juf digibord

Praktijkvoorbeeld

Hoe maak en implementeer je een IBP-beleid dat voldoet aan de nieuwe Europese wet AVG?

De Europese wetgeving AVG bracht in 2018 nieuwe eisen en begrippen met zich mee rond digitale gegevens - ook voor scholen. De drie Noord-Limburgse besturen Dynamiek, Prisma en SPOV wilden in een versnellingsvraag graag nieuw IBP-beleid ontwikkelen en dit implementeren voor de hele organisatie. Inmiddels staat het nieuwe beleid en zijn negen filmpjes ontwikkeld om medewerkers bewust te maken over het onderwerp. 

Resultaat

Deze versnellingsvraag over Informatiebeveiliging en Privacy (IBP) leverde een aantal mooie resultaten op, waar ook andere scholen en besturen wat aan hebben. Heb je bijvoorbeeld de 'IBP-puzzelstukken' al gezien? Negen handige filmpjes en nieuwsbrieven voor je interne communicatie. 

Aanpak IBP uitgebreid

Voor deze versnellingsvraag startte, was er al een Aanpak IBP van Kennisnet: een handleiding voor besturen om met IBP-beleid aan de slag te gaan. Tijdens het volgen van de stappen uit deze Aanpak, ontdekte Dynamiek dat er op sommige onderdelen aanscherping nodig was. De Aanpak IBP is daarom uitgebreid. Zo zijn er verschillende tools toegevoegd en is er een vernieuwde website ontwikkeld

Nieuw IBP-Beleid voor betrokken besturen

De schoolbesturen Dynamiek, Prisma en SPOV hebben tijdens de versnellingsvraag allemaal een nieuw IBP-beleid geformuleerd, dat voldoet aan de nieuwe wetgeving AVG (Algemene Verordening Gegevensbescherming). Dit beleid is gedurende het proces aangescherpt en verbeterd, ook op basis van de nieuwe versie van de Aanpak IBP.

Inzicht: bewustwording is organisatiebreed nodig

Veel besturen zijn bezig met de herformulering van hun IBP-beleid, zodat de basis 'op papier' prima in orde komt. Maar om nieuw IBP-beleid ook echt structureel in te voeren, dat is toch iets anders. Daarvoor is organisatiebreed bewustzijn nodig over het belang ervan en ook informatie over hoe je moet handelen in de praktijk.

Tijdens deze versnellingsvraag is ontdekt dat nog niet iedere school hier genoeg aandacht aan besteedt. Terwijl een veilige en verantwoorde omgang met data en privacy juist leunt op de medewerking en het bewustzijn van iedereen binnen de organisatie. Incidenten komen voornamelijk door menselijke fouten, niet door technologische of technische mankementen. Bij de invoering van nieuw IBP-beleid is het daarom belangrijk om hier niet alleen op bestuurlijk niveau aandacht aan te besteden, maar iedereen binnen de organisatie mee te nemen in de nieuwe manier van denken.  

Interne communicatie met behulp van de IBP-puzzelstukken en -berichten

Om schoolbesturen te ondersteunen bij de implementatie van nieuw IBP-beleid zijn er tijdens de versnellingsvraag '9 puzzelstukken' ontwikkeld voor de interne communicatie. Deze stukken behandelen negen belangrijke thema’s over IBP op een toegankelijke manier. Bijvoorbeeld over de veiligheid van de werkplek, het gebruik van sociale media, werken in de cloud of het gebruik van beeldmateriaal. Bij ieder puzzelstuk hoort een animatie en een nieuwsbrief die je kunt inzetten om collega’s en medewerkers bewuster te maken over IBP-onderwerpen.  

Inzicht: het IBP-beleid is nooit ‘af’

Tijdens de versnellingsvraag is ontdekt dat het proces rond IBP eigenlijk nooit klaar is. Er blijven nieuwe informatie en tools komen. Dit betekent dat IBP-beleid iets is om constant in de gaten te houden en op te (blijven) investeren binnen een organisatie. 

Inzicht: De Functionaris Gegevensbescherming (FG) - intern of extern? 

