Vulling http-headers vs. vulling requestBody ...

[gertjanvanderkooij]

In documentatie Minimale en Volledige logging is ook beschreven welke http-header meegegeven moeten worden. Deze elementen komen ook voor de requestBody van de specificatie. Wordt verwacht dat overeenkomstige elementen (bv. verwerkingsactiviteitId, vertrouwelijkheid, bewaartermijn, ...) zowel in de vorm van een http-header als in de requestBody in een request worden opgenomen?

NB. De voorbeeldvulling voor 'bewaartermijn' is nog niet aangepast aan nieuwe format.

[arnoudquanjer]

Ik heb even gezocht maar ik kan de documentatie waar je op doelt niet vinden. Gaat je vraag over documentatie van de standaard op Github of over architectuurdocumentatie van de standaard op gemmaonline?

Ik kan je vraag denk ik wel beantwoorden. Op het moment dat een afnemer zoals een MijnGemeente pagina een inzage verzoek doet van logging dan moeten er twee dingen gebeuren:

• De MijnGemeente pagina moet in de http-header een aantal attributen meegeven waar uit blijkt welke organisatie de bevraging heeft gedaan en wat de grondslag is voor de bevraging van het log. De grondslag zal in dit geval zijn "inzage op verzoek van de burger" of zoiets dergelijks. De grondslag wordt meegegeven als UUID verwijzing naar het verwerkingsactiviteitenregister. De organisatie kan worden meegegeven in het OIN-attribuut. Zie ook https://vng-realisatie.github.io/gemma-verwerkingenlogging/api-read/aanvullendespecificatie-verwerkteobjecten-get

• Het verwerkingenlog ontvangt de vraag om gegevens en moet dit verzoek loggen. Het leveren van gegevens is immers een verwerking van de gegevens. Het verwerkingenlog logt dus naar zichzelf. In de vastlegging van de verwerking neemt het verwerkingenlog als eigen verwerkingsactiviteit op iets van "inzage door afnemer". De attributen uit de http-header neemt het verwerkingenlog op zodat duidelijk is wat de grondslag van de verwerking door de afnemer was. Zie ook https://vng-realisatie.github.io/gemma-verwerkingenlogging/api-read/aanvullendespecificatie-verwerkteobjecten-get

[gertjanvanderkooij]

Dank voor je antwoord, maar mijn vraag betreft nog de POST ;-) Zie de tekst op: https://github.com/VNG-Realisatie/gemma-verwerkingenlogging/blob/master/docs/_content/quickstart/index.md#Volledige-logging-van-verwerkingen

[ppcjansen]

De http-header wordt alleen gebruikt als een afnemende applicatie (bv Vergunningen applicatie) gegevens gaat opvragen bij een aanbiedende applicatie (bv Gegevensmagazijn); zie hiervoor het uitgewerkte voorbeeld op https://github.com/VNG-Realisatie/gemma-verwerkingenlogging/blob/develop/docs/_content/quickstart/index.md#aanroepen-van-een-dienst-vanuit-een-initi%C3%ABrend-proces. Om te voorkomen dat de API van het Gegevensmagazijn aangepast moet worden, worden gegevens tbv het loggen (door het Gegevensmagazijn) in de header meegegeven. Het Gegevensmagazijn neemt die gegevens uit de header over en plaatst die in de payload bij het aanroepen van de Bewerkingen API van de Verwerkingenloggingregister. Een uitgebreidere uitleg hiervan is beschreven in 2 verschillende casussen: als een gemeente gegevens bij een externe partij opvraagt (https://github.com/VNG-Realisatie/gemma-verwerkingenlogging/blob/master/docs/_content/achtergronddocumentatie/ontwerp/artefacten/0031.md) en als een externe partij gegevens opvraagt bij een gemeente (https://github.com/VNG-Realisatie/gemma-verwerkingenlogging/blob/master/docs/_content/achtergronddocumentatie/ontwerp/artefacten/2866.md).

Er wordt dus alleen een http-header gevuld in een API-call naar een aanbiedende gegevensbron, niet naar de API van het Verwerkingenloggingregister.