Privacy & Security Specialist

Privacy en security zijn geen vinkjes aan het eind van een traject, bij ons zijn het ontwerpprincipes die vanaf dag één in de architectuur zitten. Jij bent de specialist die dat mede mogelijk maakt: technisch genoeg om mee te bouwen in het hoofd van onze TPM's, en communicatief sterk genoeg om die inzichten te vertalen naar juristen en teamleads.

Hier ga je werken

SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Samen met hen werken we aan digitale diensten en complexe innovatievraagstukken om de kwaliteit van onderwijs en onderzoek te verhogen.

Je komt te werken in de unit Accessible and Open Education & Research die uit 10 verschillende soorten teams bestaat die allemaal functioneren in de keten van de ontwikkeling van digitale sectorvoorzieningen voor instellingen.

In dit team kom je terecht

Binnen de unit werk je in een omgeving waar privacy en security essentieel zijn: we werken met gevoelige gegevens uit onderwijs en onderzoek, en nieuwe digitale diensten worden continu ontwikkeld en uitgebreid. We hanteren daarbij de principes van open en herbruikbaar ontwerp, en tegelijkertijd zijn privacy en security 'by design' en 'by default' ingebakken in ons ontwikkelproces. De uitdaging zit in de balans: hoe garandeer je maximale openheid en toegankelijkheid, terwijl je privacy en security stevig borgt?

Je werkt nauw samen met teamleads, productmanagers (PM), technisch productmanagers (TPM’s), juristen en een collega-adviseur privacy en security. Door de groei van producten en diensten breidt het team uit. Jullie zorgen samen dat technische oplossingen voldoen aan geldende normen en best practices, maar ook praktisch toepasbaar zijn voor teams die bouwen en beheren.

Dit ga je doen

Onze producten werken vanuit het principe: open, tenzij er een goede reden is om dat niet te doen. Jij helpt teams die afweging goed te maken, niet vanuit een controlerende rol, maar als iemand die preventief meedenkt in technische ontwerp- en architectuurdiscussies.

Je bent het eerste aanspreekpunt voor technical productmanagers als ze een nieuwe dienst, integratie of architectuurkeuze uitdenken. Jij signaleert privacy en security-risico's voordat ze gebouwd worden, en denkt mee over oplossingen die binnen de kaders passen én werkbaar zijn voor de teams.

Concreet houdt dat in:

• Vroegtijdig en actief adviseren bij technische ontwerpen, architectuur en processen, vóórdat er code geschreven is
• Beoordelen van risico's op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid vanuit een technisch fundament
• Privacy en security by design en by default borgen in een omgeving die open werken als uitgangspunt heeft
• DPIA's opstellen en privacy afwegingen documenteren op een manier die teams verder helpt, niet vertraagt
• Praktische, uitvoerbare richtlijnen formuleren, vertaald vanuit juridische en compliance-kaders naar concrete technische implementaties
• Samenwerken met juristen als inhoudelijk technisch gesprekspartner, niet als doorgeefluik
• Teamleads ondersteunen zodat privacy en security geborgd zijn binnen hun teams, zonder dat zij daar security-expert voor hoeven te zijn

Dit breng je mee

Je bent in de eerste plaats een techneut. Je begrijpt hoe systemen worden ontworpen, gebouwd en beheerd, en vanuit dat begrip adviseer je over privacy en security. Je bent geen auditor en geen jurist. Wij zoeken nadrukkelijk iemand die technisch mee kan praten met onze TPM's en die tegelijkertijd de taal van juristen en compliance begrijpt.

Harde eisen:

• Aantoonbare kennis én ervaring op het gebied van zowel privacy als security, beide, niet één van de twee
• Technische achtergrond: je begrijpt softwarearchitectuur, systemen en infrastructuur op een niveau waarop je inhoudelijk kunt adviseren
• Nederlands op minimaal C1-niveau (vereist voor het begrijpen van wet- en regelgeving en de adviserende rol), Engels op minimaal C1-niveau
• Hbo+/wo-werk- en denkniveau, bij voorkeur in IT, cybersecurity of vergelijkbaar

Wat je verder meebrengt:

• Ervaring met privacy by design als ontwerpstrategie in technische trajecten
• Kennis van AVG en compliance processen, als kader, niet als kernvak
• Ervaring met het opstellen of begeleiden van DPIA's
• Proactieve, oplossingsgerichte houding: je signaleert risico's, maar denkt altijd mee over wat wél kan
• Affiniteit met open source en open science is een pre
• Bij SURF doen we onze werving met veel plezier zelf, acquisitie stellen we daarom niet op prijs.