Tijdens de ALV van 1 juni jl. werd door onze vicevoorzitter Ingrid de Bonth een update gegeven over de digitaliseringsagenda, waarna een panelgesprek volgde over het recentelijk gepubliceerde Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Het normenkader IBP FO kan gezien worden als leidraad voor wat veilig is, legde Ingrid uit. Binnenkort komt er ook een groeipad beschikbaar, dat gaat helpen om stap voor stap (Bit by Bit) richting digitaal veilig onderwijs te bewegen. Vanuit het programma Digitaal Veilig Onderwijs wordt hiervoor ondersteuning geboden vanuit het ministerie van OCW, Kennisnet, SIVON en de PO-Raad en VO-raad. Mirjam Bunt van Het Rhedens, Tijmen Smit van Het Kalsbeek College en Merijn Sprenger van Onderwijsgroep Midden-Friesland gingen op het podium het gesprek aan over het normenkader. Ook vanuit de zaal werd actief input gegeven. Lees hieronder een aantal punten die in het panelgesprek naar voren kwamen.
Eerste indruk van het normenkader
Op de vraag "Wat vind je van de uitwerking van het normenkader en hoe tevreden ben je erover?", gaf Mirjam Bunt aan dat ze zich in eerste instantie afvroeg of ze over voldoende ICT-deskundigheid beschikt om deel te nemen aan een panelgesprek over het normenkader. Maar, gaf ze aan: "Ik ben me gaan verdiepen en het is goed om alles op papier te zien. Tegelijkertijd is ook wel zeer uitgebreid. Het normenkader is niet uitnodigend, je krijgt niet direct zin om ermee aan de slag te gaan binnen je organisatie. Binnen de Coöperatie Compacte Schoolbesturen hoor ik ook terug dat het veelomvattend en uitgebreid wordt gevonden. Er zijn vragen over haalbaarheid, het lijkt behoorlijk tijdrovend. Dit alles los van dat het wél fijn is dat het normenkader er is."
Ondersteuning en structurele middelen
Tijmen Smit gaf antwoord op de vraag wat er nodig is voor goede implementatie en welke ondersteuning gewenst is: "De krachtenbundeling met SIVON en Kennisnet is goed. Maar goede ondersteuning, zeker voor kleinere besturen, is ook noodzakelijk. Er zijn verantwoordelijkheden bijgekomen waar geen structurele middelen voor beschikbaar zijn. Daar piept en kraakt het. Verder is het normenkader een goede gespreksleidraad om met verantwoordelijken binnen de school en ICT te bespreken hoe je ervoor staat. Het is inderdaad veelomvattend, maar het is belangrijk dat de normen er zijn."
Samenspel van de diverse actoren
Merijn Sprenger vertelt over het samenspel van de verschillende actoren, zoals ICT, schoolleiders en schoolbestuurders: "Onze privacy officer is bij de gesprekken over het normenkader aanwezig geweest. Als bestuurder moet je goed weten waar het inhoudelijk over gaat om het gesprek goed te kunnen voeren. En er kan nog steeds heel veel, het is niet zo dat niks meer mag. Je moet alleen op andere momenten de juiste vragen stellen. Dat samenspel moeten we als organisatie opnieuw leren spelen. In mijn organisatie is er iemand die de ruimte heeft om dat goed in te vullen en te begeleiden. Als je die mogelijkheid binnen je organisatie nog niet hebt, dan krijg je het lastiger. Maar we moeten het wel doen als besturen, want we werken met gevoelige informatie en dus zijn de gestelde eisen hoog. Voor kleinere besturen kan het moeilijker worden daaraan te voldoen. Het vergt formatieruimte."
Onderscheid eenmalige versus structurele inzet
"Er zit duidelijk onderscheid tussen alle stappen die nodig zijn in de beginfase en wat er structureel nodig is", benadrukt Mirjam Bunt. "Het normenkader is veelomvattend, waardoor het overkomt als dichtregelen. Natuurlijk moet het veilig zijn! Wat wij in onze organisatie hebben gedaan is het mitigeren van de hoge risico's. We hebben gekeken waar we eerst mee aan de slag moesten. Formeel is nog niet alles in beleid geregeld, maar je hebt zo wel zicht op de risico's die je loopt. Juist in het begin, bij de implementatie van het normenkader, is het heel fijn dat je gebruik kunt maken van ondersteuningsaanbod. Of je nu een groot of klein schoolbestuur bent."
Minimale norm voor een digitaal veilig organisatie
Een vraag uit het publiek kwam van Percy Henry van Esprit Scholen: "Waarom is ervoor gekozen om van norm 3 uit te gaan? Op sommige domeinen is dit veel te hoog gegrepen en wordt er overvraagd. En hoe je het ingericht hebt, centraal of decentraal, maakt ook heel veel uit. Waarom hebben ze de adviezen van het werkveld niet overgenomen?"
Noëlle Steeghs, senior beleidsadviseur digitalisering, antwoordde hierop: "Er is in eerste instantie opdracht gegeven aan Kennisnet om het normenkader te ontwikkelen. De Adviesgroep Regie op ICT heeft gevraagd om een minimumnorm aan te wijzen en experts antwoordden: de minimale norm is niveau 3. Daarbij geldt dat het doel niet niveau 3 an sich is, maar het doel is het realiseren van digitaal veilig onderwijs voor leerlingen en medewerkers. Daarvoor breng je in kaart welke risico’s er in jouw organisatie zijn en handel je daarnaar."
Referentiearchitectuur voor regie op ICT in je organisatie
Marc Mittelmeijer van de Vereniging voor Christelijk Voortgezet Onderwijs (CVO) reageerde vanuit het publiek: "Ik ben heel blij met dit onderwerp. De meeste cybercriminelen zitten al in onze systemen, er zijn veel hacks. Het is een onderwerp waarbij onder andere Kennisnet en SIVON ondersteunend kunnen zijn aan de sector, denk ook aan de Referentie Architectuur voor het Funderend Onderwijs (FORA) die Kennisnet heeft ontwikkeld. ICT gaat aan belang toenemen. Naast het normenkader zijn er nog veel meer tools en standaarden beschikbaar die kunnen helpen."
Oproep van de VO-Raad
Afsluitend deed Ingrid de Bonth de oproep om de komende tijd de bevindingen van je organisatie met de toepassing van deze eerste versie van het Normenkader IBP FO actief te delen. Dit kan dan gebruikt worden in de doorontwikkeling ervan. "Zo houden we een stem en houden we zeggenschap over de doorontwikkeling van het normenkader", benadrukte Ingrid. Het delen van bevindingen kan via ibp@kennisnet.nl.