Geonovum is samen met Bureau Forum Standaardisatie, Kamer van Koophandel, VNG Realisatie en het Kadaster het Kennisplatform API's gestart. Gezien de ontwikkeling naar een digitale samenleving waar veel digitale diensten eenvoudig met elkaar moeten kunnen samenwerken, geloven wij dat de Nederlandse overheid baat heeft bij een Kennisplatform API’s, waarin we gezamenlijk kijken naar strategische en tactische vraagstukken rond het ontwikkelen van API’s door de overheid en gebruik van deze APIs buiten en binnen de overheid.
Wat is een API?
API’s (Application Programming Interfaces) spelen een belangrijke rol op het Internet. Met behulp van een API kan je informatie makkelijker herbruikbaar maken voor programmeurs. Een API dient als interface tussen verschillende softwareprogramma's. Het zorgt ervoor dat een applicatie automatisch toegang krijgt tot bepaalde informatie en/of functionaliteiten. Een aantal aanbieders van open data bij de overheid, ontsluiten hun gegevens al met behulp van een API. Deze API’s leveren in veel gevallen een rechtstreekse “kopie” van de data, met alle complexiteit van dien.
API Strategie en Nederlands profiel OAuth
Na een consultatie van de API Strategie en het OAuth Profiel zijn in juli 2019 de nieuwe versies gepubliceerd.
Het kennisplatform richt zich nu op het bestuurlijk verankerd krijgen van de inhoud van de strategie en het verder uitwerken van onderwerpen als “signing en encryptie”, extensies op API design-rules en privacy, openheid, rechten en plichten.
Voor het Nederlands profiel OAuth zal nu vaststelling volgen op de pas toe of leg uit lijst van het Forum standaardisatie. Daarnaast wordt de inbeheername bij de beoogde beheerpartij Logius formeel geregeld. Met behulp van API’s (Application Programming Interfaces) kan je digitale gegevens makkelijker herbruikbaar maken voor programmeurs.
Bekijk de actuele versies van de API strategie en het profiel OAuth
Waarom een kennisplatform API's?
Het Kennisplatform API's wil API's beter bij de vraag aan laten sluiten, kennis over het toepassen van API's uitwisselen en de aanpak bij verschillende organisaties op elkaar afstemmen en waar nodig standaardiseren. Deze wens hebben we vastgelegd in een manifest die door diverse organisaties is ondertekend waaronder het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, PinkRoccade, Vicrea, VNG Realisatie, Forum Standaardisatie, Logius, Geonovum, Centric, Digicosmos, APIwise en SWIS.
Een voorbeeld van waar binnen de overheid actief wordt gewerkt aan het mogelijk maken van interactie op basis van API’s is de Omgevingswet. Ambitie van de Omgevingswet is dat burgers of bedrijven bij een aanvraag van een omgevingsvergunning over dezelfde informatie beschikken als de overheid die de vergunning beoordeelt. In het bij elkaar brengen van deze informatie spelen API’s een rol. Bovendien moeten burgers en bedrijven niet alleen via een overheidswebsite kunnen communiceren, maar ook via apps op telefoons en tablets. Het moet voor iedereen mogelijk zijn om voor de Omgevingswet nieuwe applicaties te ontwikkelen. Om dit mogelijk te maken, moeten API’s met omgevingswetinformatie en -functionaliteit (niet enkel data) voor iedereen op een gebruiksvriendelijke manier beschikbaar komen. Er zijn dus twee soorten gebruikers om rekening mee te houden: de eindgebruiker en de softwareontwikkelaar. Het resultaat tot nu toe kan je bekijken en beproeven op het pre-omgevingswet ontwikkelaarsportaal.
In het Kennisplatform verkennen we in werkgroepen de verschillende aspecten rond het gebruik en toepassing van API's door de overheid.
Gebruikersverhalen
Over het gebruik van APIs zijn ter inspiratie verschillende mensen geïnterviewd.
