Vacature

Senior Informatiebeveiliging & Privacy Auditor

Gemeente Arnhem


Voor onze opdrachtgever de Gemeente Arnhem werven wij ter aanvulling op het huidige team van Informatiebeveiliging en Gegevensbescherming (IBP team), een (tweedelijns) Senior Informatiebeveiliging & Gegevensbescherming Auditor

De Gemeente Arnhem staat aan de vooravond van een volgende stap in informatieveiligheid en privacy. Met ambitieuze doelen zoals ISO27001-certificering en volledige naleving van de AVG, investeren ze gericht in professionalisering en kwaliteit. De ervaren auditor toets niet alleen maar denkt en adviseert ook mee, geeft richting en maakt zichtbaar impact. In nauwe samenwerking met het Informatiebeveiliging en Gegevensbescherming(IB&P) team speel jij een sleutelrol in het versterken van de volwassenheid van onze organisatie. Jij helpt actief mee onze organisatie te laten groeien in volwassenheid op haar risico’s, wet en regelgeving en te nemen maatregelen.

GEMEENTE ARNHEM

Waar ze vandaan komen:
Het organisatiemodel van gemeente Arnhem vindt zijn oorsprong in 2012 met de overgang naar een flexibele netwerkorganisatie. Verdere ontwikkeling volgde via wijkgericht werken (2015), de invoering van een kernorganisatie met uitbesteding van uitvoering (2017), aangescherpte sturingsprincipes (2022) en het programma Lekker Werken aan de Ambities van Arnhem (LWAA) in 2023. De organisatievisie is OPO: opgavegericht werken, de professional centraal en één ongedeelde organisatie.

Waar ze nu staan:
Arnhem werkt met grote betrokkenheid aan maatschappelijke opgaven, zoals het Nationaal Programma Arnhem-Oost, gericht op het verbeteren van onderwijs, werk, wonen, gezondheid en veiligheid in kwetsbare wijken. De organisatie kenmerkt zich door professionele ruimte, autonomie en collegialiteit, maar kent ook verbeterpunten zoals meer resultaatgerichtheid, eigenaarschap en snellere besluitvorming.

Waar ze naartoe gaan:
De gemeente wil maatschappelijke opgaven en inwoners centraler stellen, met een meer geïntegreerde aanpak van beleid en uitvoering. Medewerkers krijgen meer ruimte binnen duidelijke kaders en er wordt gewerkt aan een proactieve, wendbare organisatie.

Bestuur, College, Gemeentesecretaris en Directie:
Het Management Team Arnhem stuurt op gemeente brede doelen en werkt nauw samen met het college. De gemeentesecretaris, samen met drie concerndirecteuren (Sociaal, Fysiek en Bedrijfsvoering), zorgt voor continuïteit en samenhang in de organisatie.

De medewerkers
Arnhem streeft naar een diverse en inclusieve organisatie die een afspiegeling vormt van de stad, waar iedereen zich welkom voelt en ruimte is voor verschillen.

De afdeling Informatie
Deze afdeling is verantwoordelijk voor de tactische en strategische aansturing van de informatiehuishouding binnen de gemeente Arnhem. Ze adviseert de directie, het cluster- en programmamanagement, en soms ook verbonden partijen. Het team bestaat uit zo'n 70 professionals met expertise op diverse gebieden, zoals informatieveiligheid en gegevensbescherming, informatiemanagement, informatieanalyse en -interpretatie (met behulp van dashboards, monitoring en onderzoeken), informatie-architectuur, en het functioneel beheer van (bedrijf kritische) applicaties.

Het team bestaat momenteel uit twee CISO’s, vier Privacy Officers (PO’s) en drie Information Security Officers (ISO’s) en één IB&P auditor. De PO’s en ISO’s hebben elk een eigen specialisatie op domein en/of thema. De CISO functie is verantwoordelijk voor de sturing van deze tweedelijns functies.

DOWNLOAD HIER HET VOLLEDIGE FUNCTIEPROFIEL IN PDF

Functieomschrijving:

De Gemeente Arnhem zet grote stappen op het gebied van informatieveiligheid, gegevensbescherming en bedrijfscontinuïteit. Ze werken hard aan de verdere invulling van de ISO27001-norm (en de BIO) en de AVG, zodat de basis binnen hun organisatie nog sterker wordt. Een belangrijke pijler in deze ontwikkeling is de uitbouw van een groter, professioneel IB&P-team met gedreven en kundige collega’s.

