Screening
Inzetten bij Defensie zijn doorgaans voor langere tijd (1 tot maximaal 4 jaar). Voor deze functie moet een B-screening worden doorlopen met een gemiddelde duur van 6-8 weken.

Opdrachtomschrijving
Onderzoek naar de huidige en gewenste toekenning van autorisaties in Peoplesoft en daaraan gekoppelde systemen het P&O domein, het in kaart brengen van de gewenste en vereiste activiteiten ihkv informatiebeveiliging irt autorisatiebeheer en de te nemen maatregelen ter verbetering. Dit alles in het kader van AVG, BIR, D300 en relevante ISO- en NEN normen. Analyseren en ondersteuning in het op orde brengen van het autorisatiebeheer binnen het P&O-domein, waarbij onderzoek naar het volgende noodzakelijk is:
- Op welke punten voldoet de huidige werkwijze aan beleid en wet- en regelge-ving (AVG, WPG, ISO27001, NEN7510, etc.), en op welke punten (nog) niet?
- Welke autorisaties hebben P&O-functionarissen, op grond van welke criteria?
- Op welke wijze vindt logging plaats, hoe en hoe vaak wordt hierover gerappor-teerd en aan wie?

- Welke autorisaties zijn noodzakelijk per functiecode (rol)?
- Wat is de noodzakelijke reikwijdte van de autorisaties (DO, eenheid, bataljon, brigade, etc.)?

- Op technisch gebied (toekenning autorisaties, logging)
- Procesverbetering (monitoring, rapportage, controle, verbeteracties, verant-woordelijkheid en verantwoording)

Daarnaast zal de consultant worden ingezet voor de volgende taken:
2. Analyseren van bevindingen, knelpunten en behoeften in het gehele POM-domein op het gebied van privacy (AVG);
3. Mede opstellen van verbeterplannen, bijvoorbeeld voortkomend uit bevindingen van de ADR en het monitoren van de uitvoering van deze verbeterplannen.

Achtergrond opdracht
Autorisaties voor informatiesystemen, waaronder Peoplesoft, moeten worden toegekend op grond van het ‘need to know’- principe op basis van role-based access control (RBAC).
Hierbij wordt uitgegaan van de functiecode in de P&O-basisadministratie.
Op dit moment worden binnen het P&O-domein de autorisaties van P&O-medewerkers defensiebreed toegekend; alle P&O medewerkers met autorisatie voor Peoplesoft hebben toegang tot de gegevens van alle medewerkers van geheel Defensie. P&O-functionarissen hebben hiermee rechten voor inzage en/of mutatie van gegevens van medewerkers bij hun Defensie onderdeel, maar ook van hun (bijvb OPCO) medewerkers die bij andere Defensie onderdelen werkzaam zijn. Echter de rechten zijn breder, want men kan ook de gegevens inzien van medewerkers waarmee zij niet in functioneel verband staan. Omdat autorisatie voor Peoplesoft de basis vormt voor autorisatie voor andere systemen werkt dit door in systemen zoals onder andere Adacta (personeelsdossiers) en DIDO (dienstreizen en declaraties). Dit voldoet hiermee niet aan de wet- en regelgeving (AVG).
Daarnaast is de logging van het gebruik van Peoplesoft en andere P&O-systemen niet adequaat is ingericht en wordt deze logging niet gemonitord, waardoor inzicht ontbreekt in het gebruik van de betreffende systemen en eventuele noodzakelijke acties om misbruik aan te pakken of te voorkomen worden bemoeilijkt

Eisen
De kandidaat heeft minimaal 3 jaar actuele aantoonbare werkervaring met IBEV & AVG. Onder actueel wordt in de afgelopen 5 jaar verstaan. (3 jaar)
De kandidaat heeft minimaal 3 jaar actuele aantoonbare werkervaring in taken/projecten/opdrachten m.b.t. informatiebeveiliging. Onder actueel wordt in de afgelopen 5 jaar verstaan.. (3 jaar)
De kandidaat heeft minimaal 1 jaar actuele aantoonbare werkervaring in taken/projecten/opdrachten m.b.t. AVG. Onder actueel wordt in de afgelopen 3 jaar verstaan. (1 jaar)
Beschikbaarheid kandidaat
(minimaal aantal uur per week) (32 jaar)
Minimaal HBO diploma (HBO bachelor diploma of hoge,)

Wensen
Ervaring op het gebied van P&O processen irt AVG / Privacy problematiek
Ervaring met informatiebeveiliging in relatie tot autorisatiebeheer
Ervaring met stakeholdermanagement en het creeren van draagvlak.
Kennis van en ervaring met D300 of BIR (Baseline Informatiebeveiliging Rijksdienst).
Kennis van en ervaring met AVG
Kennis van en ervaring met ontwikkel- en beheersprocessen
Ervaring met het implementeren van PDCA.