Opdrachtomschrijving
1. Ondersteunt de Information Security & Privacy Officer bij het ontwikkelen, actueel houden, aanpassen en implementeren van het informatiebeveiligings- en privacybeleid voor het MGZ-domein en draagt daarmee bij aan het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van de (digitale) informatievoorziening (IV) en de rechtmatige verwerking van (bijzondere) persoonsgegevens door:

• het volgen en bijhouden van ontwikkelingen op het gebied van informatiebeveiliging en privacybescherming en het beoordelen van de gevolgen hiervan voor het MGZ-domein;
• het ondersteunen bij het vertalen van eisen uit relevante wet- en regelgeving (zoals de AVG, de WGBO, de WegiZ) naar randvoorwaarden en eisen op het gebied van informatiebeveiliging en privacybescherming;
• het ondersteunen bij het vertalen van de van de IV-visie en strategie MGZ naar randvoorwaarden en eisen op het gebied van informatiebeveiliging en privacybescherming;
• het aanpassen en toepassen van het beleid op het gebied van informatiebeveiliging en privacybescherming voor het MGZ-domein;
• het uitwerken van richtlijnen, uitvoeringsbepalingen en procedures op het gebied van informatiebeveiliging en privacybescherming voor de MGZ aan de hand van beleid van de HDBV en andere voor het functiegebied relevante beleidsbepalende instanties en functionarissen (o.a. BA, FG, IMG);
• het opstellen en actueel houden van een normenkader informatiebeveiliging en privacybescherming voor de MGZ;
• het geven van advies en bieden van expertise bij beleidsvertaling naar implementeerbaar informatiebeveiligings- en privacybeleid binnen het MGZ-domein.
2. Ondersteunt Information Security & Privacy Officer bij het verkrijgen en behouden van de noodzakelijke certificeringen op de ISO27001, ISO27701 en de NEN7510 norm voor de staf en voor de verschillende zorgbedrijven, door zorg te dragen voor het beheer van het Information Security Management Systems (ISMS) door:
• Het ondersteunen bij het integreren van het ISMS met het kwaliteitsmanagement systeem (KMS - ISO9001) binnen de staf en de zorgbedrijven;
• Het voorbereiden van de periodieke vergaderingen met de informatiebeveiligingscommissies (IBC) van de staf en de verschillende zorgbedrijven;
• Het actueel houden van het de Meten en Monitoren tool van de staf / zorgbedrijf door de lopende acties, risico's en de status van de mitigerende maatregelen op geconstateerde afwijkingen tijdens de interne of externe audits te monitoren;
• Het plannen en uitvoeren van interne audits op het gebeid van informatiebeveiliging en privacybescherming als onderdeel van het managementsysteem en het ondersteunen van de zorgbedrijven bij het uitvoeren van de geplande interne audits;
• Het ondersteunen bij het uitvoeren van risico analyses door het signaleren van informatiebeveiligings- en privacyrisico's, het initiëren van voorstellen voor maatregelen om deze risico's te mitigeren en het actueel houden van het risicoregister voor de staf / zorgbedrijf;
• het ondersteunen bij het opzetten en initiëren van periodieke informatiebeveiligings- en privacybewustzijn programma's en adviseren over voorlichting en training van de ISPO aan de gebruikers in het correct omgaan met informatie(systemen) en digitale (persoonsgebonden/bijzondere) gegevens;
• Het identificeren van verwerkingen van persoonsgegevens en het onderhouden van het Defensie register met gegevensverwerkingen;
• Het vaststellen risicovolle gegevensverwerkingen waar een Data Privacy Impact Analyse (DPIA) voor nodig is en het (samen met de staf / zorgbedrijven) initiëren en uitwerken van DPIA's in de rol van penvoerder;