Sommige besturen leiden intern een Functionaris Gegevensbescherming (FG) op, andere scholen regelen dit extern. Tijdens de versnellingsvraag is ontdekt dat de interne variant enkele uitdagingen en valkuilen met zich meebrengt. Een FG heeft namelijk specifieke juridische kennis nodig, daardoor is het niet eenvoudig voor een medewerker om het ‘erbij’ te doen. En fouten en incidenten hiermee, kunnen grote en soms dure consequenties hebben, waar je als bestuur medeverantwoordelijk voor bent. 

Achtergrond

Miniatuur

De negen puzzelstukken van Informatiebeveiliging en privacy

Hoe betrek je je medewerkers meer bij informatiebeveiliging en privacy? Met de negen puzzelstukken, ontwikkeld tijdens deze versnellingsvraag, weet je zeker dat je alle belangrijke onderwerpen onder de aandacht brengt.

Puzzelstuk 1: de AVG, wat is dat eigenlijk?

De AVG staat voor Algemene Verordening Gegevensbescherming, deze nieuwe Europese wetgeving is in mei 2018 ingegaan. Deze wet bepaalt hoe bedrijven en organisaties met privacygevoelige- en persoonsgegevens om moeten gaan. Privacy is het recht om met rust gelaten te worden en gegevens over jezelf te kunnen controleren. Onder persoonsgegevens verstaan we alle gegevens waarmee je mensen, direct of indirect, kunt identificeren. Denk bijvoorbeeld aan naam, adres, of telefoonnummer. Gegevens over ras, gezondheid of godsdienst vallen onder ‘bijzondere gegevens’. 

Om onderwijs te geven, hebben scholen gegevens nodig en volgens de AVG mogen dat alleen gegevens zijn die strikt noodzakelijk zijn. Op scholen bevinden die zich vaak in personeels- of leerlingdossiers en dit vraagt om zorgvuldigheid. Het bevoegd gezag, de schoolbestuurder, is volgens de AVG verantwoordelijk voor de verwerking en beveiliging van persoonsgegevens. Medewerkers en leerlingen hebben als betrokkenen recht op controle van hun gegevens. De Autoriteit Persoonsgegevens (AP) houdt toezicht op naleving van deze wet.    

Puzzelstuk 2: Informatiebeveiliging en privacy, hoe werkt dat?

Met informatiebeveiliging, wordt de privacy van betrokkenen zoals medewerkers en leerlingen geborgen, en is de voortgang van het onderwijsproces gegarandeerd. Hiervoor moet de informatie op het juiste moment beschikbaar zijn, juist zijn en alleen toegankelijk voor wie er mee moet werken. Wanneer informatie goed beveiligd is, is de school beter bewapend tegen bijvoorbeeld DDos-aanvallen, de uitval van wifi of ongeautoriseerde toegang. Naast informatiebeveiliging met technische maatregelen, is het belangrijk alert te blijven wanneer je met persoonsgegevens werkt.

Puzzelstuk 3: Hoe voorkom je een datalek?

Privacybescherming en informatiebeveiliging zijn belangrijk, maar soms gaat er wat mis, bijvoorbeeld door een datalek. Dit is een incident waarbij persoonsgegevens verloren gaan of in verkeerde handen vallen. Bijvoorbeeld het mailen van persoonsgegevens naar de verkeerde geadresseerde, het verlies van een laptop of usb-stick, een gehackte computer of een uitgeprint leerlingdossier dat bij de printer ligt. Bewuste omgang met persoonsgegevens is daarom belangrijk en moet ook aantoonbaar zijn. Datalekken moeten zo snel mogelijk gemeld worden op de afgesproken manier en de school moet dit het liefst binnen 72 uur melden bij de AP-er kan een flinke boete op staan.

Puzzelstuk 4: Hoe ga je om met sociale media?

Via sociale media, zoals Facebook, Twitter, WhatsApp of YouTube, kun je gemakkelijk informatie delen - in beeld tekst en geluid. Sociale media vragen om mediawijsheid. Je bent mediawijs, wanneer je je online kritisch en bewust gedraagt. Leraren dragen deze vaardigheden ook weer over op leerlingen. Voor het gebruik van sociale media in de les is eerst toestemming nodig van het schoolbestuur, en voor leerlingen jonger dan zestien jaar, toestemming van de ouders. Wie namens de school gebruik maakt van sociale media dient bewust te zijn van online gedrag en in ieder geval geen privacy gevoelige gegevens te delen.  

Puzzelstuk 5: Hoe ga je om met werken in de cloud?

