Globaal Ontwerp Gemeenschappelijke Bronontsluiting¶

ICTU | Juni 2026

LET OP: Het project gemeenschappelijke bronontsluiting is in ontwikkeling en de documentatie volgt dit. De huidige versie van dit globaal ontwerp is daarom niet definitief. De status van de documentatie is hier te vinden.

Inleiding¶

Globaal ontwerp¶

In dit globaal ontwerp wordt op hoofdlijnen uiteengezet welke stelselfuncties nodig zijn voor een gemeenschappelijke bronontsluiting en hoe deze ingericht kunnen worden. Het doel is om input op de voorgestelde oplossingsrichting op te halen en het ontwerp vast te stellen, zodat dit als basis kan dienen voor verdere uitwerking in de volgende documenten:

Projectstartarchitectuur: kaders en richtlijnen voor het ontwerp en de inrichting van de stelselfuncties.
Technisch ontwerp: technisch ontwerp van de benodigde voorzieningen.
Technische requirements: de specificaties van de in te richten componenten.
Semantiek: informatiemodellen en begrippenkaders van de gegevens die uitgewisseld worden, zowel de gegevens die opgevraagd worden, als gegevens die nodig zijn voor veilige, betrouwbare uitwisseling (zoals GraphQL-schema's, mappings tussen verschillende formaten, toestemmingen, etc.).

Uitgangspunten¶

Europees interoperabel: Europese afspraken en standaarden (o.a. EIF, eIDAS, OOTS en EUDI) en de Nederlandse invulling hiervan, zoals de NL-Wallet en het centrale Nederlandse OOTS-toegangspunt.
Federatief Datastelsel (FDS): Relevante en toepasbare FDS-afspraken en standaarden, zoals FSC en FTV voor gefedereerde connectiviteit en toegang, voor publiek-publieke bronontsluiting.
Generieke Digitale Infrastructuur (GDI): Relevante en toepasbare GDI-afspraken, standaarden en voorzieningen, zoals DigiD en het BSN-koppelregister voor polymorfe pseudoniemen (BSNk PP).
Beleidsgedreven autorisatie (PBAC): PBAC-architectuur voor autorisatie en toegang.
Waardengedreven inrichting: De organisatorische en technische inrichting is gebaseerd op publieke waarden en op het principe van een gelijk speelveld bij de rollen en verantwoordelijkheden.

Leeswijzer¶

Het globaal ontwerp wordt als volgt uitgewerkt:

Hoofdstuk 2 schetst de oplossingsrichting voor de gemeenschappelijke bronontsluiting
Hoofdstuk 3 beschrijft de interactiepatronen waar de gemeenschappelijke bronontsluiting invulling aan geeft
Hoofdstuk 4 beschrijft de generieke functies die nodig zijn en de stelselfuncties waarmee dit mogelijk wordt
Hoofdstuk 5 gaat in op de stelselfuncties die nog ontwikkeld moeten worden

Voorgestelde oplossingsrichting¶

Dit hoofdstuk beschrijft de voorgestelde oplossingsrichting voor GBO. Het onderstaande diagram vormt hiervoor de basis.

