Ken je dat verhaal van dat jongetje dat zich maandenlang heeft voorbereid, verheugd en verkneukeld over het feestje dat hij gaat geven? En dat vervolgens niemand op dat feestje komt en iedereen dat jongetje eigenlijk maar een zielig kneusje vindt, zonder vriendjes of vriendinnetjes?
Het zou een zielig verhaal kunnen worden, als we zo ook naar het Normenkader IBP FO en de rol van ICT gaan kijken.
ICT die al jarenlang vol overtuiging roept dat informatiebeveiliging geen ICT-feestje is. Dat het Normenkader juist moet zorgen voor echte informatiebeveiliging en niet zoals de invoering van AVG destijds: vooral een papieren tijger. Dat het Normenkader van ons allemaal is.
En nu hebben ze zich voorbereid: het Normenkader doorgenomen, programmaplan gemaakt, een presentatie voorbereid en alle mogelijke voorbereidingen getroffen om echt samen van start te gaan. De eerste strategie- en visiedocumenten liggen al klaar ter goedkeuring. Vol trots worden de plannen gepresenteerd bij het bestuur.
En dan geeft het bestuur schouderophalend niet thuis: Informatiebeveiliging, daar is ICT toch al van? Dit valt toch al onder de verantwoordelijkheid van Bedrijfsvoering en ICT? Waarom moeten wij hiermee lastig gevallen worden? Doe gewoon je werk en kom maar langs als jullie plannen invloed hebben op onze manier van werken. Als wij er dan last van gaan krijgen, kunnen we nog eens beoordelen wat wij daarvan vinden. Tot dan mag je je gang gaan, stilletjes op de achtergrond.
En dus? Gaat ICT terug in hun hok? Gewoon aan de slag?Of komt er een heel klein beetje ‘Carrie’ bovendrijven (Als je die film niet kent, dan moet je die maar even opzoeken …)
Hoe maak je een bestuur, de schoolleiding, de medewerkers duidelijk dat informatiebeveiliging echt niet (alleen) van ICT is?
“Beste ouders, grootouders, verzorgers van schoolgaande kinderen:
Ken je dit filmpje over Ella?
……
Goed hè, dat jullie hierop aangesproken worden?!
Maar … vragen jullie je (bijvoorbeeld via MR of GMR van de school) eigenlijk wel eens hardop af hoe het zit met de informatie en bewaartermijnen op de schoolsystemen: de zorgdossiers, de groepsfoto’s, de leerlingbesprekingen, de ouderinformatie, de medewerkersgegevens, de verzuim- en ARBO-dossiers, de salarisinformatie?
Is het allemaal goed en veilig geregeld? Is helemaal bekend waar deze staan en voor wie deze toegankelijk zijn? Is het risico van lekken, hacken en misbruik bij de school bekend en goed geadresseerd en gedocumenteerd? Zijn er crisisplannen voor als het een keer misgaat?
Iedereen binnen ICT weet dat het geen kwestie is OF het een keer misgaat met informatieveiligheid, maar WANNEER … en of we dat op tijd doorhebben … Paul Ossewold – strategisch adviseur
Iedereen binnen ICT weet dat het geen kwestie is OF het een keer misgaat met informatieveiligheid, maar WANNEER … en of we dat op tijd doorhebben …
Weet de leiding hoe deze informatie door de school of stichting ‘stroomt’, of hoe en wanneer deze met externen wordt gedeeld? Zijn daar duidelijke afspraken over gemaakt? Liggen die afspraken vast? Kortom, heeft het bestuur en de leiding van de school grip op deze gevoelige informatie?
De schoolleiding zal al snel aangeven: Dit ligt bij onze ICT, die zijn daar van. Onze ICT regelt dat. En dat kan prima.
Maar een terecht kritische ouder zou dan wel de vervolgvraag moeten stellen:Beste bestuurder, beste schoolleider: wie is eigenlijk eigenaar van deze informatie? Wie is eindverantwoordelijke voor deze informatie? En wie werken vooral met deze informatie? Is de informatie veilig in jullie handen?
De informatie in leerlingadministratiesystemen, in personeelsinformatiesystemen en in financiële systemen, daar is ICT geen eigenaar van. Misschien beheert ICT deze zelfs niet eens? Heeft ICT überhaupt iets te zeggen over veilig omgaan met de informatie hierin? En waar is dit dan allemaal vastgelegd en wie controleert dat?
Als de schoolleiding dit alles volmondig bevestigend en vol vertrouwen kan beantwoorden en kan laten zien, dan is ook het Normenkader IBP FO een ICT-feestje en in goede handen, dan zijn zij daar van. Dan kan je als kritische ouder gerust zijn. (Wel even controleren, uiteraard.)
Maar als dit in enige mate niet zo is, en HR, Financiën, Bedrijfsvoering, leerlingadministraties, teamleiders, docenten, medewerkers en leerlingen veelal zelf verantwoordelijk zijn voor de informatie die in de schoolomgeving rondgaat en daar eigenlijk weinig voor geregeld of vastgelegd is: eis dan als kritische ouder dat men dit samen oppakt en écht samen werkt aan de uitwerking van het Normenkader IBP FO. Want alleen in samenwerking en gezamenlijke verantwoordelijkheid wordt informatiebeveiliging goed aangepakt. Alleen dan kun je gerust zijn dat het wel goed zit met de data van jouw kinderen. Er ligt een plan, er ligt een draaiboek om die veiligheid te verbeteren. Dat is het Normenkader IBP FO.
Het feestje kan dan samen met jullie gevierd worden, inclusief gezamenlijke successen. Bewustzijn en vastgelegde regels gaan dan hand in hand met dagelijkse praktijk en uitvoering. Kritische afscherming zijn in balans met vrijheid en gemak van werken.Vastgelegde regels en controle waar dit nodig is, vrijheid en blijheid waar dit kan. En iedereen die weet hiermee om te gaan. Een veilig feestje voor iedereen.”
Elke leerling moet kunnen leren in een digitaal veilige schoolomgeving. Ook jouw schoolorganisatie werkt met persoonlijke informatie van minderjarigen én medewerkers. Tegelijkertijd nemen sectorbreed de privacy- en beveiligingsrisico’s toe. Steeds vaker gaat het (bijna) mis, waardoor gegevens op straat komen te liggen of lessen niet kunnen doorgaan. Jij hebt als schoolbestuurder de verantwoordelijkheid om samen met (de) schoolleider(s) en IBP’er(s) een digitaal veilige omgeving voor jouw leerlingen te realiseren.
Het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad werken nauw samen om je te ondersteunen bij het op orde brengen van die digitaal veilige schoolomgeving. Dat doen zij in het programma Digitaal Veilig Onderwijs. Het doel is dat jouw organisatie de digitale veiligheid binnen vier jaar (voor eind 2027) op orde heeft. Door dit samen op te pakken staat je schoolorganisatie er niet alleen voor, is het mogelijk meer efficiëntie te behalen en delen en benutten we kennis en ervaringen.