Opdrachtomschrijving
De IT-security en compliance specialist die we zoeken is in staat om invulling te geven aan het beoordelen of de applicaties die het programma DEZI ondersteunen moeten en/of voldoen aan specifieke normering t.a.v. het leveren van (Europees erkende) vertrouwensdiensten(ETSI). De aanvraag wordt uitgezet omdat er momenteel geen of onvoldoende capaciteit en ervaring is binnen het CIBG over deze specifiek normeringen.

Kennis, ervaring, competenties en vaardigheden
- Toezien op naleving van ETSI-vereisten en andere relevante wet- en regelgeving (bijv. NIS2, eIDAS(2)).
- Beoordelen, analyseren, implementeren en verbeteren van het interne compliancebeleid en -procedures op basis van o.a. ETSI-normen (zoals ETSI EN 319 401, ETSI EN 319 411), Netsec, eIDAS, BIO, etc.
- Vertaling van complexe normenkaders naar praktische implementatie en door te voeren IT wijzigingen & beheerprocessen.
- Opstellen van compliance-risicoanalyses om te bepalen of de organisatie voldoet aan de gestelde (gewijzigde) normen.
- Ondersteunen bij certificeringstrajecten, zoals eIDAS-certificering voor gekwalificeerde vertrouwensdiensten.
- Adviseren van directie en (project)management over compliance-risico's en het ontwikkelen van strategieën om deze te beheersen.
- Uitvoeren van interne audits om te controleren of processen en systemen voldoen aan o.a. eIDAS en ETSI vereisten.
- Begeleiden van externe audits en zorgen voor tijdige en correcte documentatie van compliance-maatregelen.
- Trainingssessies en workshops organiseren om medewerkers bewust te maken van ETSI- en andere relevante compliance-eisen.
- Samenwerken met toezichthouders en certificeringsinstanties om te zorgen voor naleving en continue verbetering van complianceprocessen.

Achtergrond opdracht

Opdrachtgever Opdrachtgever

Het CIBG is een uitvoeringsorganisatie van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Het CIBG vertaalt, samen met ketenpartners, beleid in tastbare en toegankelijke uitvoering voor burgers, professionals en organisaties op het gebied van registers, data en informatie. Dit doet het CIBG voornamelijk op het VWS-werkterrein. Dit komt tot uiting in een breed takenpakket dat onder andere omvat het beheren van registers, het afgeven van vergunningen en toelatingen en het houden van toezicht. Je zou het CIBG bijvoorbeeld kunnen kennen van het BIG-register of het UZI-register. Het CIBG heeft vestigingen in Den Haag en Heerlen.

Project

Momenteel gebruiken zorgprofessionals verschillende middelen en inlogmethoden om toegang te verkrijgen tot (medische) gegevens. Veel van de gebruikte inlogmethoden voldoen niet aan het vereiste betrouwbaarheidsniveau 'eIDAS hoog'. De UZI-pas kent wel het vereiste betrouwbaarheidsniveau 'eIDAS hoog', maar wordt beperkt gebruikt. Het ministerie van Volksgezondheid, Welzijn en Sport ontwikkelt samen met het CIBG, én het zorgveld een nieuw inlogstelsel: Dezi. Dezi staat voor dé zorgidentiteit. Het Dezi-register wordt onderdeel van het nieuwe inlogstelsel voor de zorg en zal op termijn het UZI-register vervangen.

Eisen

• Kandidaat beschikt over minimaal WO werk- en denkniveau (bijv ICT-recht Cybersecurity Compliance & Risk Management)
• Kandidaat beschikt over kennis van eIDAS(2) NIS2 ETSI-normen
• Kandidaat beschikt over minimaal 5 jaar aantoonbare werkervaring in een compliance- of auditfunctie bij voorkeur binnen de cybersecurity- of ICT- sector

Wensen

• Mate waarin de kandidaat kennis heeft van: - Gecertificeerd Information Security Auditor ( CISA ) - Gecertificeerd Information Systems Security Professional ( CISSP ) - Geaccrediteerd ETSI-auditor (ETSI EN 319 403);
• Mate waarin de kandidaat ervaring heeft met; informatiebeveiliging en risicomanagement, zoals ISO 27001, 27002 of NIST-frameworks. Ervaring met compliance-software en documentatiebeheer is een pre.
• Mate waarin kandidaat beschikt over de gevraagde competenties en vaardigheden (toetsbaar in CV, motivatie en/of mogelijk gesprek). - Sterke analytische vaardigheden en het vermogen om complexe regelgeving te vertalen naar praktische implementatie. - Uitstekende communicatieve vaardigheden en ervaring met stakeholdermanagement.
• Mate van ervaring en/of affiniteit met de organisatie van de opdrachtgever.

Aanvullende Informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.