Geonovum is samen met Bureau Forum Standaardisatie, Kamer van Koophandel, VNG Realisatie, Logius en het Kadaster het Kennisplatform API's gestart. Gezien de ontwikkeling naar een digitale samenleving waar veel digitale diensten eenvoudig met elkaar moeten kunnen samenwerken, geloven wij dat de Nederlandse overheid baat heeft bij een Kennisplatform API’s, waarin we gezamenlijk kijken naar strategische en tactische vraagstukken rond het ontwikkelen van API’s door de overheid en gebruik van deze APIs buiten en binnen de overheid.
Wat is een API?
API’s (Application Programming Interfaces) spelen een belangrijke rol op het Internet. Met behulp van een API kan je informatie makkelijker herbruikbaar maken voor programmeurs. Een API dient als interface tussen verschillende softwareprogramma's. Het zorgt ervoor dat een applicatie automatisch toegang krijgt tot bepaalde informatie en/of functionaliteiten. Een aantal aanbieders van open data bij de overheid, ontsluiten hun gegevens al met behulp van een API. Deze API’s leveren in veel gevallen een rechtstreekse “kopie” van de data, met alle complexiteit van dien.
Gebruikersverhalen
Waarom een kennisplatform API's?
Het Kennisplatform API's wil API's beter bij de vraag aan laten sluiten, kennis over het toepassen van API's uitwisselen en de aanpak bij verschillende organisaties op elkaar afstemmen en waar nodig standaardiseren. Deze wens hebben we vastgelegd in een manifest die door diverse organisaties is ondertekend waaronder het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, PinkRoccade, Vicrea, VNG Realisatie, Forum Standaardisatie, Logius, Geonovum, Centric, Digicosmos, APIwise en SWIS.
Een voorbeeld van waar binnen de overheid actief wordt gewerkt aan het mogelijk maken van interactie op basis van API’s is de Omgevingswet. Ambitie van de Omgevingswet is dat burgers of bedrijven bij een aanvraag van een omgevingsvergunning over dezelfde informatie beschikken als de overheid die de vergunning beoordeelt. In het bij elkaar brengen van deze informatie spelen API’s een rol. Bovendien moeten burgers en bedrijven niet alleen via een overheidswebsite kunnen communiceren, maar ook via apps op telefoons en tablets. Het moet voor iedereen mogelijk zijn om voor de Omgevingswet nieuwe applicaties te ontwikkelen. Om dit mogelijk te maken, moeten API’s met omgevingswetinformatie en -functionaliteit (niet enkel data) voor iedereen op een gebruiksvriendelijke manier beschikbaar komen. Er zijn dus twee soorten gebruikers om rekening mee te houden: de eindgebruiker en de softwareontwikkelaar. Het resultaat tot nu toe kan je bekijken en beproeven op het pre-omgevingswet ontwikkelaarsportaal.
In het Kennisplatform verkennen we in werkgroepen de verschillende aspecten rond het gebruik en toepassing van API's door de overheid.
Gouden API-staart
Het Kennisplatform API reikt in 2021 gouden API-staarten uit. De gouden API-staart is een award voor vooruitstrevende API initiatieven. De eerste API-staart van het jaar reiken we in februari uit. Aan wie? Dat houden we nog even geheim... Je leest er meer over in de volgende nieuwsbrief. Is er een API (initiatief) die het verdient om in het zonnetje te worden gezet? Laat het ons weten! Stuur een mail aan het Kennisplatform en we nemen contact met je op.
API Strategie
Het Kennisplatform API werkt aan de Nederlandse API Strategie. De volledige Nederlandse API Strategie bestaat uit:
| Part | Description | Status | Link |
|---|---|---|---|
| I | General description of the API Strategy | Informative | https://docs.geostandaarden.nl/api/API-Strategie/ |
| IIa | Standard for designing APIs | Normative | https://publicatie.centrumvoorstandaarden.nl/api/API-Designrules/ |
| IIb | Extension on the Standard for designing APIs | Informative | https://docs.geostandaarden.nl/api/API-Strategie-ext/ |
REST API Design rules en OAUTH profiel op Pas-toe-leg-uit lijst
Op 9 juli 2020 zijn twee standaarden goedgekeurd die zijn voorbereid door werkgroepen van het Kennisplatform API: de REST API Design Rules en NL GOV Assurance profile for OAuth 2.0.