flowchart LR subgraph gbo["GBO Basis"] direction TB fsc_pap("Beleidsregels") fsc("Standaard koppelvlak Generieke bronontsluiting Configurabele autorisatie") fsc_tools("GBO tools (ondersteuning bronhouders)") end subgraph eudi["EUDI-Wallet"] direction LR eudi_asi("Bronontsluiting voor QTSP (Authentic Source Interface)") eudi_pubeaa("Uitgifte van publieke EAA (PubEAA)") eudi_qeaa["QTSP (QEAA)"] eudi_wallet["EUDI-Wallet"] end subgraph oots["SDG / OOTS"] direction LR oots_adapter("OOTS-adapter (protocol + semantische mapping)") oots_basis["Basisinrichting OOTS (Nederlands OOTS-koppelpunt)"] oots_afnemer["Europese overheid SDG-portaal"] end subgraph dvtp["DvTP"] direction LR dvtp_toestemming("Toestemmingsvoorziening") dvtp_pseudoniem["Pseudonimiseervoorziening"] dvtp_afnemer["Private dienstverlener"] end fsc_pap --- fsc fsc --- fsc_tools bron[("Overheidsbronnen BRP · BD · UWV · KvK · …")] --- gbo eudi_asi --- eudi_qeaa eudi_qeaa --- eudi_wallet gbo --- eudi_asi & eudi_pubeaa & oots_adapter & dvtp_afnemer eudi_pubeaa --- eudi_wallet oots_adapter --- oots_basis oots_basis --- oots_afnemer gbo --- dvtp_toestemming dvtp_toestemming --- dvtp_afnemer dvtp_toestemming --- dvtp_pseudoniem dvtp_pseudoniem ~~~ dvtp_afnemer eudi_wallet --- burger["Burger"] oots_afnemer --- burger dvtp_afnemer --- burger fsc_pap:::gbo fsc:::gbo fsc_tools:::gbo eudi_asi:::gbo eudi_pubeaa:::gbo eudi_qeaa:::eudi eudi_wallet:::eudi oots_adapter:::gbo oots_basis:::oots oots_afnemer:::oots dvtp_toestemming:::gbo dvtp_pseudoniem:::dvtp dvtp_afnemer:::dvtp bron:::bron burger:::burger classDef bron fill:#edf7df,stroke:#6aa13a,color:#27500a classDef generiek fill:#f1efe8,stroke:#5f5e5a,color:#444441 classDef eudi fill:#f1efe8,stroke:#5f5e5a,color:#444441 classDef oots fill:#f1efe8,stroke:#5f5e5a,color:#444441 classDef dvtp fill:#f1efe8,stroke:#5f5e5a,color:#444441 classDef gbo fill:#fff0e8,stroke:#000000,color:#000000 classDef burger fill:#edf7df,stroke:#6aa13a,color:#27500a

Figuur 1: Oplossingsrichting GBO.

Voor GBO stellen bronhouders hun gegevens bloot via een generieke API, die voor verschillende gegevensverzoeken gebruikt kan worden. Een nieuw gegevensverzoek kan dan met configuraties ingesteld worden, in plaats van het moeten inrichten en beheren van een nieuw endpoint. Generieke ontsluiting vraagt extra autorisatieregels, die met beleidsregels (eventueel ook federatief) in te stellen moeten zijn. Het koppelvlak moet met een betrouwbare en veilige standaard beschikbaar gesteld worden; zaken als versleuteling, identificatie, authenticatie en logging moeten daarin geborgd zijn. Voor de verschillende gegevensstromen zorgen centrale voorzieningen voor aansluiting op bestaande protocollen en vertrouwensstelsels.

In de volgende paragrafen worden deze componenten uitgewerkt en wordt toegewerkt naar een invulling daarvan.

Interactiepatronen¶

GBO ondersteunt drie interactiepatronen, elk met eigen actoren, grondslagen en protocollen. De drie interactiepatronen worden in de volgende paragrafen geschetst.

Patroon A - burger gebruikt EUDI-Wallet¶

Een burger vraagt een attestatie op bij een overheidsbron als verifieerbare credential (VC) voor opname in zijn EUDI-Wallet. De wallet initieert een OpenID4VCI-ophaalverzoek richting GBO, dat de bron bevraagt en het resultaat retourneert als SD-JWT VC of mdoc (ISO 18013-5). De attestatie is cryptografisch gezegeld en kan daarna door de burger worden gepresenteerd aan dienstverleners via OpenID4VP, zonder verdere tussenkomst van GBO.

GBO ondersteunt functioneel/technisch in dit patroon de rol van PubEAA-uitgevende instantie, maar is zelf geen PubEAA verstrekker. De verificatiedienst voor QTSP's die attestaties willen verifiëren is een aanvullend GBO-component. Beide diensten maken gebruik van een autorisatiedienst die ook door GBO aangeboden wordt.

