Opdrachtgever: Ministerie van Defensie

Functie: (Senior) Adviseur informatiebeveiliging en privacybescherming

Locatie: Utrecht

Uren per week: 32

Gewenste startdatum: maandag 1 april 2024

Initiële einddatum: maandag 31 maart 2025

Optie op verlenging: Ja

Opdrachtomschrijving

Werkzaamheden 1. Ondersteunt de Information Security & Privacy Officer bij het ontwikkelen, actueel houden, aanpassen en implementeren van het informatiebeveiligings- en privacybeleid voor het MGZ-domein en draagt daarmee bij aan het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van de (digitale) informatievoorziening (IV) en de rechtmatige verwerking van (bijzondere) persoonsgegevens door: – het volgen en bijhouden van ontwikkelingen op het gebied van informatiebeveiliging en privacybescherming en het beoordelen van de gevolgen hiervan voor het MGZ-domein; – het ondersteunen bij het vertalen van eisen uit relevante wet- en regelgeving (zoals de AVG, de WGBO, de WegiZ) naar randvoorwaarden en eisen op het gebied van informatiebeveiliging en privacybescherming; – het ondersteunen bij het vertalen van de IV-visie en strategie MGZ naar randvoorwaarden en eisen op het gebied van informatiebeveiliging en privacybescherming; – het aanpassen en toepassen van het beleid op het gebied van informatiebeveiliging en privacybescherming voor het MGZ-domein; – het uitwerken van richtlijnen, uitvoeringsbepalingen en procedures op het gebied van informatiebeveiliging en privacybescherming voor de MGZ aan de hand van beleid van de HDBV en andere voor het functiegebied relevante beleidsbepalende instanties en functionarissen (o.a. BA, FG, IMG); – het opstellen en actueel houden van een normenkader informatiebeveiliging en privacybescherming voor de MGZ; – het geven van advies en bieden van expertise bij beleidsvertaling naar implementeerbaar informatiebeveiligings- en privacybeleid binnen het MGZ-domein.

2. Ondersteunt Information Security & Privacy Officer bij het verkrijgen en behouden van de noodzakelijke certificeringen op de ISO27001, ISO27701 en de NEN7510 norm voor de staf en voor de verschillende zorgbedrijven, door zorg te dragen voor het beheer van het Information Security & Privacy Management Systems (IPMS) door: – Het ondersteunen bij het integreren van het IPMS met het kwaliteitsmanagement systeem (KMS – ISO9001) binnen de staf en de zorgbedrijven; – Het voorbereiden van de periodieke vergaderingen met de informatiebeveiligingscommissies (IBC) van de staf en de verschillende zorgbedrijven; – Het actueel houden van het de Meten en Monitoren tool van de staf / zorgbedrijf door de lopende acties, risico’s en de status van de mitigerende maatregelen op geconstateerde afwijkingen tijdens de interne of externe audits te monitoren; – Het plannen en uitvoeren van interne audits op het gebied van informatiebeveiliging en privacybescherming als onderdeel van het managementsysteem en het ondersteunen van de zorgbedrijven bij het uitvoeren van de geplande interne audits; – Het ondersteunen bij het uitvoeren van risico analyses door het signaleren van informatiebeveiligings- en privacyrisico’s, het initiëren van voorstellen voor maatregelen om deze risico’s te mitigeren en het actueel houden van het risicoregister voor de staf / zorgbedrijf; – het ondersteunen bij het opzetten en initiëren van periodieke informatiebeveiligings- en privacybewustzijn programma’s en adviseren over voorlichting en training van de ISPO aan de gebruikers in het correct omgaan met informatie(systemen) en digitale (persoonsgebonden/bijzondere) gegevens; – Het identificeren van verwerkingen van persoonsgegevens en het onderhouden van het Defensie register met gegevensverwerkingen; – Het vaststellen risicovolle gegevensverwerkingen waar een Data Privacy Impact Analyse (DPIA) voor nodig is en het (samen met de staf / zorgbedrijven) initiëren en uitwerken van DPIA’s in de rol van penvoerder; – Het ondersteunen van de staf / zorgbedrijven bij het uitvoeren van de operationele planning als onderdeel van het ISMS; – Het ondersteunen bij het opstellen van een auditjaarplan voor de MGZ