Beide standaarden staan op de lijst met verplichte open standaarden van het Forum Standaardisatie. Dit betekent dat de standaard REST-API Design Rules moet worden toegepast bij het aanbieden van REST-API’s voor het ontsluiten van overheidsinformatie of functionaliteit. Het NL GOV OAuth-profiel moet worden toegepast wanneer rechthebbende gebruikers of 'resource owners' van een applicatie via impliciete of expliciete toestemming een dienst van een derde toegang geven tot die applicatie om gegevens via een REST-API te gebruiken.
Week van de API
Van 30 november tot en met 4 december 2020 organiseerden ICTU en Kennisplatform API de Week van de API. Iedere dag presenteerden zij een nieuw college over het maken en toepassen van API’s, gevolgd door een live Q&A. Op 3 december was er een API talkshow te volgen waarin gasten uit binnen- en buitenland vertelden over actuele ontwikkelingen. Alle sessies zijn terug te kijken via onderstaande links.
Werkgroepen
Op 4 maart 2020 hebben zich zes API werkgroepen gepresenteerd. We stellen de werkgroepen hieronder aan je voor.
De API’s worden volwassen: Design rules worden een verplichte standaard
API design rules | Jasper Roes en Joost Farla (Kadaster)
Nu de API Designrules zijn voorgedragen als standaard op de pas toe of leg uit lijst is het belangrijk dat ze alle behoeftes afdekken. In de werkgroep REST API Design Rules ga je aan de slag om de design rules meer volwassen te maken. We moeten nog een aantal openstaande punten oppakken zodat er een stabiele versie op de pas-toe-of-leg-uit lijst gezet kan worden. Daarna willen we een aantal specifieke onderwerpen voor extensies verder uitwerken. Meedoen?
Veilige APIs
API beveiliging | Paul van Dam [Lexdigitalis] en Frank Terpstra [Geonovum]
De werkgroep beveiliging wil generieke normen opstellen voor het beveiligen van API’s: wanneer gebruik je bestaande standaarden en middelen als OAuth, PKIOverheid. Daarnaast kijken we specifiek naar signing en encryptie, wanneer is het verstandig dit toe te passen en welke valkuilen moet je vermijden. Tijdens de werksessie van 4 maart is alvast wat documentatie doorgenomen. Om te beginnen de extensies. Vervolgens hebben we ingezoomd op API security en Signing & Encryption. Tijdens de workshop gaf een van de deelnemers een toelichting vanuit de praktijk over hoe specifieke issue token based authorization niet goed werkt met webbrowser clients. Zie voor meer informatie hierover github en supertokens. Wil jij samen met ons dit soort vraagstukken uitwerken?
Voor de optimale gebruikservaring: API servicemanagement en API dienstverlening
API servicemanagement en dienstverlening
Het ervaren gebruiksgemak van een API is mede afhankelijk van het serviceniveau. In de werksessie van 4 maart kwamen ondermeer vragen op als: wie is er eigenaar en wie is gebruiker. Bij het doorleveren van gegevens via API’s is dit soms lastig vast te stellen. Hoe richt je ‘Service Management’ in en hoe ga je om met betaalde dienstverlening? Wat is ‘Quality of Service’; zijn daar modellen voor? Is het mogelijk om een ‘vingeroefening’ te doen met onderling verrekenen binnen de overheid? Wie levert er wat aan wie en tegen welke prijs? Deze werkgroep wil praktische handreikingen gaan bieden voor dit soort vragen.
Handen op elkaar voor gezamenlijk API beleid
API strategie en beleid | Han Zuidweg [Forum Standaardisatie]
Hoe realiseren we één gezamenlijk API beleid voor de overheid? En hoe krijgen we de API strategie geadopteerd èn geïmplementeerd bij de tien grote uitvoerdersorganisaties van het rijk?
Verschillende organisaties binnen de overheid werken aan API strategie en beleid. Bijvoorbeeld het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Logius (Digikoppeling), VNG Realisatie (Common Ground), een aantal gemeenten (Haal Centraal) en het Digitaal Stelsel Omgevingswet. De werkgroep API Strategie en Beleid van het Kennisplatform APIs heeft als doel om een API Strategie voor de overheid te formuleren. Daarbij gaan we uit van de hierboven genoemde initiatieven. Het doel is om nog in 2020 een API strategie en beleid in concept op te leveren die omarmd wordt door tenminste 10 grote uitvoerende organisaties. Als opwarmer voor de activiteiten van de werkgroep hielden we op 4 maart alvast een peiling voor de richting van de Strategie. De resultaten daarvan kan je bekijken op Github. Meedoen in deze werkgroep?
