Senior Bedrijfsanalist

Functieomschrijving:

1. Aanleiding & Achtergrond

• Wet- en regelgeving: Conform de Baseline Informatiebeveiliging Rijk (BIO) en de AVG mag DUO geen gebruik maken van ‘echte’ (niet-geanonimiseerde of gepseudonimiseerde) persoonsgegevens in de OTA-omgevingen (Ontwikkel-, Test- en Acceptatie-omgevingen).
• Historie (2024): Na een rapportage van het Ethical Hacking Team is een eerste opschoonactie gedaan. De scope was toen beperkt (alleen de E-machine en beperkte autorisaties).
• Recente bevindingen (Zomer 2025): Een nieuwe steekproef (samen met AS400- en DBA-specialisten) toonde aan dat er nog steeds persoonsgegevens uit de PRD-omgeving aanwezig zijn. Dit zit vaak in bestanden of dossiers op de E-machine (zoals in het Integrated File System – IFS).
• Huidige acties: Er wordt momenteel al op beperkte schaal gezocht naar echte BSN’s met zelfgebouwde programma’s en scripts in DB2 databases en DOCBH.

2. Scope van de opdracht

• In scope: Alle OTA-omgevingen DUO-breed (Groningen en Den Haag), inclusief diverse platformen, machines (bijv. de E-machine), fileshares en DBMS-en.
• Out of scope: De EXP-omgeving (Exploitatie-omgeving).
• Aanpak: De analist krijgt veel vrijheid. Er wordt gestart met de meest risicovolle situaties (risicogerichte aanpak).

3. Hoofddoelstellingen

1. Inzicht: DUO-breed inzicht verkrijgen in de aard, omvang, inhoud en het gebruik van de OTA-omgevingen.
2. Verwijderen: Persoonsgegevens initieel/eenmalig opschonen met behulp van scripts, programma’s en tooling.
3. Borging (Monitoring): De mogelijkheden voor structurele vormen van monitoring en signalering verkennen en realiseren om in de toekomst aantoonbaar compliant te zijn.
4. Preventie & Awareness: Voorkomen dat er in de toekomst opnieuw echte persoonsgegevens worden gebruikt, o.a. door experimenten, proeven en het vergroten van awareness.
5. Verbinding zoeken: Inzicht verschaffen in, en aanhaken bij, (toekomstige) ontwikkelingen binnen DUO die raken aan dit onderwerp.

4. Deelvragen en Uit te voeren werkzaamheden

A. Inventarisatie van het probleem

• In kaart brengen van alle OTA-omgevingen en opslaglocaties (E-machine, IFS, fileshares, platforms).
• Uitvoeren van een stakeholderanalyse (welke partijen/teams zijn betrokken?).
• Maken van een risico-indeling (obv. populatiegrootte, aantal gebruikers met toegang, aanwezigheid bijzondere persoonsgegevens, logging, koppelingen).
• Onderzoeken of applicaties geanonimiseerde datasets kunnen leveren als grote test-datasets nodig zijn.

B. Detectie, Tooling & Techniek

• Bepalen van de criteria om persoonsgegevens (direct/indirect, bijzonder) te zoeken en vast te stellen.
• Doorontwikkelen van huidige programma’s en scripts op basis van deze criteria.
• Onderzoeken of zelfgebouwde scripts in te richten zijn als een structurele monitoringswerkwijze.
• Ophalen van best practices/oplossingen bij andere (overheids)organisaties.
• Opstellen van een “Make or Buy” advies voor tooling (Let op: begin 2025 is de tool ‘Varonis’ afgewezen wegens gebrek aan draagvlak en te veel onnodige opties).

C. Oplossingen & Beleid

• Uitwerken van scenario’s om niet-toegestane gegevens te verwijderen of te isoleren (bijv. toegang intrekken, in quarantaine plaatsen).
• Controleren of het huidige beleid rondom testdata duidelijk, toegankelijk, bekend is en nageleefd wordt.

D. Aanhaken bij Toekomstige Ontwikkelingen Samenwerking en afstemming zoeken met lopende/toekomstige initiatieven, zoals:

• Het gebruik van DATPROF of scripts voor anonimiseren.
• Gebruik van synthetische data om te testen.
• Inzet van AI (bijv. de pilot bij Proza/OCW om persoonsgegevens te zoeken).
• Project ‘Agile compliance’.
• Project ‘De Sleutelkast’.
• De inrichting van de CDO-structuur met het CDO-Office (Chief Data Officer).

Over de klant:

DUO verzorgt als uitvoeringsorganisatie, zijn de onderdeel van het Ministerie van Onderwijs, Cultuur en Wetenschap de uitvoering van complexe wet-en regelgeving en heeft een uitgebreid dienstenpakket. DUO financiert en informeert onderwijs deelnemers en onderwijsinstellingen. Voor verdere informatie zie www.duo.nl

Eisen:

• Afgeronde HBO/WO opleiding.
• Aantoonbare kennis op het gebied van bedrijfsanalyse en consultancy.
• Minimaal 3 jaar; Kennis van het IP domein en, bij voorkeur, op de hoogte zijn van 1cijferprocessen.
• Minimaal 3 jaar; Breede kennis van DUO standaarden en systematiek.
• Minimaal 3 jaar; Ervaring in het uitvoeren van informatieanalyses met meerdere processen, systemen en interne en externe stakeholders en ketenpartners.
• Minimaal 3 jaar; Opstellen van requirements en opstellen van analyses, procesbeschrijvingen en – schema’s op systeemniveau.

Wensen:

• Eén of meer (eerste) analyserapport(en), onderzoeken of memo’s die bijdragen aan de doelstellingen.

Competenties:

• Herkent de kern en de verbanden in situaties, vraagstukken en gegevens.
• Selecteert de juiste informatie uit diverse bronnen.
• Maakt onderscheid tussen hoofd en bijzaken.
• Brengt een logische structuur aan in een veelheid van informatie.
• Legt verbanden tussen gegevens en/of vraagstukken.
• Onderscheidt oorzaak en gevolg.
• Hanteert bij de analyse verschillende invalshoeken.
• Adviesvaardigheden met uitstekende mondelinge en schriftelijke uitdrukkingsvaardigheden.

Opdrachtdetails:

Interesse?

Stuur ons dan uiterlijk 26 februari 2026 voor 17:00 uur

• Een Nederlandstalig CV in WORD;
• Een korte toelichting op de wensen en kennis die gevraagd worden;
• Beschikbaarheid en geplande vakanties;
• All-in uurtarief (excl. BTW).

Let op: De aanvraag betreft een ondersteunde rol en volgt instructies op van leidinggevende. Dit past niet binnen de wet DBA. Hierdoor is het niet mogelijk om ZZP’ers te contracteren.

Houd er rekening mee dat vacatures soms eerder kunnen sluiten.

Voor DUO Groningen is Circle8 op zoek naar een: Senior Bedrijfsanalist
Aanvraagnummer: VNR-80681