het ondersteunen bij het organiseren en voorbereiden van externe (certificerings)audits; het opstellen van periodieke rapportages over het gevoerde informatiebeveiligingsbeleid en privacybeleid, de voortgang van implementatie van mitigerende maatregelen, opgetreden incidenten, ondernomen acties, resultaten van onderzoeken en resultaten van uitgevoerde controles. 

3. Is ondersteunend en adviserend bij het operationaliseren van het informatiebeveiligings- en privacybeleid, richtlijnen en procedures van de staf en de zorgbedrijven door:

– Het ondersteunen bij het opstellen, afstemmen en implementeren van noodzakelijke procedures, richtlijnen en werkinstructies;

– Het optreden als aanspreekpunt voor de staf en de zorgbedrijven;

– Het voeren van overleg met de AVG point of Contacts en de beveiligingsfunctionarissen van de staf en de zorgbedrijven;

– Het ondersteunen bij het registreren en afhandelen van informatiebeveiligingsincidenten en datalekken en het registreren van de te treffen maatregelen in de Meten en Monitoren tool van de staf / zorgbedrijf;

– Het bieden van ondersteuning in de formulering van eisen en wensen t.a.v. informatiebeveiliging en privacybescherming in aanbestedingstrajecten;

– Het gevraagd en ongevraagd adviseren over informatiebeveiligings- en privacyvraagstukken in relatie tot bijvoorbeeld de inzet cloud toepassingen binnen Defensie, innovaties op het gebied van het verwerken van gezondheidsinformatie zoals de inzet en gebruik van een PGO, het gebruik van sensoren et cetera;

– het beoordelen van rapportages van in- en externe auditinstanties aangaande de informatiebeveiliging en privacybescherming;

– het deelnemen in programma’s en projecten in de rol van adviseur/klankbord, quality assurance functionaris en (deel)projectleider.

De militaire gezondheidszorg is verantwoordelijk voor het leveren van reguliere en operationele geneeskundige ondersteuning met de beste zorg voor de (ingezette) militairen, houdt rekening met de voorziening van humanitaire hulp aan noodlijdende partijen en kan zo nodig voorzien in geneeskundige ondersteuning van de civiele autoriteiten. De militaire gezondheidszorg is ondergebracht binnen de Defensie Gezondheidszorg Organisatie (DGO) en meerdere defensieonderdelen (DO’n). De staf DGO bestaat uit de Commandogroep, de afdeling Strategische Militaire Gezondheidszorg (SMG), de afdeling Operationele Militaire Gezondheidszorg (OMG), de afdeling Reguliere Militaire Gezondheidszorg (RMG), de afdeling Bedrijfsvoering (BV), de afdeling Medisch Informatiemanagement (MIM), de afdeling Zorginformatie, declaratie en expertise (ZDE) en Team Duurzaam Gezond Inzetbaar. De afdeling Medisch Informatie Management (MIM) is belast met de ontwikkeling en instandhouding van de (digitale) informatievoorziening van de gehele militaire gezondheidszorg. De afdeling MIM bestaat uit een hoofd, een plaatsvervangend hoofd, (senior) informatiemanagers, (tijdelijke) projectleiders en de Information Security & Privacy Officer. De afdeling heeft een wisselend bestand aan tijdelijke medewerkers afhankelijk van de projecten die er op elk moment lopen. De Information Security & Privacy Officer treedt op als adviseur en intern auditor op het gebied van informatiebeveiliging en privacybescherming informatievoorziening binnen de militaire gezondheidszorg. Ter versterking van het team voor informatiebeveiliging en privacybescherming zijn wij op zoek naar een (senior) adviseur ter ondersteuning van de information Security & Privacy Officer.