Voor attestatie-uitgifte via een QTSP (QEAA) zijn twee varianten mogelijk:

Burger contracteert QTSP: de burger levert attributen aan bij de QTSP, waarna de QTSP verifieert bij de verificatiedienst van de bronhouder of de aangewezen intermediair. Deze variant moet door bronhouders ondersteund worden en hiervoor wil GBO een centrale verify-dienst beschikbaar stellen.
Bronhouder contracteert QTSP: de bronhouder verwijst de burger naar de QTSP, waarna de QTSP de attributen ophaalt bij de retrieval-dienst van de bronhouder of de aangewezen intermediair. Er is geen wettelijke verplichting voor bronnen om dit te ondersteunen, maar een retrieval-dienst kan functioneel dezelfde implementatie (Authentic Source Interface provider) gebruiken als de verify-dienst die in de eerste variant wordt gebruikt.

De attribuutcatalogus die de Europese Commissie op basis van OOTS Common Services implementeert, is relevant voor zowel PubEAA als QEAA: GBO wil vanuit de semantiek-uitwerking aansluiten bij deze catalogus voor de definitie van attributen, informatiemodellen en endpoints.

Afstemming lopend: Over de keuze tussen PubEAA-uitgifte door overheidsbronnen en attestatie via een QTSP loopt nog afstemming. GBO positioneert beide varianten als ondersteund; de governance-keuze wordt extern belegd.

sequenceDiagram autonumber actor Burger participant Wallet as EUDI-Wallet participant QTSP as QTSP participant PubEAA as PubEAA voorziening participant VerifDienst as Verificatie- dienst participant Auth as Autorisatie voorziening participant Bron as Overheids- bron Note over Burger,Bron: Stroom A — PubEAA: overheidsinstantie geeft attribuut rechtstreeks uit rect rgb(225, 245, 238) Burger->>Wallet: Vraag attribuut op Wallet->>PubEAA: Credential Request Note over PubEAA: PubEAA voorziening: aangeboden door bron zelf óf centraal via GBO PubEAA->>Auth: Autorisatieverzoek Auth->>Wallet: Authenticatie- & autorisatieverzoek Wallet->>Burger: Toont verzoek & vraagt consent Burger->>Wallet: Geeft consent & presenteert PID / eID Wallet->>Auth: Authenticatie / consent (incl. PID / eID) Auth->>PubEAA: Autorisatie (incl. identificatie burger) PubEAA->>Bron: Bevraag bron Bron-->>PubEAA: Attribuutgegevens PubEAA->>PubEAA: Kwalificeer attribuutgegevens PubEAA-->>Wallet: PubEAA credential Wallet-->>Burger: PubEAA opgeslagen in wallet end Note over Burger,Bron: Stroom B — QEAA: QTSP kwalificeert attribuut via verificatiedienst rect rgb(238, 237, 254) Burger->>QTSP: Attestatie Request (incl. evt. stukken) Note over QTSP: QTSP verifieert attribuut via verificatiedienst QTSP->>VerifDienst: Verificatieverzoek Note over VerifDienst: Verificatiedienst: aangeboden door bron of centraal via GBO VerifDienst->>Auth: Autorisatieverzoek Auth->>Wallet: Authenticatie- & autorisatieverzoek Wallet->>Burger: Toont verzoek & vraagt consent Burger->>Wallet: Geeft consent & presenteert PID / eID Wallet->>Auth: Authenticatie / consent (met PID / eID) Auth->>VerifDienst: Autorisatie (incl. identificatie burger) VerifDienst->>Bron: Bevraag bron Bron-->>VerifDienst: Attribuutgegevens VerifDienst->>VerifDienst: Verifieer attribuutgegevens VerifDienst-->>QTSP: Geverifieerd attribuut QTSP->>QTSP: Issue QEAA QTSP-->>Wallet: QEAA attestatie Wallet-->>Burger: QEAA opgeslagen in wallet end

Figuur 2: Interactiepatroon burger deelt gegeven via EUDI-Wallet met dienstverlener. NB: een gegeven kan als PubEAA (rechtstreeks van overheidsbron) of QEAA (via QTSP) in de Wallet komen.

Patroon B - grensoverschrijdend verzoek via OOTS¶

Een Europese overheidsdienst stuurt via het OOTS-netwerk een Evidence Request voor een Nederlandse burger. BZK heeft RINIS aangewezen als nationaal OOTS-toegangspunt, waar de OOTS-basisinrichting in beheer is. Die verzorgt de toestemmingsinteractie met de burger en de identiteitsvaststelling, en geeft de payload als GraphQL-request door aan GBO. GBO verzorgt de bronontsluiting en de semantische mapping naar het SDG Evidence-formaat. Bronhouders zien uitsluitend de GBO-API en hoeven geen OOTS-kennis te hebben. De terugkoppeling volgt de omgekeerde route: GBO retourneert aan de OOTS-basisinrichting, waar het bericht in AS4 wordt verpakt.

