Digitaal Veilig Onderwijs
Binnen het onderwijs is digitalisering niet meer weg te denken. Het biedt prachtige kansen, zoals meer flexibiliteit en maatwerk. Digitalisering betekent ook dat gevoelige informatie en gegevens digitaal worden verwerkt....
Tabor College kiest voor organisatiebrede en regionale aanpak Normenkader IBP: "Bewustwording, bewustwording, bewustwording"
Sense de Groot is bestuurder van het Tabor College in Hoorn, waaronder drie scholen vallen: d'Ampte, Oscar Romero en Werenfridus. Hij vertelt hoe hij op ‘zijn’ scholen werken en leren digitaal veilig houdt: ‘De mens is doorgaans de zwakste schakel.’
"Informatiebeveiliging en privacy zijn voor mij dagelijkse kost”, vertelt Sense de Groot. Hij was onder meer veertien jaar lang voorzitter van ICT-Noord, een netwerkorganisatie van vo-scholen in het noorden van Nederland. “Het is een rode draad in mijn werk. Met privacyvraagstukken kom je als school zó vaak in aanraking, of het nu gaat om leerlingen of medewerkers. Dit moet je gewoon goed op orde hebben.”
Campagne met video’s
“Privacy en informatiebeveiliging zijn een zaak van iedereen in en om de school”, zegt Sense. “Omdat je als bestuurder nu eenmaal eindverantwoordelijk bent, hoort het thuis op het bureau van de bestuurder. Maar ook schoolleiders, medewerkers, ouders en leerlingen hebben een rol. Daarom hebben we sterk ingezet op bewustwording via heldere communicatie.”
Iedereen op school speelt een rol!
Krijg inzicht in hoe IBP de hele organisatie raakt met deze praatplaat.
Het Tabor College bedacht een campagne met zes video’s voor medewerkers, waarin beveiliging en privacy werden verbonden met de dagelijkse praktijk. “Heel laagdrempelig allemaal, helemaal niet technisch. We leggen bijvoorbeeld uit wat de AVG precies is. En we laten zien hoe je een datalek kunt veroorzaken en wat de consequenties kunnen zijn. Omdat je data van leerlingen in een app zet die je in een les wilt gebruiken, een A4’tje bij de printer laat liggen of je beeldscherm laat aanstaan als je even de klas uitgaat.”
The Privacy Project
Het Tabor College maakte ook een video speciaal voor ouders en leerlingen: The Privacy Project. “Dat hebben we samen met medewerkers, leerlingen en de politie gedaan. De video hebben we breed gedeeld via onze nieuwsbrief, omdat mensen amper beseffen hoe gemakkelijk je een groot incident kunt veroorzaken waarbij data in verkeerde handen terecht kunnen komen.”
De filmpjes slaan aan, merkt Sense: “Als je de video’s hebt gezien, snap je beter dat het iedereen kan overkomen als je even niet oplet. De mens is in de beveiliging doorgaans de zwakste schakel. Een klik op een link is zo gedaan.”
Motorblok
Privacy is natuurlijk niet het enige aandachtspunt als het gaat om digitale veiligheid. Samen met veertien andere vo-besturen in Noord-Holland werkt het Tabor College intensief aan het Normenkader IBP. “Samen hebben we twee jaar geleden de handschoen van het normenkader opgepakt.” De samenwerking begon met een nulmeting: “Waar staan we? Dat bleek behoorlijk uiteen te lopen. Daarom hebben we eerst gewerkt aan een gezamenlijke basis. Van daaruit zijn we per domein verder gaan werken.”
De vijftien vo-besturen ontwikkelen nu samen producten voor het normenkader, volgens een vastgestelde roadmap. Een externe begeleider zorgt er met een zogenaamde voorbereidingsgroep – een groep mensen afkomstig uit alle betrokken besturen – voor dat er projectmatig wordt gewerkt. “Dat is ons motorblok. Voor elk nieuw product komen experts van de betrokken besturen en scholen vervolgens bij elkaar, bijvoorbeeld op het gebied van HR, administratie, financiën of ICT.”
