Digitaal Veilig Onderwijs
Binnen het onderwijs is digitalisering niet meer weg te denken. Het biedt prachtige kansen, zoals meer flexibiliteit en maatwerk. Digitalisering betekent ook dat gevoelige informatie en gegevens digitaal worden verwerkt....
Digitale veiligheid is een samenspel tussen bestuur en RvT
Bestuurder Freek ten Klooster werkt op het gebied van digitale veiligheid nauw samen met de raad van toezicht van Stichting VCO. Samen zorgen zij dat het onderwerp al jaren hoog op de agenda staat. Daar plukt de stichting nu de vruchten van.
Onder Stichting VCO vallen twaalf basisscholen in Harderwijk en Hierden. Freek ten Klooster is er inmiddels negen jaarvoorzitter van het college van bestuur. “Onze zorg voor digitale veiligheid en privacy begon al toen de AVG-wetgeving net in werking was getreden. Die wet leefde in het onderwijs helemaal niet, maar toch voelde ik dat het belangrijk was. Júist in het onderwijs, omdat we werken met jonge kinderen. Toen ik de AVG besprak met de toenmalige raad van toezicht, gaven de leden aan dat zij het met me eens waren. Vanaf dat moment waren zij mijn sparringpartner op dit onderwerp. Samen zijn we ervoor gegaan.”
Pioniersdocument
“Kijk, eigenlijk wisten we toen nog helemaal niet wat we moesten doen”, bekent Freek. “Maar dát we ermee aan de slag moesten, stond als een paal boven water.” Hij begon met het opstellen van een pioniersdocument, waarin werd vastgelegd wat de wet zou betekenen voor scholen en welke menskracht en middelen nodig waren. “Een van de directeuren gaf aan te willen helpen. En we zijn ook samen met een externe functionaris gegevensbeheer gaan praten. Zo kwam er een flow op gang”, zegt Freek.
Gedrag
Niet iedereen in de organisatie was meteen enthousiast. “Waarom zou je je computer moeten uitdoen als je wegloopt van je bureau? Alleen maar omdat dat in een Europese wet staat? Daarom vergeleken we het vaak met de zorg. Je wilt toch ook niet dat iedereen je medische gegevens kan inzien? Dat snapten de meeste mensen wel. We hadden meteen door dat het eigenlijk allemaal draaide om gedrag. Dat maakte het ook leuker om eraan te gaan werken, want daar ben je als leidinggevende in het onderwijs al veel mee bezig.”
Maar een gedragsverandering realiseer je niet van de ene op de andere dag. Steeds was het de raad van toezicht die zorgde dat hij en zijn collega’s er toch mee door bleven gaan. “Ze bleven ons aanmoedigen en ondersteunen, ook toen naast de AVG de afgelopen jaren ook andere zaken gingen spelen, zoals het Normenkader IBP. Ze vragen niet: ‘Is dit wel goed om te doen?’, maar juist ‘wat kunnen wij doen’ en ‘wat heb je nodig?’. Hun betrokkenheid en heldere prioriteiten maakten het ook mogelijk dat we onze inzet op het gebied van digitale veiligheid een aantal jaren geleden hebben vergroot, met het aanstellen van een bovenschools medewerker die zich onder meer bezighoudt met digitale veiligheid.”
Continu bovenop
De wisseling van de wacht in de raad van toezicht bracht drie jaar geleden nog meer kennis in. Martine Ningbers is accountant en heeft binnen de raad van toezicht als aandachtsgebied financiën en digitale veiligheid – samen met een ander lid - en is bovendien lid van de auditcommissie. “In mijn eigen vakgebied is digitale veiligheid iets wat gewoon geregeld moet zijn”, aldus Martine. “De risico’s als dit niet op orde is, zijn gewoon te groot. Je wilt koste wat kost voorkomen dat persoonsgegevens op straat komen te liggen. We moeten er dus continu bovenop zitten, want de ontwikkelingen op dit gebied gaan in hoog tempo.”