De cross-border uitwisseling tussen nationale OOTS-aansluitpunten sluit aan bij de TIP-basisfunctie Delivering messages (elektronisch aangetekende bezorging), die het juridische en technische kader biedt voor betrouwbare beveiligde berichtuitwisseling tussen organisaties in verschillende lidstaten. Dit is echter buiten scope van GBO: de afhandeling van de OOTS-berichten gebeurt via de OOTS-basisinrichting, waar GBO op aansluit.

sequenceDiagram autonumber participant BRG as Burger (rechthebbende) participant EU as EU dienst (OOTS) participant RINIS as Basisinrichting OOTS NL (BZK/RINIS) participant GBO as GBO (GBO voorziening) participant BRH as Bronhouder (BRP / BD / …) rect rgb(250, 241, 251) Note over BRG,EU: ① Burger neemt dienst af BRG->>EU: Verzoek dienst Note over EU: Gegeven van bronhouder nodig end rect rgb(230, 241, 251) Note over EU,RINIS: ② OOTS-verzoek (eDelivery/AS4) EU->>RINIS: Evidence Request (eDelivery/AS4) end rect rgb(250, 238, 218) Note over RINIS,GBO: ③ Doorzetten naar bron via GBO RINIS->>GBO: OOTS-payload (GraphQL) Note over RINIS: eDelivery → GraphQL ontkoppeling end rect rgb(225, 245, 238) Note over GBO,BRH: ④ Bronontsluiting (GBO generieke API) GBO->>BRH: API-aanroep (GBO-formaat) BRH->>GBO: Gegevens (GraphQL) end rect rgb(225, 245, 238) Note over GBO: ⑤ Semantische mapping & logging (intern GBO) Note over GBO: GBO-formaat → SDG Evidence type · audit log · doelbinding end rect rgb(250, 238, 218) Note over GBO,RINIS: ⑥ Terugkoppeling naar OOTS-basisinrichting GBO->>RINIS: Evidence Response (GraphQL) Note over RINIS: GraphQL → eDelivery/AS4 vertaling end rect rgb(230, 241, 251) Note over RINIS,BRG: ⑦ Toestemming burger (User Review) RINIS->>BRG: Tonen te delen gegevens BRG->>RINIS: Keuze te delen gegevens end rect rgb(230, 241, 251) Note over EU,RINIS: ⑧ OOTS-antwoord (eDelivery/AS4) RINIS->>EU: Evidence Response end rect rgb(250, 241, 251) Note over BRG,EU: ⑨ Burger neemt dienst af EU->>BRG: Levert dienst end

Figuur 3: Interactiepatroon gegevensverzoek vanuit Europese overheidsorganisatie via OOTS.

Patroon C - gegevensverzoek van private dienstverlener (DvTP)¶

Een private dienstverlener haalt overheidsgegevens op bij een bronhouder, uitsluitend op basis van een geldige juridische grondslag. In het geval van DvTP is dit een wettelijk vastgestelde toestemming voor het delen van gegevens met private dienstverleners. De burger authenticeert zich met een eIDAS authenticatiemiddel op het vereiste betrouwbaarheidsniveau en geeft geïnformeerde toestemming voor een specifiek doel, een specifieke afnemer en een specifieke set gegevens. GBO registreert de toestemming in een toestemmingenregister, levert een consent-id aan de private dienstverlener, valideert deze op het moment van uitvraag real-time, en zorgt dat het BSN de private dienstverlener nooit bereikt - in de plaats daarvan ontvangt de afnemer een partijspecifiek pseudoniem.

De bronhouder controleert of de private dienstverlener bevoegd is om de gegevens op te vragen, controleert het consent-id en beoordeelt of de gegevensvraag binnen de scope valt. Via het consent-id wordt het BSN van de betrokkene herleid en het antwoord aan de private dienstverlener wordt geleverd als response in het afnemersformaat.