Kadaster wint prijs “beste API van de overheid”
Op 13 februari 2019 heeft het Kennisplatform API’s de door het Kadaster ontwikkelde API van de Basisregistratie Adressen en Gebouwen (BAG) uitgeroepen tot beste API van de overheid. Namens alle ontwikkelaars nam Janette Storm van Kadaster het gouden aapje en oorkonde in ontvangst. Eervolle vermeldingen gingen naar de API’s van de Kamer van Koophandel en die van het Luchtmeetnet.
Werkgroepen
Op 4 maart 2020 hebben zich zes API werkgroepen gepresenteerd. We stellen de werkgroepen hieronder aan je voor.
De API’s worden volwassen: Design rules worden een verplichte standaard
API design rules | Jasper Roes en Joost Farla (Kadaster)
Nu de API Designrules zijn voorgedragen als standaard op de pas toe of leg uit lijst is het belangrijk dat ze alle behoeftes afdekken. In de werkgroep REST API Design Rules ga je aan de slag om de design rules meer volwassen te maken. We moeten nog een aantal openstaande punten oppakken zodat er een stabiele versie op de pas-toe-of-leg-uit lijst gezet kan worden. Daarna willen we een aantal specifieke onderwerpen voor extensies verder uitwerken. Meedoen?
Veilige APIs
Beveiliging | Paul van Dam [Lexdigitalis] en Frank Terpstra [Geonovum]
De werkgroep beveiliging wil generieke normen opstellen voor het beveiligen van API’s: wanneer gebruik je bestaande standaarden en middelen als OAuth, PKIOverheid. Daarnaast kijken we specifiek naar signing en encryptie, wanneer is het verstandig dit toe te passen en welke valkuilen moet je vermijden. Tijdens de werksessie van 4 maart is alvast wat documentatie doorgenomen. Om te beginnen de extensies. Vervolgens hebben we ingezoomd op API security en Signing & Encryption. Tijdens de workshop gaf een van de deelnemers een toelichting vanuit de praktijk over hoe specifieke issue token based authorization niet goed werkt met webbrowser clients. Zie voor meer informatie hierover github en supertokens. Wil jij samen met ons dit soort vraagstukken uitwerken?
Voor de optimale gebruikservaring: API servicemanagement en API dienstverlening
API servicemanagement en dienstverlening | Matthias Snoei [Swis]
Het ervaren gebruiksgemak van een API is mede afhankelijk van het serviceniveau. In de werksessie van 4 maart kwamen ondermeer vragen op als: wie is er eigenaar en wie is gebruiker. Bij het doorleveren van gegevens via API’s is dit soms lastig vast te stellen. Hoe richt je ‘Service Management’ in en hoe ga je om met betaalde dienstverlening? Wat is ‘Quality of Service’; zijn daar modellen voor? Is het mogelijk om een ‘vingeroefening’ te doen met onderling verrekenen binnen de overheid? Wie levert er wat aan wie en tegen welke prijs? Deze werkgroep wil praktische handreikingen gaan bieden voor dit soort vragen.
Handen op elkaar voor gezamenlijk API beleid
API strategie en beleid | Han Zuidweg [Forum Standaardisatie]
Hoe realiseren we één gezamenlijk API beleid voor de overheid? En hoe krijgen we de API strategie geadopteerd èn geïmplementeerd bij de tien grote uitvoerdersorganisaties van het rijk?
Verschillende organisaties binnen de overheid werken aan API strategie en beleid. Bijvoorbeeld het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Logius (Digikoppeling), VNG Realisatie (Common Ground), een aantal gemeenten (Haal Centraal) en het Digitaal Stelsel Omgevingswet. De werkgroep API Strategie en Beleid van het Kennisplatform APIs heeft als doel om een API Strategie voor de overheid te formuleren. Daarbij gaan we uit van de hierboven genoemde initiatieven. Het doel is om nog in 2020 een API strategie en beleid in concept op te leveren die omarmd wordt door tenminste 10 grote uitvoerende organisaties. Als opwarmer voor de activiteiten van de werkgroep hielden we op 4 maart alvast een peiling voor de richting van de Strategie. De resultaten daarvan kan je bekijken op Github. Meedoen in deze werkgroep?
