juf digibord

Praktijkvoorbeeld

Hoe zorg je voor een IBP-beleid dat voldoet aan de nieuwe Europese wet AVG? En hoe implementeer je dit duurzaam in de gehele organisatie?

De invoering van de nieuwe Europese wetgeving AVG (Algemene Verordening Gegevensbescherming) in 2018 bracht nieuwe eisen en begrippen met zich mee rond digitale gegevens - ook voor scholen. De drie Noord-Limburgse schoolbesturen Dynamiek, Prisma en SPOV wilden samen met Kennisnet en de PO-Raad nieuw IBP-beleid (Informatiebeveiliging en Privacy) ontwikkelen dat voldoet aan de nieuwe wet - en manieren om dit beleid goed te implementeren. Inmiddels is er nieuw beleid en kan iedere school gebruik maken van de negen IBP-puzzelstukken om medewerkers bewust te maken over het onderwerp!

Resultaten


1 Aanpak IBP uitgebreid 
Voor deze versnellingsvraag van start ging, was er al een Aanpak IBP van Kennisnet, een handleiding voor besturen om vooral met IBP-beleid aan de slag te gaan. Dynamiek ontdekte tijdens het volgen van de stappen uit de Aanpak IBP dat er op sommige onderdelen nog aanscherping nodig was. De aanpak is op basis van de opgedane ervaringen tijdens deze versnellingsvraag uitgebreid. Zo zijn er verschillende tools aan toegevoegd. 

Meer weten? Bekijk de Wikiwijs-pagina ‘Aanpak ibp voor het po en vo’

2 Nieuw IBP-Beleid
De deelnemende schoolbesturen Dynamiek, