Een veiliger Bronhouder-portaal: jouw actie is nodig

Beste bronhouder, dataleverancier en softwareleverancier,

We streven naar een veilig Bronhouderportaal. De komende maanden voeren we daarom een aantal maatregelen uit. Dit betekent dat er voor alle gebruikers van het Bronhouderportaal een aantal zaken gaat wijzigen. Om deze wijzigingen succesvol te laten zijn, hebben wij hier de hulp van softwareontwikkelaars, dataleveranciers en bronhouders nodig – van jou dus. In deze mail laten we zien wat er gaat veranderen.

Informatie voor bronhouders en/of dataleveranciers die alleen aanleveren via de website van het BRO Bronhouderportaal:

We gaan in stappen naar een veiliger Bronhouderportaal:

  1. Beperking machtigingen

Bij het aanmaken van nieuwe projecten en nieuwe machtigingen is slechts één machtiging toegestaan per dataleverancier per project. Ook het aantal tokens dat aangemaakt kan worden aan een nieuwe machtiging, wijzigt naar maximaal één.
De komende tijd faseren we de oude machtigingen uit. Wij analyseren welke bronhouders nog projecten hebben waarbij dezelfde dataleverancier meer dan één keer is gemachtigd. We nemen daarover contact op met de bronhouder. Wil je zelf alvast aan de slag? Neem dan contact op met de BRO Servicedesk.

  1. Gebruik 2-factorauthenticatie

Als je alleen gebruik maakt van het Bronhouderportaal en je gebruikt gebruikersnaam en wachtwoord (alleen voor bronhouders) biedt dit niet voldoende veiligheid. Wij bieden daarom 2-factorauthenticatie aan. Komende tijd faseren we de lichte vorm van authenticatie met alleen gebruikersnaam en wachtwoord uit. Gebruik je de 2-factorauthenticatie nog niet? Stap dan zo snel mogelijk over. We hebben daar een heldere instructie voor gemaakt.

Informatie voor bronhouders, dataleveranciers en softwareleveranciers die gebruik maken van software om gegevens te leveren aan de BRO:

Achtergrond

Er wordt veel gebruik gemaakt van onze REST API die externe software koppelt aan het Bronhouderportaal. Daardoor zijn er honderden tokens in omloop, die toegang geven tot een project.

Het token dient eigenlijk twee doelen tegelijkertijd:

  1. Authenticatie: het vaststellen van de identiteit van de gebruiker
  2. Autorisatie: het vaststellen van de rechten van de gebruiker

Deze tokens zijn onbeperkt geldig. Dit is een veiligheidsrisico. Daarnaast levert het een onnodige beheerlast op voor alle partijen, maar met name voor dataleveranciers: zij moeten een token-administratie bijhouden voor iedere machtiging die zij ontvangen hebben van een bronhouder. Veel dataleveranciers ontvangen ook meerdere machtigingen van een bronhouder, wat het extra ingewikkeld maakt.
Verder moeten ook wij ons houden aan overheidsrichtlijnen zoals de BIR en de BIO.

1: Een nieuwe URL | per 1 oktober 2022

De eerste stap is de introductie van versie 2 van de REST API. Hier heeft iedereen mee te maken die gebruikmaakt van software van derden.

De URL wijkt op twee punten af van de huidige REST API:

  1. Het versienummer wordt anders
  2. Er moet een projectcode opgegeven worden. Dat betekent dat de software van de gebruiker expliciet het project moet opgeven waarvoor (bijvoorbeeld) een levering bedoeld is.

De URL komt er zo uit te zien: /api/v2/{project_id}/leveringen

Let op: de oude URL zal nog enige tijd geldig blijven. De nieuwe functionaliteit wordt alleen op de nieuwe URL van toepassing.

2: Eén machtiging per dataleverancier per project | per 1 oktober 2022

Bij het aanmaken van nieuwe projecten en nieuwe machtigingen is slechts één machtiging toegestaan per dataleverancier per project. Ook het aantal tokens dat aangemaakt kan worden aan een nieuwe machtiging, wijzigt naar maximaal één.

De komende tijd faseren we de oude machtigingen uit. Wij analyseren welke bronhouders nog projecten hebben waarbij dezelfde dataleverancier meer dan één keer is gemachtigd. We nemen daarover contact op met de bronhouder. Wil je zelf alvast aan de slag? Neem dan contact op met de BRO Servicedesk.


3: Uitbreiden mogelijkheden binnen een machtiging | 4e kwartaal 2022

De bronhouder krijgt fijnmaziger controle over een machtiging. Per registratieobject kun je aangeven of gegevens automatisch gecontroleerd en/of automatisch geaccordeerd mogen worden. Hiermee wordt het mogelijk om binnen één machtiging automatisch accorderen en doorleveren toe te staan als een leverancier bijvoorbeeld alleen grondwaterstandsdossiers mag invoeren, maar geen sonderingen. Meer informatie hierover volgt.
Wij monitoren het gebruik van de nieuwe URL (v2). Zodra wij constateren dat voor een partij de oude URL enige tijd niet is gebruikt, dan bieden wij (bij inloggen) een zogenaamde wizard aan. Hiermee wordt een nieuw token aangemaakt op organisatieniveau. De oude tokens in de machtigingen komen daarmee te vervallen. De oude URL kan hierna niet meer worden gebruikt.

Uiteindelijk worden alle tokens onderworpen aan de regels die wij vanuit de overheid moeten volgen. Dit betekent dat de alle tokens (oude en nieuwe) een beperkte geldigheid gaan krijgen.

En verder:

Maak je gebruik van het Bronhouderportaal? Stap dan zo snel mogelijk over 2-factorauthenticatie als je dat nog niet gebruikt. We hebben daar een heldere instructie voor gemaakt.

We houden je op de hoogte

We hopen je zo goed geïnformeerd te hebben over de plannen voor een veiliger BRO Bronhouderportaal. We zullen je bij elke stap opnieuw per mail informeren en de deadline voor een stap aangeven. Ben je niet de juiste contactpersoon voor deze informatie? Laat het dan weten aan onze BRO Servicedesk. Je kunt daar ook terecht met vragen over dit traject.

Met vriendelijke groet,

Het BRO Beheerteam

Je ontvangt deze mail omdat je Bronhouder/BRO-coördinator bent of werkt met de BRO als dataleverancier of softwareleverancier.  Ben je niet de juiste contactpersoon voor deze mail? Meld dit dan bij onze BRO Servicedesk.