HealthcareProfessionalDelegationCredential

1.0.0

Feature	HealthcareProfessionalDelegationCredential
Type	Subfeature
Versie	1.0.0
Systeemrolcode	-
Groep	Credentials
Gepubliceerd
Delta	Initiële versie van feature.

Met een HealthcareProfessionalDelegationCredential wordt bewezen dat een zorgprofessional een mandaat heeft verleend aan een zorgaanbieder om namens hem of haar te handelen binnen een afgebakende autorisatie‑scope. Dit credential is de VC‑tegenhanger van het SAML AORTA‑mandaattoken en wordt gebruikt om gebruikers‑ en rolcontext vast te stellen voorafgaand aan de uitgifte van een AORTA access token.

VCs worden gemodelleerd conform het W3C Verifiable Credentials Data Model en geserialiseerd als JWT (VC‑JWT). De VC heeft een JWT Header, JWT Payload en JWT Signature zoals hieronder gedefineerd.

JWT Header

De JWT header van deze VC bevat de volgende velden:

Veld	Cardinaliteit	Toelichting
`alg`	1..1	Het gehanteerde signing-algoritme. Toegestane waarden: `RS256`. Enkel RS256 wordt gebruikt vanwege compatibiliteit met bestaande UZI-certificaten en t.b.v. hardware die RSASSA-PSS niet ondersteunt.
`typ`	1..1	Het type token. Vaste waarde: JWT.
`kid`	1..1	Volledige DID met fragment. De `kid` moet verwijzen naar exact één sleutel binnen de certificaatketen.
`x5c`	1..1	De volledige certificaatketen in DER-formaat, base64-encoded.
`x5t#S256`	0..1	De SHA-256 thumbprint van het leaf-certificaat.

Voorbeeld did:x509 JWT header

JSON

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "did:x509:0:sha256:WE4P5dd8DnLHSkyHaIjhp4udlkF9LqoKwCvu9gl38jk::subject:O:Autoriteit::san:otherName:00000000#0",
  "x5c": [
    "",
    "",
    ""
  ],
  "x5t#S256": "WE4P5dd8DnLHSkyHaIjhp4udlkF9LqoKwCvu9gl38jk"
}

JWT Payload

De JWT Payload van deze Verifiable Credential bevat de volgende velden:

Veld		Cardinaliteit	Toelichting en validatie
`iss`		1..1	DID van de issuer.
`sub`		1..1	DID van het subject.
`nbf`		1..1	Tijdstip vanaf wanneer het credential geldig is. MOET in het verleden liggen.
`exp`		0..1	Verloopdatum als UNIX timestamp (indien van toepassing). Indien aanwezig: MOET deze groter zijn dan `nbf`, en MOET in de toekomst liggen.
`jti`		1..1	Unieke identifier van het credential.
`vc`		1..1	Genest object met de volledige Verifiable Credential, bevat de semantische betekenis van de VC.
	`@context`	1..1	JSON‑LD context conform het W3C Verifiable Credentials Data Model. Vaste waarde: `["https://www.w3.org/2018/credentials/v1", "https://[aorta-gbc-base-URL]/gbc/context/v1"]`.
	`id`	0..1	Unieke identifier van het credential. Indien aanwezig: MOET gelijk zijn aan de `jti` claim.
	`type`	1..1	Bevat altijd `VerifiableCredential`, aangevuld met de naam van het specifieke type credential.
	`credentialSubject`	1..1	Object dat de claims over het subject bevat. Het `credentialSubject` is apart gedefinieerd in de onderstaande tabel.
	`issuer`	0..1	DID van de uitgevende partij (bijv. `did:web` of `did:x509`). Indien aanwezig: MOET gelijk zijn aan de `iss` claim.
	`issuanceDate`	0..1	Datum en tijdstip waarop het credential is uitgegeven. Indien aanwezig: MOET overeenkomen met de `nbf` claim.
	`expirationDate`	0..1	Datum en tijdstip waarop het credential verloopt. Indien aanwezig: MOET overeenkomen met de `exp` claim.
	`credentialStatus`	0..1	Optioneel object om de revocatiestatus van het credential vast te stellen. Dit veld wordt vooralsnog niet gebruikt.

