Aanvulling algemene FHIR IG met informatie uit MedMij RFC0041

Betreft: FHIR IG STU3

Dit ticket brengt de mogelijke gevolgen van RFC00041 in het Afsprakenstelsel in beeld:

1. Suggestie: terugbrengen van HTTP 401 bij ontbreken van een token in het request en bij ongeldig/verlopen token ( RFC6750 ). Deze was er via MM-1651 uit verwijderd. HTTP 401 is gedocumenteerd in de search-sectie van de FHIR API voor precies dit doel. De search specificatie zelf heeft het alleen over HTTP 403 maar dat is een stap verder, namelijk in de verwerking van de vraag zelf.
   • Let op: de huidige specificatie bij HTTP 403 heeft wat onderspecificatie door alleen "Invalid authorization" te noemen zonder te duiden wat dat is. In de voorgestelde situatie zou dat zijn bij "geldig token maar met andere/verkeerde scope"
2. Suggestie: uitbreiding van redenen om een HTTP 400 te sturen zodat deze ook mismatches in headers dekt en parsing problemen van HTTP Body omvat. Dat laatste lijkt wel lichtelijk gedekt in de opsomming net boven de tabel voor de HTTP status codes.
3. Suggestie: uitbreiding van redenen om een HTTP 403 te sturen zodat deze ook de 'late variant' van beschikbaarheidstoets en ontvankelijkheidstoets omvat. Bijv. als de resource server ontdekt dat de persoon iemand onder de 16 is of waarvoor nog geen afspraak is om data naar de zorgaanbieder te sturen.