de response te beperken conform de rechten van afnemers

Threat type: Information Disclosure

Threat: de response bevat PII (Personal Identifiable Information) waarvoor men niet is geautoriseerd.

Countermeasure: De fields parameter wordt een verplichte input parameter. Intermediate endpoints/proxy's van gemeenten kunnen deze parameter gebruiken om de response te beperken conform de autorisatie van de vragende gemeentelijke afnemer.

[CathyDingemanse]

Niet opgenomen, niet nodig.