De introductie van het Normenkader Informatiebeveiliging en Privacy (IBP FO), naar verwachting verplicht voor schoolbesturen in het funderend onderwijs vanaf 2027, heeft begrijpelijkerwijs gemengde reacties opgeroepen. Deze reacties lijken verrassend veel op de vijf fasen van rouwverwerking, in 1969 door Elisabeth Kübler-Ross zo treffend beschreven. En alhoewel zij daar destijds vast niet aan dacht, merk ik de laatste maanden juist die vijf fasen veel bij schoolbesturen en schoolleiders naar voren komen. Laten we ze eens duiden om te begrijpen hoe we effectief op reis kunnen naar implementatie van ICT Veiligheid en het Normenkader IBP FO.
Veel schoolleiders bevinden zich in de ontkenningsfase, mogelijk door het overweldigende karakter van de nieuwe eisen. De neiging om weg te kijken van het probleem of het te minimaliseren is een natuurlijke eerste reactie. Het jaar 2027 is immers nog zo ver weg. Zo’n vaart zal het toch niet lopen? Ons schoolbestuur is toch veel te klein om hiermee aan de slag te gaan? Het is cruciaal om deze fase te herkennen en te doorbreken door bewustwording en onderwijs over het belang van informatiebeveiliging en privacy.
Ondertussen maakt de overheid het ons heel duidelijk: “Schoolbesturen zijn verantwoordelijk voor een digitaal veilige omgeving voor leerlingen en medewerkers.” (Hulp en ondersteuning voor digitaal veilig onderwijs | Nieuwsbericht | Nieuwsbrieven Ministerie van OCW (nieuwsbrievenminocw.nl))
Om uit deze fase te komen kunnen informatiesessies en workshops helpen om het belang van het Normenkader te benadrukken en de potentiële gevolgen van niet-naleving te laten zien. Niet zozeer vanuit het perspectief van de verplichte regelgeving, maar vanuit het perspectief van de leerling. Als wij niet veilig omgaan met hun data, zullen zij daar een leven lang last van hebben, lang nadat wij zelf van het onderwijstoneel verdwenen zijn. Ken je dit filmpje al: daar krijg je toch kippenvel van?!
En weer komt de overheid met meer regeltjes in een overvol onderwijstakenpakket! We hebben het al zo druk en moeten ons toch vooral richten op de onderwijsachterstanden en de kerntaken van ons onderwijs? Boosheid en frustratie die makkelijk kunnen leiden tot weerstand tegen de verandering.
En geheel onbegrijpelijk is dat niet. Er moet inderdaad al heel veel. En als je het Normenkader doorneemt, met de 15 domeinen, 69 normen en zo’n 181 acties (voorbeeldmaatregelen) kan de woede en onmacht je al snel bekruipen. Wil je het geheel zelf eens lezen? Je vindt het hier: Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs – Aanpak informatiebeveiliging en privacy in het onderwijs (kennisnet.nl)
Het is dan ook van belang om een open dialoog aan te gaan met je schoolleiders en betrokkenen waarin zorgen geuit kunnen worden. Betrek iedereen bij het proces door hen deel te laten nemen aan de besluitvorming over implementatiestrategieën. Maar vooral ook: wijs intern of extern iemand aan die hier de komende jaren een voortrekkersrol in gaat spelen: een programmamanager die weet hoe hij/zij dit aan kan pakken en ervaring heeft met lastige en uitgebreide verandertrajecten.
In de volgende herkenbare fase proberen schoolbesturen de impact van het Normenkader te minimaliseren of uitstel te zoeken: Het jaar 2027 is nog ver weg en ongetwijfeld zal er ook door andere schoolbesturen geklaagd worden en komt er vast wel uitstel. En mogelijk komt dat uitstel er uiteindelijk ook wel, of wordt de soep niet zo heet gegeten als hij wordt opgediend. Maar de realiteit leert mij ook dat het de hoogste tijd is om in actie te komen. We hebben al veel te lang lopen slapen. De data van onze leerlingen en medewerkers zijn niet veilig genoeg, helaas gewoon bijna nergens. En dat KAN NIET langer de norm zijn. Leerlingen en medewerkers hebben echt recht op een veilig databeleid, in de praktijk vormgegeven en zichtbaar in het handelen van iedereen!
Dat vraagt om realistische doelen en haalbare mijlpalen. En gelukkig biedt het normenkader die. Van ‘basis op orde’, via hoog en medium risico’s wegnemen tot verdere verfijning: het stappenplan staat globaal al uitgewerkt in het normenkader zelf. Dus stel een stappenplan op met duidelijke, haalbare doelen en deadlines. Dit helpt bij het creëren van een gevoel van controle en vooruitgang. En ga dan vooral ook aan de slag. Maak meters!
En als je het Normenkader echt tot je neemt en de deadline ziet naderen, zullen gevoelens van overweldiging en hopeloosheid optreden. Geef ruimte aan deze fase, negeer deze niet. Je organisatie zal anders moeten, heeft nog heel veel stappen te zetten, dingen te organiseren en maatregelen te nemen. Een steekproef en eerdere nulmeting onder vijftien schoolbesturen tonen aan dat je niet alleen staat. Geen enkel schoolbestuur behaalde het gewenste niveau van de getoetste onderdelen uit het normenkader (zie Nulmeting Normenkader IBP FO – Dialogic (kennisnet.nl)). Je bent hierin dus niet alleen.
Maar schoolbestuurder: Bied wel ondersteuning en middelen aan. Schakel externe consultants in of stel een speciale IBP-coördinator aan die samen met de Security Officer (die je misschien nu toch maar eens moet gaan werven…) aan de slag gaan.
Want de laatste fase is de aanvaarding van het onvermijdelijke. Dit is het moment waarop schoolbesturen actief plannen moeten gaan maken en uitvoeren. Ga met energie aan de slag. Er zijn veel kansen in dit verandertraject. Niet in de laatste plaats omdat afdelingen die in het verleden nauwelijks samenwerkten, nu met elkaar aan de slag moeten. HR, ICT, leerlingadministraties, kwaliteitsmedewerkers, FG, schooldirecties en Privacy Officers gaan samen beleid maken en uitvoeren. Samen op pad naar een veiliger informatiehuishouding: voorspelbaar, gecontroleerd en op eventuele calamiteiten voorbereid. Medewerkers en leerlingen kunnen zich digitaal veilig voelen omdat de school digitaal veilig is.
Dus gebruik deze fase om een positieve draai te geven aan de implementatie. Benadruk de voordelen, zoals verbeterde veiligheid en vertrouwen van ouders en stakeholders.
Elisabeth Kübler-Ross zal haar model nooit zo bedoeld hebben, maar door het model toe te passen, kunnen schoolbesturen de emotionele reacties op het Normenkader IBP FO begrijpen en hierop inspelen. Het is echt nu de hoogste tijd om te beginnen met de voorbereidingen, zelfs als nog niet iedereen alle fasen heeft doorlopen. Alleen door proactief te zijn en een gestructureerde aanpak te hanteren, kan de overgang naar naleving van het Normenkader in 2027 soepel en succesvol verlopen.
Scholen in het funderend onderwijs worden geconfronteerd met het verplichte Normenkader IBP FO in 2027, leidend tot een emotioneel proces vergelijkbaar met de vijf fasen van rouw. Schoolleiders worstelen met ontkennings-, woede-, onderhandelings-, depressie- en aanvaardingsfasen, terwijl ze zich voorbereiden op de implementatie van strenge informatiebeveiliging en privacyregels. Deze reis vraagt om bewustwording, open dialoog, realistische planning en samenwerking over afdelingen heen, met het uiteindelijke doel een veilige digitale omgeving voor leerlingen en personeel te creëren.
Lees meer …