Organisatorische context en cultuur

De werkzaamheden worden verricht vanuit de afdeling Medisch Informatie Management (MIM) van de Divisie Defensie Gezondheidszorg Organisatie (DGO) van het Defensie Ondersteuningscommando (DOSCO). De afdeling MIM is verantwoordelijk voor de vernieuwing, verbetering en continuiteit van de digitale informatievoorzieningen van de militaire gezondheidszorg. MIM bestaat uit de secties Informatiemanagement, Functioneel Beheer & Advies, Informatiebeveiliging & Privacybescherming en Projecten. De sectie Projecten ondersteunt de business bij de ontwikkeling en inrichting van de digitale informatievoorzieningen conform de binnen Defensie geldende projectmethodiek. De sectie is centraal gestationeerd in Utrecht op de Kromhout Kazerne.

Samenvattende opgave en missie

Garandeert de implementatie van het informatiebeveiligingsbeleid van de organisatie door het veilige en juiste gebruik van ICT-middelen. Definieert, stelt en implementeert noodzakelijke informatiebeveiligingstechnieken en -praktijken in overeenstemming met normen en procedures voor informatiebeveiliging. Draagt bij aan beveiligingspraktijken, bewustzijn en naleving door advies, ondersteuning, informatie en training.

taken

• Evalueer informatiebeveiligingsrisico’s, bedreigingen en consequenties en neem passende maatregelen

• Zorg voor training en voorlichting over informatiebeveiliging

• Technische validatie van beveiligingshulpmiddelen bieden, geschikte hulpmiddelen implementeren, configureren en beheren

• Bijdragen aan de definitie van en actief bevorderen van normen en procedures voor informatiebeveiliging in de IT- en IT-gebruikersgemeenschappen

• Identificeer en herstel beveiligingskwetsbaarheden

• Monitor beveiligingsontwikkelingen om de blijvende efficiëntie en effectiviteit van informatiebeveiligingsprocessen en -controles te waarborgen

• Evalueer proactief nieuwe bedreigingen en neem potentiële informatiebeveiligingsincidenten tegen

• Implementeert beveiligingstechnieken op alle of een deel van een applicatie, proces, netwerk of systeem binnen het verantwoordelijkheidsdomein

eisen

•  Minimaal 5 jaar aantoonbare werkervaring ten aanzien van het adviseren over, het opstellen en implementeren van een informatiebeveiligings- en privacybeleid binnen zorgorganisaties (met een sterk gedifferentieerde ITomgeving). 
•  Minimaal 5 jaar aantoonbare werkervaring in het begeleiden van zorgorganisaties met het inrichten en implementeren van een ISMS om te komen tot een ISO/NEN certificering (hands-on mentaliteit/ervaring wordt gevraagd; niet de ervaring als adviseur). 
•  Ervaring met integratie van managementsystemen ISO27001 en ISO9001 binnen zorgorganisaties (hands-on mentaliteit/ervaring is gevraagd; niet de ervaring als adviseur) 
• Afgeronde HBO opleiding (diploma)
• Gecertificeerd ISO27001 en ISO9001 lead auditor 
• Opleiding afgerond voor CIPP/e en/of CIPM 

wensen

• Afgeronde HBO of academische opleiding bedrijfskunde, (bestuurlijke) informatiekunde of informatica
• Minimaal 5 jaar aantoonbare werkervaring binnen zorgorganisaties ten aanzien het opstellen van een auditplanning en het bijbehorende werkprogramma, het uitvoeren van interne audits, het opstellen van auditrapportages, het monitoren van de opvolging van de bevindingen en het rapporteren van de voortgang.
• Opleiding afgerond voor CISSP en/of CISM 
• Opleiding afgerond voor ISO27701 lead auditor / lead implementor
• Opleiding afgerond voor RE en/of CISA