Veel scholen werken in de cloud en gebruiken verschillende applicaties om (persoons)gegevens online op te slaan. Dat betekent dat privacygevoelige informatie in handen komt van externe partijen. Met leveranciers hebben scholen daarom een privacyconvenant afgesloten, met afspraken over het verwerken van persoonsgegevens. Ook legt elk schoolbestuur met elke leverancier afzonderlijk de IBP-afspraken vast in de zogeheten ‘verwerkersovereenkomst’. Daarin staat onder meer dat de opslag van persoonsgegevens alleen mag plaatsvinden op servers in de Europese Unie, Noorwegen, Liechtenstein en IJsland. Bestanden mogen alleen opgeslagen worden in de cloudomgeving van de school en bijvoorbeeld niet openbare clouds zoals DropBox of WeTransfer - deze slaan hun gegevens vaak op servers in de Verenigde Staten op

Puzzelstuk 6: Hoe houd je je werkplek veilig?

De werkplek bestaat uit verschillende bedrijfsmiddelen zoals: de stoel, het bureau, de computer, de software, internet toegang, leerlinggegevens en het digibord. In de gedragscode van de school staan de omgangsregels hiervoor beschreven. De computer geeft toegang tot gegevens van de school, daarom is er veilige omgang mee nodig. Door bijvoorbeeld een veilig wachtwoord te gebruiken en deze nooit met iemand te delen. Wie wegloopt van zijn computer moet deze vergrendelen. Ook fysieke informatie moet altijd veilig blijven, zoals leerlingdossiers - laat deze niet slingeren. het gebruik van USB-sticks wordt afgeraden, omdat er virussen op kunnen staan, maar ook omdat iedereen bij de gegevens kan. Informatie kan beter niet op de vaste schijf van de computer opgeslagen worden, maar in de cloud van de schoolomgeving.

Puzzelstuk 7: Hoe blijf je veilig online?

Online informatie delen is gemakkelijk en snel, maar er kleven ook nadelen aan. Voor online veiligheid is bewustzijn nodig over wat je precies aanklikt - klik niet klakkeloos! Cookies volgen je bijvoorbeeld de hele tijd, sommige e-mails proberen je wachtwoord te achterhalen (phishingmails) en sommige links bevatten virussen. Vooral wanneer prive en werk gecombineerd worden op hetzelfde device is er extra voorzichtigheid geboden. Een virus uit de privéomgeving, vormt ook een risico voor de schoolomgeving   

Puzzelstuk 8: Liever delen dan mailen

Online informatie delen is gemakkelijk en snel, maar er kleven ook nadelen aan. Voor online veiligheid is bewustzijn nodig over wat je precies aanklikt - klik niet klakkeloos! Cookies volgen je bijvoorbeeld de hele tijd, sommige e-mails proberen je wachtwoord te achterhalen (phishingmails) en sommige links bevatten virussen. Vooral wanneer prive en werk gecombineerd worden op hetzelfde device is er extra voorzichtigheid geboden. Een virus uit de privéomgeving, vormt ook een risico voor de schoolomgeving.  

Puzzelstuk 9: Hoe ga je om met beeldmateriaal?

Beeldmateriaal, zoals foto’s en filmpjes, bevatten persoonsgegevens en vallen daarom onder de AVG. De foto ter identificatie in het leerlingdossier is noodzakelijk en mag gebruikt worden, maar alleen daarvoor. Voor het gebruik van beeldmateriaal gelden regels: voor leerlingen tot zestien jaar moeten ouders toestemming geven via een formulier. Dit mag geweigerd, of later ingetrokken worden. Vanaf zestien jaar beslist de leerling zelf. Maar het moet altijd duidelijk zijn voor welk doeleinde het beeld gebruikt wordt. Toestemming voor gebruik in de schoolgids, betekent bijvoorbeeld niet automatisch dat gebruik elders ook toegestaan is. Al deze regels gelden ook voor ouders die binnen de schoolomgeving foto’s maken van leerlingen, overleg is daarbij belangrijk. 

Aan de slag met de puzzelstukken

Deze negen puzzelstukken komen terug in animaties en bijbehorende nieuwsbrieven die je kunt gebruiken om medewerkers van je school op laagdrempelige manier bewust te maken van deze onderwerpen. De puzzelstukken kunnen bijvoorbeeld goed ingezet worden in combinatie met een informatiebijeenkomst. 

