Belangrijke wijziging Loket.nl: voorkom een storing en handel voor einde augustus

Loket is altijd bezig met het verbeteren van de werking van haar salarispakket. Een aantal wijzigingen rondom het autorisatiemodel van Loket passen niet binnen de opzet van de Invantive-gebaseerde producten. Dit betreft de autorisatie van werkgevers en “teams”. Alle commercieel verkrijgbare beschikbare Invantive-producten gaan er van uit dat de authenticatie (“wie is dit?”) en de autorisatie (“welke gegevens zijn beschikbaar?”) volledig binnen de aangeroepen API’s plaatsvinden. Hierdoor loopt Invantive geen risico voor het ontstaan van een datalek binnen Invantive SQL; het concept borgt de informatiebeveiliging doordat de verantwoordelijkheid qua autorisatie en authenticatie is gedelegeerd naar het achterliggende cloudplatform.

Deze borging is vervallen. Vanuit de visie op de gewenste werking van de Invantive-producten zal Invantive wel de SQL-engine blijven leveren voor Loket, maar zal het uiterlijk per ultimo augustus 2022 niet meer mogelijk zijn om gebruik te maken van de momenteel in gebruik zijnde Invantive app-registratie. Vanuit informatiebeveiligingsoogpunt kan de geautomatiseerde borging vervangen worden door borging elders in het controleraamwerk. Hieronder leest u hoe.

Impact voor accountants

Accountants kunnen Invantive blijven gebruiken in combinatie met Loket. U dient zelf in overleg te treden met Loket om een eigen client ID en bijbehorende “scopes” te verwerven. Aangezien u als accountant zelf in-control bent voor alle rechten op de autorisaties van werkgevers is de dataveiligheid geborgd.

In de on-premises versies zal het vanaf de release 22.0.318 mogelijk zijn de eigen client ID, client secret en redirect URL mee te geven in de connection string. Voor ultimo augustus zal op Invantive Cloud via “Bring Your Own App” een nieuwe Loket-database geregistreerd kunnen worden of een bestaande Loket-datacontainer binnen een database kan met de knop “Vernieuw autorisaties” omgezet worden naar “Bring Your Own App”. We adviseren u hier graag bij.

U dient er van uit te gaan dat de huidige verwerking van Loket-gegevens per ultimo augustus 2022 eindigt en vervangen dient te zijn door het beschreven alternatief.

Impact voor werkgevers

Voor werkgevers die via hun accountant toegang krijgen tot Loket zal Invantive binnen de Invantive softwareproducten geen alternatieven beschikbaar stellen: het is niet mogelijk om het door ons gewenste niveau van informatiebeveiliging te realiseren. We raden u aan om contact te zoeken met uw accountant om op een andere wijze toegang te krijgen tot de in Loket aanwezige data. Mogelijkerwijs kan uw accountant zoals boven beschreven u op een andere wijze toegang verlenen. Als dat gebeurt op basis van een Invantive-product dan is het voorstelbaar dat het datamodel vrijwel identiek blijft aan het bestaande datamodel. We adviseren uw accountant hier graag bij.

U dient er van uit te gaan dat de huidige verwerking van Loket-gegevens per ultimo augustus 2022 eindigt.

Eigen client ID

Voor uw eigen client ID kunt u qua scopes het beste vragen om zoveel mogelijk behoudens BSN. Een kopie van de rechten van de Invantive client ID vermijdt bijstellen.

Voor de redirect URL kunt u voor Invantive Cloud de volgende URL gebruiken:

https://cloud.invantive.com/app/setup/databases/new/loket/token

Voor on-premises gebruik met Invantive Query Tool of Invantive Data Hub kunt u een eigen veilige URL gebruiken of anders:

https://clientredirect.invantive.com

Algemeen

Zowel voor accountants als werkgever kan het een alternatief zijn om de data handmatig uit Loket op te halen / te downloaden waar mogelijk.

Gelieve voor eventuele inhoudelijke vragen een antwoord achter te laten op deze forums. Voor niet-productinhoudelijke vragen verzoeken we u telefonisch contact op te nemen met Invantive.

De SQL- en Power BI-koppeling met Loket zal naar verwachting 1 september 2022 niet meer werken via Invantive tenzij de gebruiker een eigen zogenaamde “client ID” gebruikt binnen Invantive of de “client ID” van de accountant. Met een eigen of de client ID van de accountant is het gebruik met Invantive Cloud wel mogelijk in combinatie met Loket.

Er wordt dus gewisseld van alleen de optie “Invantive Cloud app” voor connectiviteit naar de “Bring Your Own App”. Dit is een veelgebruikt mechanisme op Invantive Cloud. Voor bijvoorbeeld Exact Online zijn beide opties mogelijk; zie bijvoorbeeld Autorisatie vernieuwen vereenvoudigd met Bring Your Own App op Exact Online.

De koppeling met Loket is niet meer beschikbaar sinds 23 september 2022 tenzij de gebruiker een eigen zogenaamde “client ID” gebruikt binnen Invantive of de “client ID” van de accountant. Met een eigen of de client ID van de accountant is het gebruik met Invantive Cloud wel mogelijk in combinatie met Loket.

Bij gebruik van de niet-meer geldige client ID van Loket zal een foutmelding optreden (afhankelijk van platform):

itgenoda221
Voor het gebruik van de code grant flow met een refresh token is de aanwezigheid van een client-ID vereist.
Geef s.v.p. de klant ID op om de applicatie te identificeren.

Of:

itgenoam029
A redirect URL is required for provider ‘’.
Please specify the redirect URL as defined with the app.

Naar verluidt kost het verwerven van een client ID met bijbehorend secret en scopes op Loket EUR 950.