Zij willen het team versterken met een ervaren auditor. Het team bestaat momenteel uit drie ISO’s (met nog twee openstaande vacatures), vier privacy officers (met één openstaande vacature), twee CISO’s en één senior auditor. Samen met die senior IB&P auditor krijg je de kans om een duidelijke stempel te drukken op de werkzaamheden en de invulling daarvan. De CISO stuurt het volledige tweedelijns IB&P-team functioneel aan, zodat jij je volledig kunt richten op audit en advisering.

Hun ambities zijn groot: ze willen hun dienstencluster De Connectie en mogelijk hun bedrijfsvoeringscluster ISO27001-certificeren en tegelijkertijd als gehele organisatie volledig voldoen aan de BIO 2.0, Nist en AVG. Ze maken hiervoor gebruik van het Norea Privacy Control Framework, met mogelijk in de toekomst een ander certificeerbaar kader. In je rol als interne IB&P auditor beoordeel je zowel projectmatige als reguliere activiteiten, audit je implementatieresultaten en begeleid je certificeringstrajecten. Daarnaast fungeer je samen met de andere auditor als coördinator voor ENSIA en Wet Politie Gegevens (WPG).

De functie van IB&P auditor is momenteel onderdeel van het IB&P-team en valt functioneel onder de CISO, in lijn met het ‘three lines of defense’-model binnen de tweede lijn. In tegenstelling tot een externe derdelijns auditor ga jij hands-on te werk in en met de organisatie. Je adviseert, toetst en helpt de organisatie daadwerkelijk vooruit.

Ze zoeken iemand die meegroeit met de volwassenheid van de organisatie: pragmatisch, oplossingsgericht en met oog voor de prioriteiten van de lijnorganisatie. Je brengt eigen ideeën in over efficiëntie en auditbelasting, bijvoorbeeld door integrale en risico-gebaseerde audits. Naarmate de organisatie volwassen wordt, kan jouw rol zich ontwikkelen tot een volwaardige derdelijns auditfunctie.

De belangrijkste verantwoordelijkheden zijn:

  • Mede opstellen van het intern auditbeleid, het ENSIA auditbeleid en het WPG auditbeleid;
  • Uitvoeren en coördineren van de ENSIA audit, opstellen van de GAP tussen de gewenste en de huidige situatie rondom de ENSIA, het coördineren van de jaarlijkse externe DigiD- en Suwinet audits; 
  • Uitvoeren en coördineren van de interne WPG audit, het begeleiden van de periodieke externe WPG audit, het opstellen van de GAP tussen de gewenste en huidige situatie rondom de WPG, het coördineren van de lijnafdelingen rondom hun verantwoordelijkheden richting de WPG;
  • Adviseert over auditvraagstukken en risicomanagement;
  • Signaleert risico’s, verbeter- en/of knelpunten en verricht intern onderzoek;
  • Initieert, formuleert en operationaliseert (meer-) jaarauditprogramma’s;
  • Implementeert en operationaliseert beleids- en beheersinstrumenten, kaders en programma’s ter optimalisering van de organisatiesturing en bedrijfsvoering;
  • Stelt rapportages en verbeterplannen op;
  • Stuurt op en draagt zorg voor de totstandkoming en realisatie van plannen, is procesbewaker en voert regie op auditplanningen en de opvolging op bevindingen;
  • Je organiseert en bent voorzitter van de interne "audit steering comitee" (in oprichting);
  • Draagt zorg voor de afstemming en invulling van het jaarlijkse en de drie jaarlijkse auditprogramma intern;
  • Draagt bij in het zorgen dat er draagvlak komt vanuit de lijnorganisatie voor het belang, nut en noodzaak van de auditfunctie;
  • Draagt zorg voor relatiebeheer met interne en externe stakeholders.

Functie-eisen:

We zijn op zoek naar een ervaren Senior Auditor die ruime kennis heeft van het opzetten en uitvoeren van auditprogramma’s. Je vindt het leuk om samen met een collega diverse auditcycli inclusief beleid op te zetten en hierop te sturen. Je bent pragmatisch van aard en vindt het ook leuk om soms ‘met de poten in de modder’ te staan en de organisatie praktisch te helpen in het volwassener worden op gebied van informatieveiligheid en gegevensbescherming. Je kan pionieren in de organisatie en weet zelfstandig je weg te vinden. Je bent een verbinder die de belangrijke stakeholders informeert en adviseert op een wijze waar de organisatie ook echt mee aan de slag kan.