Focus
Toen Martine in de raad kwam, viel haar op dat de focus op cybersecurity beter kon. “We hebben de afgelopen jaren samen gelukkig mooie stappen kunnen zetten, bijvoorbeeld door te gaan werken met het Normenkader IBP. We hebben digitale veiligheid inmiddels ook in het toezichtskader opgenomen. Daarmee is het geborgd. En er ligt een crisisplan, en dat plan wordt ook getest. De stichting is daarnaast lid van School-CERT, voor als het toch een keer misgaat.”
Ook nu gaat het nog steeds vooral om gedrag, aldus Martine. “Dat is het allermoeilijkste. Digitale veiligheid moet echt tussen de oren komen. Dat doen we met allerlei activiteiten, zoals een training die medewerkers bewust maakt van de risico’s van phishing.” Ze volgt ook zelf scholing: “Ik heb als accountant een permanente educatieplicht en daar hoort cybersecurity bij. Dat moet ook, want ook binnen de raad moet ik het gesprek hierover kunnen blijven voeren en agenderen.”
Flow
Stichting VCO werkt inmiddels een paar jaar met het Normenkader IBP, vertelt Freek. Er zijn drie mensen die zich binnen het bestuur ermee bezighouden: hijzelf, de directeur die zich al vanaf het begin in de AVG verdiepte, en een derde persoon die bovenschools werkt. “Het feit dat we allemaal uit het onderwijs komen en snappen hoe dit uitwerkt op de werkvloer, is heel belangrijk. We weten wanneer we in een schooljaar gas kunnen geven en wanneer collega’s er echt geen tijd voor hebben. We staan allemaal in verbinding met collega’s, ook via andere overleggen binnen de stichting. Dat maakt wat wij doen op het gebied van digitale veiligheid echt van ons, van VCO.”
Middels audits, zowel van de IT-partner van de school als eigen onderzoeken, maken het bestuur en de raad van toezicht steeds de balans op waar zij nu staan. Freek: “We zitten nu in de borgingsfase, maar willen wel voorop blijven lopen. We willen dat digitale veiligheid een ‘gewoon’ onderdeel wordt van de bedrijfscultuur van VCO.”
Scherpte
Wringt de samenwerking tussen bestuur en raad van toezicht ook weleens? Martine: “Nou, dit soort processen gaan in het onderwijs niet altijd even snel. We geven als raad van toezicht daarom steeds aan dat je op het gebied van digitale veiligheid stappen moet blijven zetten. Daarvoor gebruiken we onder meer het Normenkader IBP.”
“Ik voel die scherpte echt”, aldus Freek. “Tegelijkertijd is de raad mijn back-up. Als in de organisatie weerstand is, bijvoorbeeld tegen het tempo van veranderingen, dan ben ik gesteund door de raad en kan ik zeggen ‘wat er ook vertraagt, het ontwikkelteam digitalisering moet altijd doorgaan’.”
Wat zouden Freek en Martine andere besturen van gelijke omvang aanraden? Martine: “Kijk of er iemand is in je organisatie die dit echt leuk vindt om te doen.” Freek vult aan: “Zoek andere scholen op en kijk wat je van anderen kunt leren.”
Praktijkvoorbeeld Carmel: digitale veiligheid vereist nauwe samenwerking tussen Raad van Toezicht en Bestuur
In een tijd waarin digitale technologieën de ruggengraat vormen van het onderwijs, is digitale veiligheid belangrijker dan ooit. Het waarborgen van deze veiligheid is uitdagend en een nauwe samenwerking tussen…
Webinar: Het goede gesprek over digitale veiligheid voor toezichthouders en bestuurders
Scholen en kinderopvangorganisaties beheren dagelijks gevoelige gegevens van kinderen, leerlingen, medewerkers en ouders. Daarom is het belangrijk om digitale veiligheid hoog op de agenda te hebben.