GBO kiest voor een centraal toestemmingenregister als kern van dit patroon. Decentrale alternatieven (zoals toestemmingsregistratie per bronhouder) zijn overwogen, maar het centrale model heeft doorslaggevende voordelen:

Kostenbesparing: eenmalig inrichten en beheren is goedkoper dan dat iedere bronhouder dit zelf regelt.
Herkenbaarheid voor de burger: een centrale voorziening biedt de burger telkens dezelfde ervaring, wat herkenning en vertrouwen opbouwt.
Inzage voor de burger: met een centrale voorziening is het aanzienlijk eenvoudiger om de burger inzage te geven in al zijn toestemmingen via het Toestemmingsportaal.
Eén keer toestemmen: de burger kan in één handeling toestemming geven voor een set gegevens die mogelijk uit meerdere bronnen afkomstig zijn. Bij decentrale registratie per bron zou de burger voor elke bron apart moeten toestemmen.

Het Toestemmingsportaal biedt de burger inzage in alle actieve toestemmingen en de mogelijkheid toestemming in te trekken.

sequenceDiagram autonumber actor Burger participant DV as Dienst- verlener participant Auth as Authenticatie- dienst participant TV as Toestemmings- voorziening participant PP as Pseudonimiserings- voorziening participant TR as Toestemmings- register participant BRH as Bron- houder Note over Burger,BRH: Fase 1 — Toestemming verlenen rect rgb(225, 245, 238) Burger->>DV: Neemt dienst af DV->>Burger: Redirect naar toestemmingsvoorziening GBO (met scope + doelbinding) Burger->>TV: Volgt redirect TV->>Auth: Authenticatieverzoek Note over Auth: DigiD of ander identificatiemiddel (eIDAS 2.0) Auth->>Burger: Authenticeer burger Burger-->>Auth: Authenticatie Auth-->>TV: BSN (geverifieerde identiteit) TV->>TV: PI/PP aanwezig? TV->>PP: Activeer BSN PP->>TV: PI/PP TV->>TV: Registreer PI/PP TV->>PP: Transformeer PI/PP PP-->>TV: Versleutelde PI/PP (VI/VP) TV->>Burger: Toon gegevens waarvoor toestemming gevraagd wordt (scope + doelbinding) Burger-->>TV: Verleent toestemming TV->>TR: Schrijf toestemming in register (VI · scope · doelbinding · TTL) TR-->>TV: consent-id TV->>DV: Redirect terug naar dienstverlener (met consent-id en VP) end Note over DV,BRH: Fase 2 — Gegevensopvraging bij bronhouder rect rgb(238, 237, 254) DV->>BRH: Gegevensverzoek (consent-id · mTLS / certificaat) BRH->>BRH: Authenticeer dienstverlener (via certificaat) BRH->>BRH: Controleer bevoegdheid (via FSC contract/Trusted List) BRH->>TR: Valideer consent-id (geldig? scope? TTL?)* TR-->>BRH: Consent geldig (incl. VI) Note over TR, BRH: Als consent in token zit, is bevraging toestemmingenregister niet nodig BRH->>BRH: Controleer data scope (template match) BRH->>BRH: Ontsleutel VI naar BSN BRH-->>DV: Gevraagde gegevens end

Figuur 4: Interactiepatroon DvTP (dienstverlener is een private partij).

Generieke functies en stelselfuncties¶

GBO is opgebouwd uit acht generieke functies die samen de volledige gegevensstroom afdekken, van identiteitsvaststelling en toestemmingsbeheer tot bronontsluiting en beheer. Deze generieke functies zijn technologieneutraal.
Elke generieke functie wordt ingevuld door een of meer stelselfuncties: concrete afspraken, standaarden en/of voorzieningen. In de paragrafen hieronder zijn de generieke functies uitgewerkt, met de stelselfuncties die GBO in beeld heeft om de functie in te vullen en hun huidige inrichtingsstatus.

F1 — Identiteit & Vertrouwen¶

Identificatie en authenticatie van burgers en organisaties; digitale identiteitsmiddelen en PKI; audit logging van iedere gegevensuitvraag.