Verder neem je mee:
  • Een afgeronde WO opleiding in de richting (Bedrijfskundige) Informatica of Informatiemanagement, bij voorkeur aangevuld met een ISO lead auditor certificering, postmaster RE, RA en/of een CISA accreditatie of de bereidheid deze te behalen;
  • Relevante werkervaring in een vergelijkbare rol op het gebied van IT audit of bedrijfsvoering (minimaal 5 jaar);
  • Je bent pragmatisch en hebt oog voor de belangen binnen de organisatie waarbinnen we acteren (sensitiviteit);
  • Kennis van wetgeving en ontwikkelingen op het gebied van informatiebeveiliging, privacy en dataprotectie (o.a. BIO en/of ISO27001, NEN7510 en AVG);
  • Bereid om continu te blijven bijscholen.

Gemeente Arnhem werkt voor en samen met haar inwoners aan een diverse en inclusieve stad: een stad waar iedereen zichzelf mag en kan zijn en ook welkom is. Om dat te realiseren is ook een inclusieve organisatie nodig, waar de samenstelling divers is en niemand wordt uitgesloten. 
Arnhem is overtuigd dat verschillen elkaar versterken. 

Voel je dus welkom bij Gemeente Arnhem, wie je ook bent of hoe je ook in het leven staat.

Beschik je wel over de juiste competenties en opleiding maar heb je iets minder ervaring, schroom dan niet toch te reageren! Wij ontvangen graag jouw sollicitatie! 

Arbeidsvoorwaarden:

Ben jij de kandidaat die de Gemeente Arnhem helpt met het nog beter op orde krijgen van de basis voor de verdere invulling van de norm voor informatieveiligheid ISO27001 (en de BIO) en AVG?

De gemeente Arnhem kent een 36-urige werkweek, daarnaast kun je rekenen op:

  • Marktconform salaris conform CAO gemeenten; 
  • Een dienstverband van 12 maanden met de intentie van een duurzame arbeidsrelatie;
  • 144 wettelijke vakantie-uren en 57,6 bovenwettelijke vakantie-uren per kalenderjaar op basis van een 36-urige werkweek;
  • Een aanvulling in de vorm van een Individueel Keuzebudget (IKB) van 17,05%. Dit budget kun je laten uitbetalen of inzetten voor verschillende doelen;
  • De mogelijkheid om de 8 cao vastgestelde feestdagen te ruilen voor vrije dagen die voor jouw betekenisvol zijn, in overleg maak je afspraken over de feestdagen die je wilt ruilen.
  • Een goed pensioen dat je opbouwt bij het ABP;
  • Een individueel loopbaanbudget van € 500,- per jaar;
  • Persoonlijke ontwikkel- en doorgroeimogelijkheden dankzij ons collectieve aanbod aan opleidingen;
  • Een laptop en een telefoon;
  • Een hybride werkvorm: je hebt de vrijheid om thuiswerken en op kantoor werken af te wisselen.

SOLLICITATIE EN PLANNING
De begeleiding van de werving en selectieprocedure is in handen van InterExcellent.
  • Sollicitaties (een functiegerichte motivatiebrief plus CV) ontvangen we graag zo spoedig mogelijk, maar uiterlijk maandag 16 februari 2026 via InterExcellent;
  • Op basis van een brief en CV selectie worden kandidaten uitgenodigd voor een oriënterend gesprek met InterExcellent;
  • De meest passende kandidaten worden daarna voorgedragen aan de Gemeente Arnhem die beslist met wie zij wenst kennis te maken;
  • De selectiegesprekken vinden vervolgens plaats bij de Gemeente Arnhem; 
  • Het arbeidsvoorwaardengesprek wordt z.s.m. daarna gepland;
  • Een referentiecheck kan onderdeel uitmaken van de procedure. 

CONTACT OVER DEZE PROCEDURE
Deze procedure wordt uitgevoerd door Sietse Bergstra, Partner, en Marijella van der Klugt, Sr. IT Recruitment Consultant, InterExcellent IT Regie Management, Baarn. Tel: 035 - 5280430, www.interexcellent.nl

Locatie:
  • Arnhem
Sietse Bergstra - InterExcellent

Drs. Sietse Bergstra

Managing Partner
IT Regie Management
035 528 0430