Het domein dat wordt gebruikt in een did:web identifier moet een top-level domain hebben met voldoende betrouwbaarheid en juridische afdwingbaarheid. Binnen AORTA is het gebruik van het .nl verplicht. Dit waarborgt dat domeinnamen vallen onder Nederlands recht en dat de SIDN als registerhouder voldoende garanties biedt ten aanzien van eigenaarschap en geschilbeslechting.

Voor de HealthcareProfessionalDelegationCredential beschrijft het credentialSubject een zorgaanbieder-context waarin een delegatie als hasDelegation wordt gemodelleerd. In hasDelegation wordt de relatie tussen zorgprofessional en zorgaanbieder, inclusief rol en autorisatie‑scope, wordt vastgelegd. De zorgprofessional is niet het subject van de credential, maar treedt op als issuer. Het credentialSubject bevat de volgende attributen:

Attribuut	Cardinaliteit	Toelichting
`id`	0..1	DID van de zorgaanbieder waarvoor het mandaat geldt (bijv. `did:web`). MAG worden weggelaten indien aanwezig via JWT‑claim (`sub`).
`@type`	1..1	Vaste waarde `HealthcareProvider`.
`identifier.@type`	1..1	Vaste waarde `Identifier`.
`identifier.system`	1..1	Identifier-stelsel, vaste waarde: `http://fhir.nl/fhir/NamingSystem/ura.`
`identifier.value`	1..1	URA-nummer van de zorgaanbieder waarvoor het mandaat geldt, MOET overeenkomen met het URA-nummer in het `san:otherName` attribuut in de issuer DID.
`hasDelegation.@type`	1..1	Vaste waarde: `Delegation`.
`hasDelegation.delegatedBy.@type`	1..1	Vaste waarde: `HealthcareProfessional`.
`hasDelegation.delegatedBy.identifier.@type`	1..1	Vaste waarde: `Identifier`.
`hasDelegation.delegatedBy.identifier.system`	1..1	Identifier‑stelsel van de zorgprofessional, vaste waarde: `http://fhir.nl/fhir/NamingSystem/uzi-nr-pers`.
`hasDelegation.delegatedBy.identifier.value`	1..1	UZI-nummer van de zorgverlener, MOET overeenkomen met het UZI-nummer in het `san:otherName` attribuut in de issuer DID.
`hasDelegation.delegatedBy.roleCode`	1..1	UZI-rolcode van de zorgverlener, MOET overeenkomen met de UZI-rolcode in het `san:otherName` attribuut in de issuer DID.
`hasDelegation.scope.@type`	1..1	Vaste waarde: `DelegationScope`.
`hasDelegation.scope.authorizationRule`	1..1	URI van de autorisatieregel waarbinnen het mandaat is verleend.
`hasDelegation.scope.authorizedActions`	1..*	Lijst van acties die binnen het mandaat zijn toegestaan.

Voorbeeld van de JWT body van een HealthcareProfessionalDelegationCredential

JSON

{
  "iss": "did:x509:0:sha256:1b0961059b841654875d24545d0b93b37fd8a50c406a10a89702498f7e544b50::subject:O:Huisarts%20De%20Linden::san:otherName:2.16.528.1.1003.1.3.5.5.2-1-123456789-Z-12345678-01.010-87654321",
  "sub": "did:web:huisarts-delinden.nl",
  "nbf": 1733011200,
  "exp": 1764547200,
  "jti": "urn:uuid:3e671c46-7a3b-4c1e-9b2a-4f8e6d2c1a5b",
  "vc": {
    "@context": [
      "https://www.w3.org/2018/credentials/v1",
      "https://[aorta-base-URL]/gbc/context/v1"
    ],
    "type": [
      "VerifiableCredential",
      "HealthcareProfessionalDelegationCredential"
    ],
    "credentialSubject": {
      "id": "did:web:huisarts-delinden.nl",
      "@type": "HealthcareProvider",
      "identifier": {
        "system": "http://fhir.nl/fhir/NamingSystem/ura",
        "value": "12345678"
      },
      "hasDelegation": {
        "@type": "Delegation",
        "delegatedBy": {
          "@type": "HealthcareProfessional",
          "identifier": {
            "@type": "Identifier",
            "system": "http://fhir.nl/fhir/NamingSystem/uzi-nr-pers",
            "value": "123456789"
          },
          "roleCode": "01.010"
        },
        "scope": {
          "@type": "DelegationScope",
          "authorizationRule": "URI van de autorisatieregel waarbinnen het mandaat is uitgegeven",
          "authorizedActions": [
            ""
          ]
        }
      }
    }
  }
}

JWT Signature

De JWT Signature van een Verifiable Credential borgt de integriteit en herkomst van de JWT en de daarin opgenomen VC. De JWT signature MOET worden geplaatst over de base64url‑gecodeerde JWT header en payload conform JWS (RFC 7515).