API’s in de architectuur
Architectuur | Peter Haasnoot [Logius]
De werkgroep API Architectuur richt zich op het ontwikkelen en delen van praktische architectuur kaders en visuele modellen van het API landschap die de Nederlandse Overheids API strategie ondersteunen. Inzicht in de samenhang van API gerelateerde onderwerpen helpt om te komen tot een gemeenschappelijk begrippenkader en een gemeenschappelijke visie op API's binnen de overheid. Deze werkgroep gaat ook het thema API Architectuur binnen de NORA uitwerken. Tijdens de werksessie van 4 maart is een enquête gehouden onder de deelnemers om te zien wat zij de belangrijkste onderwerpen vonden. De top 3 die hieruit voortkwam, willen we nu als eerste gaan oppakken:
- Informatiearchitectuur (relatie/koppeling informatiemodel & API),
- Event Driven processen & Notificaties,
- Beveiligingsarchitectuur
Zie ook de handout van 4 maart 2020
Wil jij mee ontwerpen aan deze architectuur?
API Design Visie: Vind jouw API style
API Design Visie | Cathy Dingemanse [product owner Haal Centraal]
Hoe bewust denk je na over de doelen die je met de API wilt bereiken? Wil je bijvoorbeeld voorkomen dat de gegevens die je levert verkeerd worden gebruikt? Is het belangrijk dat je API performt en schaalbaar is? Of is het vooral belangrijk om ontwikkelkosten en beheerlasten voor gebruikers laag te houden? Voor de meeste doelen is er een bijpassende API style te vinden. Er zijn allerhande design principes voor handen die je kunt toepassen. Zodat je een API ontwikkelt die doet waarvoor hij bedoeld is. De API Design visie is geen keurslijf, maar bedoeld om bewustere keuzes te maken bij de ontwikkeling van API’s.
Automatische kwaliteitstooling in de maak
Het ministerie van BZK en VNG Realisatie werken aan tooling waarmee je op https://developer.overheid.nl en https://api-test.nl automatisch een kwaliteitscheck kunt uitvoeren op een API. In een gastworkshop op 4 maart, kon je meedenken over welke features er nog ontwikkeld moeten worden zodat deze tools optimaal bijdragen aan het verbeteren van de kwaliteit van API’s. Er wordt gewerkt aan de volgende onderwerpen:
- Automatisch testen van API Design Rules (voor zover mogelijk).
- Inhoudelijk testen van (provider) API’s. Bijvoorbeeld voldoet een API aan zijn OAS-specificatie? Testscripts worden meestal nog met de hand geschreven. In hoeverre is het mogelijk om dergelijke scripts automatisch te genereren?
- Testen van consumers. Meestal worden alleen de provider API’s getest. Is het ook nuttig om de consumers, oftewel de apps en applicaties die gebruik maken van API’s, te testen of ze die wel op de correcte manier aanroepen. Hoe voer je dergelijke tests uit en hoe maak je ze inzichtelijk?
- Hoe zorgen we ervoor dat tools zoals developer.overheid.nl en api-test.nl eenvoudig te gebruiken zijn? Bijvoorbeeld door beide platforms zoveel mogelijk te integreren en te laten voldoen aan dezelfde look & feel.
Zie ook de presentatie van 4 maart.
Meer weten? Meld je aan!
Deze groep is een initiatief van Henri Korver [VNG api-test.nl], Theo Peters en Eelco Hotting [VNG developer.overheid.nl]
Blijf op de hoogte
Met enige regelmaat brengen wij een nieuwsbrief uit met daarin het laatste nieuws over het Kennisplatform. Wil je door ons op de hoogte worden gehouden? Selecteer dan de vinkbox Kennisplatform API in de lijst met nieuwsbrieven.
