Het Normenkader Informatiebeveiliging en Privacy (IBP FO) roept bij veel onderwijsinstellingen dezelfde vraag op: “Hoe beginnen we hier in hemelsnaam aan?” Begrijpelijk, want hoewel het normenkader in 2027 juridisch verplicht wordt, voelt het voor veel scholen nu al als een enorme berg werk. Toch is het ook een kans om structurele verbeteringen door te voeren die niet alleen de veiligheid vergroten, maar ook de organisatie soepeler laten draaien.
Na een half jaar werken met een schoolbestuur dat het Normenkader serieus oppakt, deel ik graag hoe wij dit in de praktijk aanpakken. Niet als blauwdruk, maar als inspiratie voor bestuurders, schoolleiders en IBP-verantwoordelijken die voor dezelfde uitdaging staan.
Wanneer ik met bestuurders praat, benadruk ik vaak: Het Normenkader is niet alleen een ICT-feestje. Natuurlijk, technologie speelt een grote rol, maar het gaat uiteindelijk om eigenaarschap vanuit verschillende geledingen van de organisatie. Van bestuur en HR tot facilitair en bedrijfsvoering: iedereen draagt bij aan een veilige en verantwoorde omgang met informatie.
De praktijk wijst uit: De sleutel tot succes zit niet in technische oplossingen alleen, maar in samenwerking, eigenaarschap en een duidelijke rolverdeling.
We werken met zeven projectleiders, elk verantwoordelijk voor een specifiek domein binnen het Normenkader. Hun rol is niet om alles zelf te doen, maar om samen met hun teams de kar te trekken. Na een half jaar beginnen de onderlinge verbanden steeds zichtbaarder te worden. En dat vraagt om samenwerking tussen disciplines die elkaar eerder zelden opzochten.
Wat werkt?Maandelijkse overleggen waarin de projectleiders knelpunten en voortgang bespreken. Die momenten zijn cruciaal voor het delen van ervaringen en het scherp houden van het gezamenlijke ‘waarom’. Hier fungeer ik als programmamanager als sparringpartner en hou ik de focus op het grotere plaatje.
1️⃣ Bestuur, strategie en beleidHet fundament leggen we met beleid. Samen met de Functionaris Gegevensbescherming (FG) en de stuurgroep IBP (waar de Privacy Officer (PO) en Security Officer (SO) onderdeel van zijn), werken we aan duidelijke beleidsdocumenten. Niet alleen omdat het moet, maar om een cultuur van veiligheid en verantwoordelijkheid te creëren.
Waarom belangrijk?Het bestuur heeft zich via het koersplan gecommitteerd aan de doelen van het Normenkader. Dit creëert niet alleen duidelijkheid, maar biedt ook een stevige basis voor gedragsverandering.
2️⃣ Bedrijfscontinuïteit en risicomanagementWat als het echt misgaat? Onder leiding van de financiële controller worden risicoanalyses uitgevoerd en draaiboeken opgesteld. Niet voor de vorm, maar om de organisatie weer snel op de rails te krijgen na een calamiteit.
Belangrijk inzicht:Risico’s zijn niet alleen digitale bedreigingen. Ook personeelswisselingen, brand of fysieke inbraken horen hierbij.
3️⃣ Personeelsbeheer en veiligheidsbewustzijnOnder leiding van HR zetten we in op bewustzijn. We doen dit met:
Nieuw personeel krijgt bij indiensttreding bovendien een duidelijke instructie over digitale veiligheid.
4️⃣ Incident-, problem- en changemanagementOnder aansturing van de ICT-manager richten we processen in om incidenten beter te monitoren. De inzet van TOPdesk helpt om patronen te herkennen voordat ze uitgroeien tot grotere problemen.
Kern van deze aanpak:Niet alleen brandjes blussen, maar structureel leren van kleine incidenten.
5️⃣ DatamanagementWelke systemen bevatten gevoelige data? Hoe lang bewaren we gegevens? En wie mag eigenlijk toegang hebben? Samen met de Senior Applicatiebeheerder richten we het datamanagementproces opnieuw in.
Resultaat:Een heldere structuur voor dataopslag, gekoppeld aan duidelijke toegangsrechten.
6️⃣ Veiligheid op servers en systemenOnder leiding van de Security Officer werken we aan de technische kant: back-ups, patchmanagement en herstelplannen.
Waarom?Een veilige digitale infrastructuur vraagt om meer dan alleen goede wachtwoorden. Het gaat ook om het voorkomen en – als het misgaat – effectief herstellen.
7️⃣ Fysieke veiligheidNiet alles speelt zich af in de digitale wereld. De facilitair manager onderzoekt wie toegang heeft tot gevoelige ruimtes en hoe we papieren dossiers beter beveiligen. Een clean desk-policy is geen overbodige luxe in een tijd waarin papieren documenten nog steeds gevoelig kunnen zijn.
Elke stap, taak en norm leggen we vast in een GRC-tool (Governance, Risk & Compliance). Hierdoor blijft het geheel overzichtelijk, en belangrijker: het wordt behapbaar. Want iedereen doet dit werk naast zijn reguliere werkzaamheden. Een goede vergelijking van GRC-tools voor het Funderend Onderwijs vind je op de site van SIVON.
We werken stap voor stap en plannen elke fase zorgvuldig, met een duidelijke rolverdeling. In juni sluiten we het eerste projectjaar af met een evaluatie en kijken we vooruit naar de projecten voor het komende schooljaar.
Het implementeren van het Normenkader is geen eenmalige klus, maar een veranderprogramma dat vraagt om inzet, samenwerking en doorzettingsvermogen. De eerste stappen zijn misschien het moeilijkst, maar elke stap vooruit verkleint de risico’s en vergroot het vertrouwen in je digitale omgeving.
Sta je voor dezelfde uitdaging en wil je weten hoe je dit binnen jouw organisatie kunt aanpakken? Ik help je graag verder op weg – of het nu gaat om advies, begeleiding of gewoon een sparringsessie om de eerste stap te zetten.
Samen maken we digitale veiligheid praktisch én haalbaar.