De JWT MOET worden ondertekend door de issuer van de VC.
De issuer van het credential wordt geïdentificeerd via de iss‑claim in de JWT payload.
De kid‑claim in de JWT header MOET verwijzen naar de signing key waarmee de JWT is ondertekend.

De signing key MOET overeenkomen met het leaf-certificaat waarmee de JWT is ondertekend.
De relatie tussen de signing key en de issuer MOET worden vastgesteld via validatie van de X.509-certificaatketen tegen geaccepteerde PKI-trust anchors (zoals PKIoverheid en UZI).

Verificaties van het HealthcareProfessionalDelegationCredential

De credential MOET voldoen aan de specificaties van de betreffende credential, inclusief eventuele de normatieve structuur en inhoudelijke eisen zoals gedefinieerd.

Daarnaast moeten de volgende verificaties plaatsvinden. Indien één van de onderstaande verificaties faalt wordt de credential als ongeldig beschouwd. Het systeem MAG stoppen bij de eerste geconstateerde fout en hoeft niet alle verificaties uit te voeren.

Verificatie van de JWT-signature:
- De JWT signature MOET cryptografisch correct zijn en succesvol valideren over de JWT header en payload.
- De credential MOET zijn ondertekend door de issuer van de VC zoals geïdentificeerd in de iss claim van de JWT payload.
Verificatie van DID en sleutelbinding
- Het DID‑document van de issuer van de credential MOET worden geresolveerd conform de toepasselijke DID‑methode.
- De signing key waarmee de credential is ondertekend MOET via de kid‑claim herleidbaar zijn tot het DID‑document van de issuer.
- De signing key MOET voorkomen in de assertionMethod van het DID‑document van de issuer.
- De issuer DID van de credential MOET een geaccepteerde trust anchor bevatten, passend bij het type credential. Het type trust anchor is afhankelijk van het credential‑type.
Verificatie van sleutelgeldigheid:
- De signing key MOET worden geresolveerd via key‑resolutie, waarbij de nbfvan het credential als referentietijdstip wordt gebruikt.
- De signing key MOET geldig zijn geweest op het referentietijdstip en MAG NIET verlopen of ingetrokken zijn vóór de issuanceDate van het credential.
Verificatie van geldigheid in tijd:
- De credential MOET geldig zijn op het moment van gebruik.
- De credential MAG NIET herroepen zijn. Deze controle wordt vooralsnog niet uitgevoerd.
  - Indien vc.credentialStatus aanwezig is, MOET de revocatiestatus worden gecontroleerd.
Verificatie deelname GBC:
- De identiteit van de credential issuer (iss) MOET worden vastgesteld als een vertrouwde GBC‑deelnemer. Op termijn zal deze controle uitgevoerd worden door een controle in ZORG-AB. Vooralsnog zal de controle worden uitgevoerd tegen een interne lijst van vertrouwde GBC deelnemers.

did:web specifieke validaties:
- Het domein dat wordt gebruikt in een did:web identifier moet een top-level domain hebben met voldoende betrouwbaarheid en juridische afdwingbaarheid. Binnen AORTA is het gebruik van het .nl verplicht. Dit waarborgt dat domeinnamen vallen onder Nederlands recht en dat de SIDN als registerhouder voldoende garanties biedt ten aanzien van eigenaarschap en geschilbeslechting.

HealthcareProfessionalDelegationCredential specifieke verificaties:
- Het vc.type MOET HealthcareProfessionalDelegationCredential bevatten.
- De issuer van het credential MOET een zorgprofessional met een did:x509‑identiteit zijn.
- Het pastype in de iss claim MOET gelijk zijn aan Z (zorgverlenerspas).
- De hasDelegation.scope.authorizationRule MOET een geldige autorisatie‑scope hebben welke een subset is van de bevoegdheden die aan de zorgaanbieder zelf zijn toegekend.
- Indien een verloopdatum is opgenomen, MOET deze voor de expires‑datum van de signing key zijn.