API’s in de architectuur
API architectuur | Peter Haasnoot [Logius]
De werkgroep API Architectuur richt zich op het ontwikkelen en delen van praktische architectuur kaders en visuele modellen van het API landschap die de Nederlandse Overheids API strategie ondersteunen. Inzicht in de samenhang van API gerelateerde onderwerpen helpt om te komen tot een gemeenschappelijk begrippenkader en een gemeenschappelijke visie op API's binnen de overheid. Deze werkgroep gaat ook het thema API Architectuur binnen de NORA uitwerken. Tijdens de werksessie van 4 maart is een enquête gehouden onder de deelnemers om te zien wat zij de belangrijkste onderwerpen vonden. De top 3 die hieruit voortkwam, willen we nu als eerste gaan oppakken:
- Informatiearchitectuur (relatie/koppeling informatiemodel & API),
- Event Driven processen & Notificaties,
- Beveiligingsarchitectuur
Zie ook de handout van 4 maart 2020
Wil jij mee ontwerpen aan deze architectuur?
API Design Visie: Vind jouw API style
API design visie | Cathy Dingemanse [product owner Haal Centraal]
Hoe bewust denk je na over de doelen die je met de API wilt bereiken? Wil je bijvoorbeeld voorkomen dat de gegevens die je levert verkeerd worden gebruikt? Is het belangrijk dat je API performt en schaalbaar is? Of is het vooral belangrijk om ontwikkelkosten en beheerlasten voor gebruikers laag te houden? Voor de meeste doelen is er een bijpassende API style te vinden. Er zijn allerhande design principes voor handen die je kunt toepassen. Zodat je een API ontwikkelt die doet waarvoor hij bedoeld is. De API Design visie is geen keurslijf, maar bedoeld om bewustere keuzes te maken bij de ontwikkeling van API’s.
Automatische kwaliteitstooling in de maak
Het ministerie van BZK en VNG Realisatie werken aan tooling waarmee je op https://developer.overheid.nl en https://api-test.nl automatisch een kwaliteitscheck kunt uitvoeren op een API. In een gastworkshop op 4 maart, kon je meedenken over welke features er nog ontwikkeld moeten worden zodat deze tools optimaal bijdragen aan het verbeteren van de kwaliteit van API’s. Er wordt gewerkt aan de volgende onderwerpen:
- Automatisch testen van API Design Rules (voor zover mogelijk).
- Inhoudelijk testen van (provider) API’s. Bijvoorbeeld voldoet een API aan zijn OAS-specificatie? Testscripts worden meestal nog met de hand geschreven. In hoeverre is het mogelijk om dergelijke scripts automatisch te genereren?
- Testen van consumers. Meestal worden alleen de provider API’s getest. Is het ook nuttig om de consumers, oftewel de apps en applicaties die gebruik maken van API’s, te testen of ze die wel op de correcte manier aanroepen. Hoe voer je dergelijke tests uit en hoe maak je ze inzichtelijk?
- Hoe zorgen we ervoor dat tools zoals developer.overheid.nl en api-test.nl eenvoudig te gebruiken zijn? Bijvoorbeeld door beide platforms zoveel mogelijk te integreren en te laten voldoen aan dezelfde look & feel.
Zie ook de presentatie van 4 maart.
Deze groep is een initiatief van Henri Korver [VNG api-test.nl], Theo Peters en Eelco Hotting [VNG developer.overheid.nl]
Meedoen?
Het Kennisplatform API is een open platform waar overheden, marktpartijen, gebruikers en aanbieders samen werken aan een Nederlandse API strategie en alles wat daar verder bij komt kijken. Wil je meedoen?
meld je aan voor de werkgroep(en)
Blijf op de hoogte
Met enige regelmaat brengen wij een nieuwsbrief uit met daarin het laatste nieuws over het Kennisplatform. Wil je door ons op de hoogte worden gehouden? Selecteer dan de vinkbox Kennisplatform API in de lijst met nieuwsbrieven.
