MMAF-256 - Bewaartermijn logging
Done
Door te voeren wijzigingen
Locatie
Verantwoordelijkheden, Core
Onder Logging
Oude tekst
Logging
1 | Deelnemers richten de logbestanden in zoals beschreven bij Logging interface, de AVG en NEN 7513:2018. | core.logging.100 |
2 | De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. Na de bewaartermijn van de logbestanden moeten deze vernietigd worden.
De bewaartermijn van de logbestanden is ten minste 24 maanden en niet meer dan 36 maanden. Na de bewaartermijn van de logbestanden moeten deze vernietigd worden.
Toelichting Het maximum van de bewaartermijn is bepaald voor logging binnen de scope van MedMij-verkeer ter voorkoming van onnodige opslag van gegevens en ter bescherming van de privacy van de gebruiker. Deze minimale en maximale bewaartermijnen van logbestanden passen binnen de uitersten die daartoe door NEN7513(paragraaf 8.5) zijn bepaald.
| core.logging.101 |
3
| Deelnemers moeten gebeurtenissen lokaal in logregels vastleggen op het moment dat deze plaatsvinden. De vastgelegde logregels worden met een zo hoog mogelijke frequentie (maar minimaal eenmaal per uur) in batches aangeleverd bij MedMij.
| core.logging.102
|
4
| Logregels die met MedMij gedeeld worden, mogen geen inhoudelijke gegevens over de Persoon bevatten, niet direct herleidbaar zijn naar de Persoon en mogen alleen metagegevens over de gebeurtenissen bevatten.
| core.logging.103
|
5
| De DVP Server logt:
in de rol van OAuth Client elk verzoek aan en antwoord van de OAuth Authorization Server, ook het Authorization request dat vanuit de User Agent wordt gestuurd;
in de rol van Resource Client elk verzoek aan en antwoord van de Resource Server;
elke technische storing bij het uitvoeren van de MedMij functies.
| core.logging.202
|
6
| De Authorization Server logt:
in de rol van OAuth Authorization Server elk verzoek van en antwoord aan de OAuth Client;
het versturen van de pagina's naar de User Agent;
in de rol van Authentication Client elk verzoek naar en antwoord van de Authentication Server;
het resultaat van het uitvoeren van de beschikbaarheids- (Verzamelen en Abonneren) en ontvankelijkheidstoets (Delen);
de door de Persoon teruggestuurde toestemmings- (Verzamelen en Abonneren) en bevestigingsverklaring (Delen);
elke technische storing bij het uitvoeren van de MedMij functies.
| core.logging.203
|
7
| De Resource Server logt:
elk verzoek van en antwoord aan de Resource Client;
het resultaat van het uitvoeren van de beschikbaarheids- (Verzamelen en Abonneren) en ontvankelijkheidstoets (Delen);
het resultaat van de verzamelde gegevens;
elke technische storing bij het uitvoeren van de MedMij functies.
| core.logging.204
|
8
| Logregels worden in het JSON-formaat bij MedMij aangeleverd, zoals gespecificeerd bij Logging interface, op het door MedMij hiervoor beschikbaargestelde endpoint.
| core.logging.205
|
9
| Voordat de door de deelnemer aangeleverde logregels worden ontvangen door de loggingscomponent wordt een technische toetsing uitgevoerd op deze logregels. Krijgt de deelnemer een code 200 terug van de Logging Interface dan is het aanleveren van logregels geslaagd en is de data opgeslagen. Bij elke andere code was het aanleveren onsuccesvol en moet de batch opnieuw aangeleverd worden.
| core.logging.209
|
10
| De endpoint van de Logging interface heeft op jaarbasis een beschikbaarheid van minimaal 99,5%. MedMij laat, na het niet beschikbaar raken van de MedMij Logging interface, maximaal 43 kantooruren (2580 minuten) verstrijken voordat het weer beschikbaar is.
| core.logging.206
|
11
| De DVP Server maakt voor het versturen van een Authorization Request, of in het geval van langdurige toestemming voor het versturen van een Token Request, een trace-id aan dat gedurende het hele proces door alle rollen wordt gebruikt bij het vastleggen van bijbehorende logregels. Dit om de logregels van verschillende partijen in een proces aan elkaar te kunnen correleren.
| core.logging.207
|
12
| Bij het loggen van verzonden resource requests neemt de OAuth Client ook het MedMij-Request-ID Header Field op in het logbestand als ID attribuut van het request object. | core.logging.200 |
13
| Bij het loggen van ontvangen resource requests nemen de OAuth Authorization Server en de OAuth Resource Server ook het MedMij-Request-ID Header Field op in het logbestand als ID attribuut van het request object. | core.logging.201 |
14
| Bij het loggen van de verschillende gebeurtenissen tijdens het proces nemen OAuth Client, de OAuth Authorization Server en de OAuth Resource Server het X-Correlation-ID op in het logbestand als trace_id attribuut van het request object.
| core.logging.208
|
Nieuwe tekst
Logging
In het MedMij Afsprakenstelsel worden verschillende soorten loggegevens besproken. De verantwoordelijkheden die gelden voor alle soorten loggegevens worden beschreven onder “Algemene verantwoordelijkheden logging”. De verantwoordelijkheden die alleen gelden voor de ketenlog loggegevens staan onder “Ketenlog”.
