Senior bedrijfsanalist

Opdrachtomschrijving

Het te bereiken doel is te komen tot een risicogerichte aanpak om persoonsgegevens in de OTA-omgevingen zoveel als mogelijk te verwijderen, waarbij de aandacht als eerste uitgaat naar de aantoonbaar of in te schatten meest risicovolle situaties. Om in de toekomst, als het project is afgerond, aantoonbaar compliant te zijn, dienen de mogelijkheden voor structurele vormen van monitoring en signalering verkend en zo mogelijk gerealiseerd te worden. Ook dient er, mogelijk afhankelijk van het platform of de omgeving, aandacht te zijn voor de vraag of er methodes of acties te identificeren zijn die kunnen bijdragen aan het voorkomen dat er in de toekomst opnieuw gebruik wordt gemaakt van ‘echte’ persoonsgegevens zoals die bestaan in de PRD-omgeving, zoals het vergroten van de awareness. Er is de nodige kennis en informatie aanwezig, maar de analist heeft veel ruimte en vrijheid om (verbeter)voorstellen te doen.

Zoveel als mogelijk dient in kaart te worden gebracht wat de omvang van het probleem is. Hierbij moet worden vastgesteld welke OTA-omgeving(en) en opslaglocaties in deze omgevingen er zijn binnen Dienst Uitvoering Onderwijs. Het gaat bijvoorbeeld om de E-machine, het op de E-machine aanwezige IFS (Integrated File System), de verschillende fileshares, soorten DBMS-en en platforms. Daarnaast is een stakeholderanalyse nodig: welke partijen, teams en afdelingen zijn hierbij betrokken? Ook moet worden bezien of er een inventarisatie of indeling op basis van risico’s te maken is, bijvoorbeeld op basis van omvang van applicaties en populaties, het aantal mensen met toegang, de aanwezigheid van bijzondere persoonsgegevens, het al dan niet aanwezig zijn van logging en het aantal koppelingen. Indien er noodzaak is om met grote datasets te testen, moet worden vastgesteld of applicaties beschikken over de mogelijkheid om geanonimiseerde datasets ter beschikking te stellen.

In aanvulling op het verkrijgen van meer zicht op de mogelijk te onderzoeken locaties is de vraag op welke manier(en) er gericht gezocht kan worden naar de aanwezigheid van persoonsgegevens op deze locaties. Tijdens de eerste steekproef kwam naar voren dat de hoeveelheid nader te onderzoeken bestanden zo groot was, dat ervoor is gekozen om alle bestanden die gegevens bevatten van minder dan 5.000 personen buiten beschouwing te laten. Ook vroeg het soms de nodige creativiteit en analyse om aan te tonen dat het daadwerkelijk persoonsgegevens betrof die zich daar niet mochten bevinden. Binnen het project worden inmiddels op beperkte schaal de mogelijkheden verkend door het gebruik van scripts en programma’s, waarbij ook nieuwe vragen naar voren komen.

Er moet worden vastgesteld wat de mogelijke criteria zijn op basis waarvan kan worden gezocht en bepaald of er persoonsgegevens aanwezig zijn. Het gaat daarbij om direct en indirect identificerende gegevens, bijzondere persoonsgegevens en combinaties van gegevens. Op basis van deze criteria moet worden bezien of de nu gebruikte programma’s of scripts verder ontwikkeld kunnen worden. Incidenteel of eenmalig zoeken en vinden van persoonsgegevens is een eerste stap naar mogelijk structureel monitoren; daarom moet worden onderzocht of zoeken en monitoren op basis van zelfgebouwde scripts kan worden ingericht als structurele werkwijze. Tevens moet worden nagegaan of er bij andere, bij voorkeur overheidsorganisaties, oplossingen in gebruik zijn die vergelijkbare functionaliteiten bieden.

Er dient een advies te worden opgesteld ten aanzien van het inzetten van tooling: heeft ‘maak of koop’ de voorkeur en wat zijn de vereiste specificaties en mogelijkheden? Begin 2025 is bijvoorbeeld opnieuw gekeken naar de tool Varonis en is vastgesteld dat deze tool teveel mogelijkheden biedt, terwijl er geen draagvlak was voor al deze functionaliteiten. Daarnaast moeten oplossingen en scenario’s worden geboden om aangetroffen, niet-toegestane gegevens of bestanden te verwijderen, bijvoorbeeld door als eerste stap de toegang onmogelijk te maken via het intrekken van autorisaties of door deze in quarantaine te plaatsen. Ook moet worden vastgesteld of het geldende beleid voldoende duidelijk beschreven, toegankelijk en bekend is, en welke regels en procedures er zijn en of deze worden nageleefd.

Er zijn veel huidige en toekomstige ontwikkelingen die mogelijk aan dit onderwerp raken, zoals trajecten als Agile Compliance, De Sleutelkast, de inrichting van de CDO-structuur met het CDO-Office, de inzet van AI (bijvoorbeeld in een pilot bij Proza/OCW om persoonsgegevens te zoeken) en het gebruik van synthetische data om te testen. Inzicht in de mate waarin deze ontwikkelingen relevant zijn, is wenselijk om de juiste prioriteiten te stellen en waar mogelijk samenwerking te zoeken.