"Samen kun je meer, en het zorgt ook nog eens voor minder werkdruk bij de afzonderlijke besturen."
Aanvullende expertise
“We zijn ervan overtuigd dat je niet allemaal het wiel moet proberen uit te vinden. Samen kun je meer, en het zorgt ook nog eens voor minder werkdruk bij de afzonderlijke besturen. Onze expertises vullen elkaar goed aan en indien nodig maken we ook gebruik van externe expertise. De kosten daarvan delen we vervolgens.”
De producten zijn heel divers, vertelt Sense. “In de producten beschrijven we alles wat aan data en privacy raakt. Denk bijvoorbeeld aan een aanpak van werving en selectie die de privacy van alle betrokkenen borgt. Of aan sleutels en kluisjes van scholen. Bij wie levert een vertrekkende docent zijn of haar pasjes in? En hoe wordt dat geregistreerd?”
Discussie
Het Tabor College zet sowieso allerlei maatregelen in om het onderwijs veilig te houden, vertelt Sense: “Medewerkers kunnen bijvoorbeeld niet zomaar iets installeren op hun apparaten. Daar is soms discussie over, maar iedereen begrijpt wel waarom het zo is geregeld en dat het een hoger doel dient, namelijk de beveiliging van onze data. Als mensen zich daarvan bewust zijn, is het niet langer een besluit van bovenaf, maar een begrijpelijke maatregel.”
Toen leraren AI wilden gebruiken in hun lessen, konden zij dat alleen doen als ze daarvoor een goede onderbouwing zouden aanleveren én uitsluitend met een betaalde licentie plus verwerkersovereenkomst. “We begrijpen dat je als leraar met AI wilt experimenteren, maar we willen niet met onze data betalen voor een zogenaamde gratis tool. Daarom hebben we het veilig georganiseerd.” Het bestuur heeft ook wel eens een phishingmail laten uitsturen door een externe partij, om de ‘klikbereidheid’ van mensen te testen. “Dat was voor veel medewerkers heel leerzaam. Sommigen begrepen later écht niet waarom ze geklikt hadden.”
Meteen in actie
Het Tabor College heeft gelukkig nog niet te maken gehad met een zelf veroorzaakt beveiligingsincident. “Maar toen Iddink een datalek had in april 2024, hadden wij daar ook last van. Natuurlijk schrokken we toen, net als veel andere scholen. We begrepen meteen dat we in actie moesten komen. Binnen een dag (een zaterdag nog wel!) hadden we de communicatie rond en wisten alle betrokkenen wat er was gebeurd en welke data mogelijk waren ontvreemd. Gelukkig heeft het bij ons uiteindelijk niet tot schade geleid, maar we werden wel met onze neus op de feiten gedrukt. Een incident kan zomaar gebeuren, ook al lag dit buiten onze macht.”
Gepast, gereguleerd en gecontroleerd
Sense overlegt elke week met zijn hoofd ICT, die ook privacy officer is, over alles wat met digitalisering, informatiebeveiliging en privacy te maken heeft. Daarnaast maakte hij informatiebeveiliging een onderdeel van het overleg van het centrale managementteam. “Ook dat draagt bij aan de bewustwording. Natuurlijk moet je alles goed op papier hebben volgens het Normenkader IBP, maar het allerbelangrijkst is dat je dit onderwerp top of mind houdt. Dat is onze primaire focus.”
Heeft hij nog tips voor andere bestuurders? “Maak er geen spookverhalen van. Digitalisering maakt hele mooie dingen mogelijk in het onderwijs, maar je moet er gepast, gereguleerd en gecontroleerd mee omgaan. En verder: zoek elkaar op. Het is best een ingewikkeld dossier, maar het wordt een stuk eenvoudiger als je het samen met andere besturen doet. Weet je, het normenkader is geen strafexercitie, en ook geen afvinklijstje. Het is een hulpmiddel om je zaken goed op orde te krijgen en te houden.”
