Artikel

Aan de slag met de AVG

Ze is pas een aantal maanden van kracht: de Algemene Verordening Gegevensbescherming (AVG). Maar veel scholen waren al geruime tijd bezig om zich zo goed mogelijk voor te bereiden op deze nieuwe Europese privacywet. Zo ook Dynamiek, Prisma en SPOV: drie Noord-Limburgse schoolbesturen die in 2017 een versnellingsvraag hebben ingediend. Het doel was om gezamenlijk beleid rond Informatiebeveiliging en Privacy (IBP) te formuleren en te implementeren binnen hun 51 scholen. Wat hebben zij tijdens dit traject geleerd en waar liepen zij tegen aan? En hoe kunnen zij andere scholen verder helpen?

Aanpak IBP als startpunt

Net als veel andere scholen heeft Dynamiek gebruik gemaakt van de Aanpak IBP van Kennisnet, de VO-raad en de PO-Raad. Deze aanpak helpt scholen en besturen bij hun zoektocht naar goed IBP-beleid. ,,Een onmisbare tool om IBP beleid te formuleren en implementeren”, aldus Arno Coenders die binnen Dynamiek het IBP-beleidsplan heeft opgesteld. Uit eigen ervaring weet hij dat het vormgeven van beleid rondom IBP geen eenvoudige ‘invuloefening’ is. Door het invullen van formats komt de benodigde kennis niet in de school. Zijn advies aan andere scholen is dan ook om ,,te investeren in het begrijpen en toepassen van de mechanismes binnen de AVG en IBP”.

Autorisatiebeleid

Een van de eisen van de AVG is een duidelijk autorisatiebeleid. Hierin is vastgelegd wie welke gegevens kan inzien, bewerken of opslaan, voor welke periode, op welk moment. Het is van belang om deze rollen, en hun toegangsrechten goed vast te leggen. Het spreekt voor zich dat stagiaires en invallers bijvoorbeeld andere toegangsrechten moeten krijgen dan bijvoorbeeld een directeur. Maar dat is makkelijker gezegd dan gedaan. Want hoe regel je veilig en verantwoord toegang voor een leraar in de flexpoule die wekelijks op meerdere scholen voor de klas staat? ,,De AVG geeft geen antwoorden, als bestuur dien je zelf aan de slag te gaan met een passend autorisatiebeleid,” aldus Coenders.

Bewustwording en deskundigheidsbevordering

Om aan de eisen van de AVG te kunnen voldoen, is meer nodig dan het op orde hebben van het IBP-beleidsplan. Het is van belang dat het beleid landt op de werkvloer, zodat medewerkers er ook naar handelen. Dit vraagt om speciale aandacht voor bewustwording en deskundigheidsbevordering van medewerkers. Zoals de drie schoolbesturen eerder constateerden, is de mens ‘de zwakste schakel’ waar het aankomt op het voorkomen van risico’s als bijvoorbeeld datalekken.