...

Senior Bedrijfsanalist

Logo van Dienst Uitvoering Onderwijs, Ministerie van Onderwijs, Cultuur en Wetenschap, met een blauw embleem met een gekroonde leeuw en tekst in het Nederlands.

Aanvraagnummer: 31244
Contractvorm: Detachering
Organisatie: Dienst Uitvoering Onderwijs (DUO)
Locatie: Groningen - Groningen
Uren per week: 36 per week
Tarief: Geen maximum
Duur van de opdracht: 11 maanden
Regio: Groningen
Startdatum: 02-03-2026
Optie tot verlenging: Mogelijk, maar nog niet bekend
Sluitingsdatum: 27-02-2026 14:00

LET OP! Deze opdracht is gesloten



Opdrachtomschrijving

Het te bereiken doel is een risico gerichte aanpak ontwikkelen om persoonsgegevens in de OTA-omgevingen zoveel mogelijk te verwijderen, met focus op aantoonbaar of in te schatten meest risicovolle situaties. Na afronding van het project moet aantoonbaar geconstateerd kunnen worden dat er aandacht is voor structurele monitoring en signalering. Afhankelijk van platform of omgeving moet worden gekeken naar methodes of acties om hergebruik van echte persoonsgegevens, zoals die in de PRD-omgeving voorkomen, te voorkomen, bijvoorbeeld door awareness te vergroten. Er is kennis en informatie beschikbaar, maar de analist heeft veel ruimte en vrijheid om verbetervoorstellen te doen.

De eerste inventarisatie richt zich onder andere op:

  • In kaart brengen van de omvang van het probleem: welke OTA-omgevingen en opslaglocaties zijn binnen DUO betrokken, zoals de E-machine, het aanwezige IFS, fileshares, soorten DBMS-en en platforms.
  • Stakeholderanalyse: welke teams, afdelingen en andere partijen zijn betrokken?
  • Risico-indeling: omvang van applicaties en populaties, aantal mensen met toegang, aanwezigheid van bijzondere persoonsgegevens, logging, koppelingen etc.
  • Mogelijkheden om grote datasets te testen met geanonimiseerde data.
  • Zoekmethoden naar aanwezige persoonsgegevens, waarbij tijdens de eerste steekproef werd besloten bestanden met gegevens van minder dan 5.000 personen buiten beschouwing te laten.
  • Criteria voor herkenning van persoonsgegevens: direct identificerend, indirect identificerend, bijzondere persoonsgegevens, combinaties.
  • Ontwikkeling of uitbreiding van gebruikte programma’s en scripts op basis van die criteria.
  • Inrichting van structureel zoeken en monitoren met zelfgebouwde scripts.
  • Vergelijkbare oplossingen bij andere (bij voorkeur overheids)organisaties.
  • Advies over toolingkeuze (maak of koop) met specificaties en mogelijkheden, waarbij eerdere afwegingen met tools zoals Varonis onvoldoende draagvlak boden.
  • Scenario’s voor het verwijderen of isoleren van niet-toegestane gegevens, waaronder het intrekken van autorisaties of plaatsing in quarantaine.
  • Beoordeling van beleid en procedures: zijn deze duidelijk beschreven, toegankelijk en worden ze nageleefd?

Huidige en toekomstige ontwikkelingen die relevant zijn zijn onder andere Agile Compliance, De Sleutelkast, de inrichting van het CDO-Office, de inzet van AI voor datazoektoepassingen en het gebruik van synthetische data in tests. Inzicht hierin helpt om de samenwerking te versterken.

Doelstellingen zijn samengevat als:

  • DUO-breed inzicht in de aard, omvang, inhoud en gebruik van OTA-omgevingen.
  • Bijdragen aan het gebruik van scripts, programma’s en tooling om gevonden persoonsgegevens te verwijderen, zowel eenmalig als in een structurele monitoringopzet.
  • Bijdragen aan voorstellen, experimenten en proeven die de doelstellingen ondersteunen, waaronder het vergroten van awareness en het voorkomen van hergebruik van persoonsgegevens.
  • Inzicht verschaffen in relevante ontwikkelingen binnen DUO en het leggen van verbindingen met deze trajecten.

DUO mag conform de Baseline Informatiebeveiliging Rijk en de AVG geen gebruik maken van niet-geanonimiseerde of niet-gepseudonimiseerde persoonsgegevens in de OTA-omgevingen (Ontwikkel-, Test- en Acceptatie-omgevingen). Deze omgevingen worden gebruikt voor het testen van aangepaste of nieuwe software alvorens inzet in de PRD-omgeving. De EXP-omgeving (Exploitatie-omgeving) valt buiten scope.