Ga direct aan de slag: ‘Meer bewustwording over informatiebeveiliging en privacy in je organisatie? Zet de IBP-puzzelstukken in’

Proces

De vraag indienen

Bij de drie Noord-Limburgse schoolbesturen - Dynamiek, Prisma en SPOV – ontstond de wens om het IBP-beleid beter te formuleren aan de hand van de nieuwe wetgeving AVG en dit in de hele organisatie in te voeren. Daarom dienden ze in 2017 een versnellingsvraag in: ‘Hoe zorg je voor een IBP-beleid dat voldoet aan de nieuwe Europese wet AVG? En hoe implementeer je dit duurzaam in de gehele organisatie?’

Aanleiding voor de versnellingsvraag was dat de besturen bovenschools meer gingen samenwerken. Dat bleek nog niet zo simpel, met drie verschillende digitale omgevingen én de eisen uit nieuwe wetgeving. Bij ieder bestuur bleken er aanpassingen in het IBP-beleid nodig te zijn, maar hoe en wat, was nog onduidelijk.

Voortbouwen op bestaande successen

Eind 2017 werd een kick-off georganiseerd, werd een werkgroep samengesteld en vonden de eerste sessies plaats. Er werd een actieplan gemaakt en er werd een checklijst samengesteld met 66 actiepunten die voort bouwden op de eerder uitgebrachte Aanpak IBP van Kennisnet. Dit is een online stappenplan voor schoolbesturen om bezig te gaan met het onderwerp. Maar deze aanpak richtte zich vooral nog op de beleidsmatige kant van IBP, en niet zozeer op hoe je veranderingen in de praktijk ook daadwerkelijk laat werken. Daarom was een van de doelen van deze vraag om deze aanpak uit te bouwen met meer praktische tools en informatie.

Start met beleidsplannen

Op basis van de Aanpak IBP maakten de besturen een eerste versie van de nieuwe beleidsplannen en deze presenteerden ze aan de Raad van Toezicht van elke stichting. Door de aanpak te doorlopen, zijn er verbeterpunten ontdekt die aangescherpt konden worden. 

Risicoanalyse 

Op de scholen werden begin 2018 risicoanalyses gemaakt op basis van de checklist, om te onderzoeken waar de valkuilen zaten op het gebied van IBP. Door dit in kaart te brengen, werd duidelijk waar het meeste werk zat. De risicoanalyse werd gedaan via zes clusters van onderwerpen en hierin was nog verbetering nodig.  

Inhoudelijk viel op dat er nog niet veel afspraken waren gemaakt over het onderwerp, en dat er onder de medewerkers een gebrek aan kennis en vaardigheden was. Tijdens de analyse bleek ook dat menselijk handelen verreweg de zwakste schakel was als het ging om privacy en veiligheid. Daarnaast bleek er meer aandacht nodig te zijn voor 'beleidsmatig handelen' en het goed inrichten van systemen voor een veilige opslag van gegevens.  

Informatiebijeenkomsten en verbetering beleid

In het voorjaar van 2018 vonden er informatiebijeenkomsten plaats met medewerkers en werd het IBP-beleid op de scholen verder verbeterd en ingevoerd. 

Inzetten op bewustwording 

Uit de risicoanalyse werd vooral duidelijk dat bewustwording van medewerkers de sleutel was tot een goede uitvoering van het IBP-beleid. Er werd besloten om hier invulling aan te geven via een praktische toolkit. De uitgangspunten hierbij waren: laagdrempelig, positief, niet tijdrovend, geschikt voor hergebruik, modulair inzetbaar en stimulerend voor de discussie achteraf. 

Inzichten omzetten in praktische producten

Vanuit deze specificaties werd gekozen voor korte filmpjes en bijbehorende nieuwsbrieven met extra informatie. Deze zijn verwerkt in negen thematische puzzelstukken over IBP waar een leraar meer te maken krijgt. Scholen kunnen de nieuwsbrieven en filmpjes gebruiken om de medewerkers bewuster te maken over IBP en alles wat daarbij komt kijken. 

Toekomstplannen

Mede door de feedback uit de versnellingsvraag, werd de Aanpak IBP herschreven. De toolkit die tijdens de versnellingsvraag gemaakt is, krijgt hierin een vaste plaats.