Taken
| Gebruiker | Taak | Beschrijving |
| Inrichter | Toegang tot Ons Tags beheer | Geeft toegang tot de Ons Tags-webapplicatie. |
| Inrichter | Wijzig sjablonen in Ons Tags | Wijzig sjablonen in Ons Tags |
| Inrichter | Wijzig en test tag collecties in Ons Tags | Het kunnen aanmaken van eigen tags en het testen ervan Let op: Dit recht geeft bij het testen onbeperkt toegang tot (cliënt)data op deze omgeving. Wij raden aan dit recht enkel op testomgevingen in te richten en enkel te testen op dummydata. |
| Medewerker | Genereer documenten met (...) in Ons Tags | Het mogen genereren van sjablonen met het overeenkomend recht. Als voor het genereren van het sjabloon een clientId/employeeId benodigd is, dan moet deze persoon ook binnen het bereik van de medewerker liggen. |
Type gebruikers
We identiferen twee type gebruikers: Inrichters en Medewerkers.
Inrichter
Een inrichter houdt zich bezig met:
Inrichten van sjablonen/brieven
Aanmaken/bewerken van tags
Het testen/uitvoeren van tags, tagcollecties of sjablonen
Instellen welke rechten benodigd zijn om bepaalde sjablonen te mogen uitvoeren (documentgeneratie)
Dit wordt gedaan via de webapplicatie van Ons Tags. Onderstaande taken en aanvullende rechten zijn beschikbaar voor inrichters:
Toegang tot Ons Tags beheer
Toegang tot de Ons Tags-webapplicatie via Ons Administraties-beheersinstellingen
Het downloaden van documentatie
Toegang tot de pagina's
Tag Overzicht
Sjablonen
Conversie
Het uitvoeren van sjablonen (via dezelfde rechten als de standaard documentgeneratie)
Wijzig sjablonen in Ons Tags
Aanmaken, verwijderen van sjablonen
Wijzigen van benodigd uitvoeringsrecht van sjablonen
Vervangen van .docx-/.xlsx-bestand van sjablonen
Wijzig en test tag collecties in Ons Tags
Test tag collecties in Ons Tags*
Toegang tot Ons Tags beheer
Wijzig tags in Ons Tags
*Dit recht verschaft indirecte, ongelimiteerde toegang tot data (inclusief cliënt-/medewerkersdata) via de API's.
Toegangsbepaling bij testen en inrichting (voor inrichters)
In de webapplicatie van Ons Tags is functionaliteit ingebouwd om tags en sjablonen te testen. Hiervoor heb je de volgende rechten nodig:
Toegang tot Ons Tags beheer
Wijzig en test tags in Ons Tags
Geen additionele rechten voor het testen/uitvoeren van tags(-collecties) op de omgeving*
*Bij het testen van tags heeft de inrichter directe en ongelimiteerde toegang tot de API's en daarmee de cliënt-/medewerkersdata. Er vindt verder geen additionele controle plaats (bijvoorbeeld of de cliënt/medewerker in het bereik zit). Bij het testen van sjablonen vindt deze controle wel plaats, aangezien dan gebruik wordt gemaakt van de standaard documentgeneratie. Dit betekent dat de inrichter ook toegang tot de cliënt/medewerker nodig heeft voor wie het document gegenereerd wordt.
Medewerker
Een medewerker houdt zich voornamelijk bezig met het door Ons Tags laten genereren van documenten op basis van een sjabloon met daarin Tags. De medewerker doet dit bijvoorbeeld via Ons Administratie en heeft geen toegang nodig tot de webapplicatie van Ons Tags.
Onderstaande taken zijn beschikbaar voor medewerkers:
Genereer documenten met persoonlijke data [van een cliënt] in Ons Tags
Genereer documenten met medische data [van een cliënt] in Ons Tags
Genereer documenten met agenda data [van een cliënt] in Ons Tags
Genereer documenten met psychodiagnostische gegevens [van een cliënt] in Ons Tags
Genereer documenten met diagnostische gegevens [van een cliënt] in Ons Tags
Genereer documenten met onderzoeksgegevens [van een cliënt] in Ons Tags
Genereer documenten met data [van een cliënt] in Ons Tags. Generiek recht: A
Genereer documenten met data [van een cliënt] in Ons Tags. Generiek recht: B
Genereer documenten met data [van een cliënt] in Ons Tags. Generiek recht: C
Genereer documenten met data [van een cliënt] in Ons Tags. Generiek recht: D
Genereer documenten met data [van een cliënt] in Ons Tags. Generiek recht: E
Genereer documenten met persoonlijke data [van een medewerker] in Ons Tags
Genereer documenten met agenda data [van een medewerker] in Ons Tags
Toegangsbepaling bij documentgeneratie (voor medewerkers)
Een belangrijk onderdeel van het automatisch genereren van documenten is het autoriseren van data. Ons Tags ontsluit data uit de API's van ONS via deze documenten. De toegang tot documentgeneratie wordt op meerdere vlakken bepaald:
Een sjabloon heeft een benodigd recht ingesteld
Een sjabloon bevat tags
Een tag kan, op basis van de inrichting, een bepaalde context (parameters) nodig hebben om uitgevoerd te worden (bijvoorbeeld een clientId)
Bij het genereren van het document wordt gekeken of:
de medewerker het benodigde recht heeft (Ons Autorisatie) dat ingesteld staat bij het sjabloon (Ons Tags).
de parameters een rechtenscope (clientId of employeeId) bevat (zit de persoon in het bereik van de medewerker (Ons Autorisatie).
Aan de benodigde parameters voor het genereren van een sjabloon is te herkennen welke contexten gecontroleerd worden. Als op basis van bovenstaande wordt bepaald dat de medewerker het document mag genereren, wordt een sjabloon gegenereerd op basis van de tags in het sjabloon en de meegegeven context.
Bij API-calls, waarbij de uitvoer (ID) van een API-call weer als invoer kan gelden voor een nieuwe API-call, zie je dat er geen parameter voor dit ID wordt weergegeven. In deze situatie wordt geen contextuele check gedaan of de cliënt/medewerker in het bereik van de medewerker zit. Dit is bijvoorbeeld het geval als je voor een cliënt een overzicht van alle behandelaren wil genereren. De medewerker die het document genereert, heeft dan wel toegang tot de cliënt nodig, maar niet tot de medewerkers.
Dit alles betekent dat de inrichter een rol heeft in de waarborging van data.
Sommige API's (zoals de LocationAssignmentAPI) kunnen daarnaast ook nog expliciete checks op het bereik van de ingelogde medewerker uitvoeren. Dit gedrag is momenteel onzichtbaar, maar kan er dus voor zorgen dat het resultaat afwijkt van de verwachting.