Begin 2024 is al gestart met het schoonmaken van gevoelige bestanden na een steekproef door een hacktester van het Ethical Hacking Team. Deze actie richtte zich op de E-machine en beperkte autorisaties, waardoor er mogelijk nog veel meer persoonsgegevens vernietigd moeten worden. De rapportage uit die periode, beschikbaar voor de analist, toont een lange voorgeschiedenis.

In de zomer van 2025 is een nieuwe steekproef uitgevoerd met een AS400-specialist en een DBA-specialist, waarbij opnieuw persoonsgegevens zijn aangetroffen die ook in de PRD-omgeving voorkomen. Op de E-machine bevinden deze gegevens zich vaker in bestanden of dossiers dan in databaseschema’s. De IFS (Integrated File System) huisvest veel mappen en bestanden, zowel persoonlijk als gebruikt bij tests met andere organisaties.

De opdracht luidt: “Schoon risicogericht aanwezige persoonsgegevens uit alle OTA-omgevingen, waaronder files, databases, datastores, datawarehouses en andere bestanden, ongeacht het type file.”

Er moet DUO-breed gekeken worden naar platformen, locaties en machines in zowel Groningen als Den Haag om vast te stellen waar het probleem zich voordoet. Gezien de omvang en aard moeten passende aanpakken ontwikkeld worden, met prioriteit voor de meest risicovolle locaties.

De afgelopen maanden is binnen DB2-databases met een zelfgebouwd programma gezocht naar BSN’s die niet voldoen aan afgesproken testcriteria. Ook wordt verkend hoe scripts binnen DOCBH kunnen zoeken naar BSN’s.

Verder zijn ontwikkelingen zoals DATPROF-anonimisering, synthetiseren van data, de verdere inrichting van het CDO-Office, het project Sleutelkast en andere Compliance op orde-trajecten relevant voor dit onderwerp.

Eisen

  • Afgeronde HBO- of WO-opleiding.
  • Aantoonbare kennis op het gebied van bedrijfsanalyse en consultancy.
  • Kennis en ervaring in het opstellen van requirements, analyses, procesbeschrijvingen en schema’s op systeemniveau.
  • Kennis van het IP-domein en bij voorkeur bekendheid met cijferprocessen.
  • Brede kennis van DUO-standaarden en systematiek.
  • Ervaring in het uitvoeren van informatieanalyses met meerdere processen, systemen en interne en externe stakeholders (minimaal drie jaar).
  • Ervaring met ketenpartners.
  • Opstellen van requirements en analyses, procesbeschrijvingen en schema’s op systeemniveau (minimaal drie jaar).

Wensen

  • Een of meerdere analyserapporten, onderzoeken, memo’s of andere producten die bijdragen aan de doelstellingen.

Competenties

  • Herkennen van kern en verbanden in situaties, vraagstukken en gegevens.
  • Selecteren van juiste informatie uit diverse bronnen.
  • Onderscheid maken tussen hoofd- en bijzaken.
  • Brengen van logische structuur in een veelheid aan informatie.
  • Verbanden leggen tussen gegevens en vraagstukken.
  • Onderscheid maken tussen oorzaak en gevolg.
  • Gebruik van verschillende invalshoeken bij analyses.
  • Adviesvaardigheden met uitstekende mondelinge en schriftelijke uitdrukkingsvaardigheden.

Aanvullende informatie

Wanneer u een professional aanbiedt en deze wordt geplaatst, is informatie over u als contractpartij benodigd, onder andere in het kader van de Wet keten- en inlenersaansprakelijkheid (WKA). Deze wet voorkomt misbruik bij de afdracht van loonheffingen in de keten. De risico’s worden gedekt via een geblokkeerde rekening (G-rekening) waarop een deel van het factuurbedrag wordt gestort voor loonheffingen en btw. Het af te storten percentage is afhankelijk van SNA-certificering (NEN-4400-1 of NEN-4400-2) en vestigingsplaats. De G-rekening kunt u aanvragen bij de Belastingdienst. Als een G-rekening niet mogelijk is (met bewijs van de Belastingdienst), kunt u elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aanleveren, waarin een gecertificeerd accountant (AA of RA) verklaart dat afdrachten juist, volledig en tijdig zijn verricht. De kosten voor deze verklaring zijn voor eigen rekening.