Het ondersteunen van de staf / zorgbedrijven bij het uitvoeren van de operationele planning als onderdeel van het ISMS; Het ondersteunen bij het opstellen van een auditjaarplan voor de MGZ; Het opstellen en uitvoeren van intern auditprogramma's voor informatiebeveiliging en privacybescherming voor de staf / zorgbedrijven gericht op het toetsen van de effectiviteit van het informatiebeveiligingsmanagementsysteem (ISMS) en de getroffen mitigerende maatregelen; het ondersteunen bij het organiseren en plannen de externe certificeringsaudits; het opstellen van periodieke rapportages over het gevoerde informatiebeveiligingsbeleid en privacybeleid, de voortgang van implementatie van mitigerende maatregelen, opgetreden incidenten, ondernomen acties, resultaten van onderzoeken en resultaten van uitgevoerde controles.3. Is ondersteunend en adviserend bij het operationaliseren van het informatiebeveiligings- en privacybeleid, richtlijnen en procedures van de staf en de

Achtergrond opdracht
De militaire gezondheidszorg is verantwoordelijk voor het leveren van reguliere en operationele geneeskundige ondersteuning met de beste zorg voor de (ingezette) militairen, houdt rekening met de voorziening van humanitaire hulp aan noodlijdende partijen en kan zo nodig voorzien in geneeskundige ondersteuning van de civiele autoriteiten. De militaire gezondheidszorg is ondergebracht binnen de Defensie Gezondheidszorg Organisatie (DGO) en meerdere defensieonderdelen (DO'n). De staf DGO bestaat uit de Commandogroep, de afdeling Strategische Militaire Gezondheidszorg (SMG), de afdeling Operationele Militaire Gezondheidszorg (OMG), de afdeling Reguliere Militaire Gezondheidszorg (RMG), de afdeling Bedrijfsvoering (BV), de afdeling Medisch Informatiemanagement (MIM), de afdeling Zorginformatie, declaratie en expertise (ZDE) en Team Duurzaam Gezond Inzetbaar. De afdeling Medisch Informatie Management (MIM) is belast met de ontwikkeling en instandhouding van de (digitale) informatievoorziening van de gehele militaire gezondheidszorg. De afdeling MIM bestaat uit

• een hoofd,
• een plaatsvervangend hoofd,
• (senior) informatiemanagers,
• (tijdelijke) projectleiders

en de Information Security & Privacy Officer. De afdeling heeft een wisselend bestand aan tijdelijke medewerkers afhankelijk van de projecten die er op elk moment lopen. De Information Security & Privacy Officer treedt op als adviseur en intern auditor op het gebied van informatiebeveiliging en privacybescherming informatievoorziening binnen de militaire gezondheidszorg. Ter versterking van het team voor informatiebeveiliging en privacybescherming zijn wij op zoek naar een (senior) adviseur ter ondersteuning van de information Security & Privacy Officer.

Eisen

• Kandidaat heeft minimaal 5 jaar aantoonbare werkervaring ten aanzien van:
• het adviseren over, het opstellen en implementeren van een informatiebeveiligings- privacybeleid binnen een (zorg)organisaties met een sterk gedifferentieerde IT-omgeving
• het uitvoeren van (interne) audits en het opstellen van auditrapportages
• het begeleiden van (zorg) organisaties met het inrichten en implementeren van een ISMS om komen tot een ISO/NEN certificering.
• Kandidaat heeft een afgeronde opleiding RE en/of CISA
• Kandidaat heeft een academische afgeronde studie bedrijfskunde, (bestuurlijke) informatiekunde informatica
• Kandidaat is gecertificeerd ISO lead auditor en/of lead implementator
• Kandidaat heeft minimaal 3 jaar aantoonbare ervaring met het opstellen en implementeren van een informatiebeveiligings- en privacybeleid binnen een (zorg)organisaties
• (3 jaar)
• Kandidaat heeft minimaal 3 jaar aantoonbare ervaring met het opzetten implementeren en onderhouden van een ISMS binnen een zorgorganisatie
• (3 jaar)
• Kandidaat heeft minimaal 3 jaar aantoonbare ervaring uitvoeren van audits en het toepassen van audittechnieken
• (3 jaar)

Wensen

• Kandidaat heeft bij voorkeur een opleiding afgerond voor CISSP, CISM of soortgelijk
• Kandidaat heeft bij voorkeur een opleiding afgerond voor CIPP/e en/of CIPM
• Kandidaat heeft bij voorkeur een opleiding afgerond voor ISO27701 lead auditor / lead implementor

Aanvullende Informatie
Hybride: minimaal 50%
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.