3.
Aan de slag:
wat kun je doen?
Als bestuurder van een schoolorganisatie draag je de eindverantwoordelijkheid voor IBP. Het is belangrijk om de juiste stappen te zetten om deze verantwoordelijkheid goed uit te voeren. Maar wat kun je doen om ervoor te zorgen dat IBP goed geregeld is binnen je school? En hoe pak je dit effectief aan? Deze zes tips helpen je om de regie te pakken op IBP binnen je organisatie:
3.1 Zes tips voor bestuurders om regie te pakken op IBP
TIP 1
Beleg verantwoordelijkheden duidelijk
Zorg ervoor dat IBP-verantwoordelijkheden zo fijnmazig mogelijk binnen de organisatie worden belegd. Wijs per informatieverwerking een (eindverantwoordelijk) schoolleider aan als informatie-eigenaar. Deze persoon moet goed op de hoogte zijn van de zakelijke belangen en verantwoordelijk zijn voor de beveiliging van die informatie.
TIP 2
Delegeer en controleer
Als bestuurder kun je niet alles zelf doen. Delegeer de operationele verantwoordelijkheden en zorg ervoor dat je regelmatig de voortgang controleert. Dit betekent niet micro managen, maar wel structureel toezicht houden.
TIP 3
Stel de juiste vragen
Er zijn maar weinig bestuurders die zelf expert zijn op het gebied van informatiebeveiliging en privacy. Het is daarom belangrijk om de juiste vragen te stellen om grip te krijgen, zonder te verzanden in micromanagement. De vragen in het kader zijn een goed startpunt.
Vragen die bestuurders kunnen stellen aan IBP'er en schoolleiders
- Hoe weten we dat de maatregelen die we nu treffen afdoende zijn om de risico's waar we aan blootstaan te beheersen?
- Wat is ervoor nodig om te zorgen dat schoolleiders zelf hun verantwoordelijkheid gaan nemen?
- Wat zijn de belangrijkste IBP-risico's voor onze organisatie en hoe werken we eraan om die te verkleinen?
- Hoe werkt ons IBP-beleid in de praktijk? In welke mate worden de vereiste maatregelen ook daadwerkelijk getroffen?
- Hoe ervaren de schoolleiders hun rol voor het nemen van informatiebeveiliging en privacy besluiten? Krijgen ze voldoende ondersteuning?
- Hoe tevreden zijn de inkoopafdeling en de verantwoordelijken voor informatiebeveiliging en privacy over het contact met leveranciers?
TIP 4
Bouw een sterke IBP-cultuur
Zorg dat informatiebeveiliging en privacy niet alleen als verplichtingen worden gezien, maar als integrale onderdelen van de organisatiecultuur. Regelmatige training en bewustwording zijn hierbij essentieel. Vergeet nieuwe medewerkers niet.
TIP 5
Maak gebruik van standaarden en kaders
Steun op bestaande standaarden en normenkaders voor informatiebeveiliging en privacy, zoals het Normenkader IBP en maak gebruik van het beschikbare ondersteuningsaanbod. Dit maakt het eenvoudiger om te voldoen aan de (wettelijke) vereisten.
TIP 6
Plan structureel overleg
Neem informatiebeveiliging en privacy mee in de jaarcyclus en bespreek informatiebeveiliging en privacy regelmatig aan de bestuurstafel. Ten minste jaarlijks, met nadruk op de grootste risico’s (gebruik daarbij het Dreigingsbeeld Funderend Onderwijs 2023 ) en de beheersing daarvan. Gebruik de PDCA-cyclus (Plan, Do, Check, Act) om de maatregelen te implementeren, te evalueren en bij te sturen.
De bovenstaande tips zijn opgesteld door José Teuwen (adviseur bij Kennisnet) en ook aan de orde gekomen tijdens het leertraject 'Regie op digitalisering'. Benieuwd naar meer inspiratie uit het leertraject? In dit artikel vind je 10 lessen om de regie op digitalisering te houden.
Deze tips helpen je als bestuurder om grip te krijgen op IBP in je schoolorganisatie en een veilige digitale leer- en werkomgeving te creëren voor leerlingen en medewerkers. Het Normenkader IBP maakt helder waaraan scholen moeten voldoen, maar in de praktijk liggen nog steeds valkuilen op de loer. Benieuwd welke? Je leest het in dit artikel.
3.2 Sectoroverstijgend leren
Digitale veiligheid is niet alleen een uitdaging binnen het onderwijs. Ook andere sectoren worden geconfronteerd met cyberdreigingen, en daar kunnen wij van leren.
In mei 2023 werd de gemeente Meierijstad slachtoffer van CEO-fraude, waarbij criminelen €37.200 wisten buit te maken. Dit incident was een wake-up call voor de gemeente. (Cyber)Burgemeester Kees van Rooij en Regionaal Beleidsadviseur Integrale Veiligheid Ronny van Gerven delen hun inzichten en lessen, kennis die ook voor schoolbestuurders van onschatbare waarde kan zijn.
Daar waar een (fysieke of digitale) deur openstaat, kunnen cybercriminelen binnendringen. In dit artikel zijn praktijkvoorbeelden uit verschillende sectoren gebundeld, zodat bestuurders sectoroverstijgend van elkaar kunnen leren.
Partners
Partners