Algemene verantwoordelijkheden logging
1 | Deelnemers richten de logbestanden in zoals beschreven bij Logging interface, de AVG en NEN 7513:2018. | core.logging.100 |
2 | De bewaartermijnen voor de verschillende soorten loggegevens staan beschreven op de pagina A.12.4.1 Gebeurtenissen registreren van het Normenkader. Na afloop van de bewaartermijn van loggegevens moeten Deelnemers de loggegevens vernietigen. | core.logging.101 |
3 | Bij het loggen van verzonden resource requests neemt de OAuth Client ook het MedMij-Request-ID Header Field op in het logbestand als ID attribuut van het request object. | core.logging.200 |
4 | Bij het loggen van ontvangen resource requests nemen de OAuth Authorization Server en de OAuth Resource Server ook het MedMij-Request-ID Header Field op in het logbestand als ID attribuut van het request object. | core.logging.201 |
Ketenlog
1 | Deelnemers moeten gebeurtenissen lokaal in logregels vastleggen op het moment dat deze plaatsvinden. De vastgelegde logregels worden met een zo hoog mogelijke frequentie (maar minimaal eenmaal per uur) in batches aangeleverd bij MedMij. | core.logging.102 |
2 | Logregels die met MedMij gedeeld worden, mogen geen inhoudelijke gegevens over de Persoon bevatten, niet direct herleidbaar zijn naar de Persoon en mogen alleen metagegevens over de gebeurtenissen bevatten. | core.logging.103 |
3 | De DVP Server logt: in de rol van OAuth Client elk verzoek aan en antwoord van de OAuth Authorization Server, ook het Authorization request dat vanuit de User Agent wordt gestuurd; in de rol van Resource Client elk verzoek aan en antwoord van de Resource Server; elke technische storing bij het uitvoeren van de MedMij functies.
| core.logging.202 |
4 | De Authorization Server logt: in de rol van OAuth Authorization Server elk verzoek van en antwoord aan de OAuth Client; het versturen van de pagina's naar de User Agent; in de rol van Authentication Client elk verzoek naar en antwoord van de Authentication Server; het resultaat van het uitvoeren van de beschikbaarheids- (Verzamelen en Abonneren) en ontvankelijkheidstoets (Delen); de door de Persoon teruggestuurde toestemmings- (Verzamelen en Abonneren) en bevestigingsverklaring (Delen); elke technische storing bij het uitvoeren van de MedMij functies.
| core.logging.203 |
5 | De Resource Server: elk verzoek van en antwoord aan de Resource Client; het resultaat van het uitvoeren van de beschikbaarheids- (Verzamelen en Abonneren) en ontvankelijkheidstoets (Delen); het resultaat van de verzamelde gegevens; elke technische storing bij het uitvoeren van de MedMij functies.
| core.logging.204 |
6 | Logregels worden in het JSON-formaat bij MedMij aangeleverd, zoals gespecificeerd bij Logging interface, op het door MedMij hiervoor beschikbaargestelde endpoint. | core.logging.205 |
7 | Voordat de door de deelnemer aangeleverde logregels worden ontvangen door de loggingscomponent wordt een technische toetsing uitgevoerd op deze logregels. Krijgt de deelnemer een code 200 terug van de Logging Interface dan is het aanleveren van logregels geslaagd en is de data opgeslagen. Bij elke andere code was het aanleveren onsuccesvol en moet de batch opnieuw aangeleverd worden. | core.logging.209 |
8 | De endpoint van de Logging interface heeft op jaarbasis een beschikbaarheid van minimaal 99,5%. MedMij laat, na het niet beschikbaar raken van de MedMij Logging interface, maximaal 43 kantooruren (2580 minuten) verstrijken voordat het weer beschikbaar is. | core.logging.206 |
9 | De DVP Server maakt voor het versturen van een Authorization Request, of in het geval van langdurige toestemming voor het versturen van een Token Request, een trace-id aan dat gedurende het hele proces door alle rollen wordt gebruikt bij het vastleggen van bijbehorende logregels. Dit om de logregels van verschillende partijen in een proces aan elkaar te kunnen correleren. | core.logging.207 |
10 | Bij het loggen van de verschillende gebeurtenissen tijdens het proces nemen OAuth Client, de OAuth Authorization Server en de OAuth Resource Server het X-Correlation-ID op in het logbestand als trace_id attribuut van het request object. | core.logging.208 |
In te voegen links
A.12.4.1 Gebeurtenissen registreren A.12.4.1 Gebeurtenissen registreren