2.
Wie doet wat?
Rollen en verantwoordelijkheden
Informatiebeveiliging en privacy (IBP) zijn belangrijke thema’s binnen elke school. Wat zijn de verschillende rollen, functies en taken? Wie is er verantwoordelijk en wie voert de maatregelen uit? Elke school organiseert IBP op een eigen manier. Op kleinere scholen ligt de uitvoering vaak bij één of enkele medewerkers. Grotere scholen verdelen de taken over meerdere functies. Dit hoofdstuk geeft een overzicht van de belangrijkste rollen en hun verantwoordelijkheden.
2.1 Wie is verantwoordelijk?
De volgende rollen zijn op scholen (eind)verantwoordelijk voor IBP:
- Het schoolbestuur (lees hier hoe het bestuur van vereniging OMO digitale veiligheid aanpakt)
- De voorzitter van het College van Bestuur
- De directeur/schoolleider (lees hier wat je als schoolleider kunt én moet doen aan digitale veiligheid)
Zij bepalen waarom en hoe persoonsgegevens worden verwerkt. Ze stellen IBP-beleid op, evalueren het regelmatig en wijzen rollen en taken toe binnen de organisatie.
2.2 Uitvoering
De uitvoering van IBP hangt af van de grootte en structuur van de schoolorganisatie. Op kleinere scholen neemt een ICT-coördinator vaak veel taken op zich. Grotere scholen werken met meerdere specialisten. Afhankelijk van de maatregelen zijn de volgende rollen vaak betrokken bij de uitvoering van IBP:
- ICT-coördinator
- Privacy Officer
- Manager IBP
- Verantwoordelijke IBP
- Informatiemanager
- Security Officer
- Functioneel beheerder
- ICT-beheerder
2.3 Toezicht en advies
Informatiebeveiliging en privacy zijn een essentieel onderdeel zijn van de schoolorganisatie. De Raad van Toezicht houdt in de gaten of IBP de aandacht krijgt die het verdient. De RvT stelt kritische vragen aan het bestuur en zorgt dat digitale veiligheid een vast agendapunt is. Lees hier hoe Stichting Carmelcollege de samenwerking tussen Raad van Toezicht en Bestuur vormgeeft. De Functionaris voor Gegevensbescherming (FG) controleert of de school de privacywetgeving naleeft, geeft advies en is betrokken bij incidenten en klachten.
2.4 Wanneer is instemming nodig?
Sommige IBP-maatregelen kunnen niet zomaar worden ingevoerd. Als ze direct invloed hebben op de privacy van leerlingen en medewerkers, is instemming nodig van de (G)MR. Dit geldt voor:
- Het IBP-beleid
- Het privacyreglement
- Het reglement cameratoezicht
- De gedragscode veilig gebruik ICT-middelen en persoonsgegevens
2.5 Meer weten? Bekijk het overzicht van Kennisnet
Wil je precies weten wie welke rol heeft? Kennisnet zet dit op hun website over het Normenkader IBP helder uiteen via het Groeipad. Als je gebruik maakt van het Groeipad, dan doorloop je vijf verschillende fases. Per fase krijg je een overzicht van de deelprojecten, inclusief de verschillende rollen die hier nodig zijn en de verantwoordelijkheden die bij elke rol horen.
2.6 Handreikingen voor bestuurders en toezichthouders
Om grip te krijgen én te houden op digitale veiligheid, is structurele aandacht nodig van bestuurders en toezichthouders. Daarom hebben de PO-Raad en VO-raad speciale handreikingen ontwikkeld:
- Voor bestuurders: De interactieve handreiking 'Sturen op digitale veiligheid', ontwikkeld door de PO-Raad en de VO-raad in samenwerking met Kennisnet. Aan de hand van een lemniscaat wordt uitgelegd hoe IBP een vast onderdeel kan worden in de jaarlijkse planning- en controlcyclus.
- Voor interne toezichthouders: De handreiking ‘De rol van de RvT bij digitale veiligheid’, ontwikkeld door VTOI-NVTK, PO-Raad, VO-raad en Kennisnet. Hierin wordt uitgelegd waarom IBP een belangrijk toezichtsthema is en hoe het Normenkader IBP daarbij helpt.
Met deze handreikingen heb je als bestuurder en toezichthouder handvatten om je rol te kunnen pakken en de juiste verantwoordelijkheden te nemen.
Partners
Partners