De doelstellingen zijn samen te vatten in een aantal punten. Allereerst het verkrijgen van DUO-breed inzicht in de aard, omvang, inhoud en het gebruik van de OTA-omgevingen. Daarnaast het bijdragen aan het gebruik van scripts, programma’s en tooling om aangetroffen persoonsgegevens te verwijderen, zowel initieel of eenmalig als gericht op een structurele vorm van monitoring. Verder het bijdragen aan concrete voorstellen, experimenten en proeven die bijdragen aan de doelstellingen, waaronder het vergroten van awareness en het voorkomen van het gebruik van persoonsgegevens. Tot slot het verschaffen van inzicht in huidige en toekomstige ontwikkelingen binnen DUO die aan dit onderwerp raken en zo nodig het leggen van verbindingen met deze ontwikkelingen.

Conform de Baseline Informatiebeveiliging Rijk en de AVG mag DUO geen gebruik maken van niet-geanonimiseerde of niet-gepseudonimiseerde persoonsgegevens in de zogenoemde OTA-omgevingen. Met OTA-omgevingen worden de Ontwikkel-, Test- en Acceptatieomgevingen in het ontwikkelproces bedoeld. Normaliter gaat aangepaste of nieuw ontwikkelde software door deze omgevingen, waarin verschillende testen plaatsvinden alvorens deze in de PRD-omgeving in gebruik wordt genomen. De EXP-omgeving (Exploitatie-omgeving) is op dit moment buiten scope van de opdracht geplaatst.

Begin 2024 is binnen DUO een eerste stap gezet waarbij enkele omvangrijke en/of gevoelige bestanden en dossiers zijn geschoond. De aanleiding hiervoor was de rapportage naar aanleiding van een steekproef door een hacktester van het Ethical Hacking Team. Specialisten onderkenden dat deze actie een beperkte scope had, zowel qua locatie – alleen de E-machine – als qua autorisaties, omdat niet alle bestanden toegankelijk waren. Er is mogelijk nog een aanzienlijke hoeveelheid persoonsgegevens die vernietigd moet worden. Uit de rapportage, die aan de analist beschikbaar wordt gesteld, blijkt dat dit onderwerp een lange voorgeschiedenis heeft.

Omdat bij de steekproef begin 2024 slechts beperkt is gekeken, is in de zomer van 2025 de steekproef opnieuw uitgevoerd in samenwerking met een AS400-specialist en een specialist van het DBA-team. Ook uit deze steekproef bleek dat er persoonsgegevens aanwezig waren die eveneens in de PRD-omgeving voorkomen. Op de E-machine betreft het niet zozeer gegevens in databases of database-schema’s, maar vaker bestanden of dossiers. Daarbij moet worden opgemerkt dat op de E-machine een IFS aanwezig is met veel mappen en bestanden, zowel op persoonlijke titel als gebruikt bij het testen van uitwisselingen met andere organisaties.

De opdracht zoals bij de start van het traject geformuleerd luidt: “Schoon risicogericht aanwezige persoonsgegevens uit alle OTA-omgevingen. Het betreft persoonsgegevens in files, databases, datastores, datawarehouses etc., ongeacht het soort of type file.” Dit betekent dat DUO-breed, zowel in Groningen als Den Haag, gekeken moet worden naar de verschillende platformen, locaties en machines om vast te stellen of en in hoeverre dit probleem zich daar voordoet. Gezien de te verwachten aard en omvang van het probleem zal een aanpak, of meerdere aanpakken, ontwikkeld moeten worden, met prioriteit voor de locaties of omgevingen waar de grootste risico’s aanwezig zijn of vermoed worden.

De afgelopen maanden is onder andere binnen de DB2-databases met een zelfgebouwd programma gezocht naar BSN’s die niet voldoen aan de criteria voor een test-BSN zoals binnen DUO afgesproken. Daarnaast wordt verkend hoe middels een script binnen DOCBH naar BSN’s gezocht kan worden. Verder zijn er verschillende huidige en toekomstige ontwikkelingen en trajecten die aan dit onderwerp raken, zoals de mogelijkheden om persoonsgegevens te anonimiseren met DATPROF of middels scripts, het gebruik van synthetische data, de verdere inrichting van het CDO-Office, het project Sleutelkast en andere projecten binnen Compliance op orde, zoals Agile Compliance.

Competenties

• Herkent de kern en de verbanden in situaties, vraagstukken en gegevens.
• Selecteert de juiste informatie uit diverse bronnen.
• Maakt onderscheid tussen hoofd en bijzaken.
• Brengt een logische structuur aan in een veelheid van informatie.
• Legt verbanden tussen gegevens en/of vraagstukken.
• Onderscheidt oorzaak en gevolg.
• Hanteert bij de analyse verschillende invalshoeken.
• Adviesvaardigheden. Uitstekende mondelinge en schriftelijke uitdrukkingsvaardigheden.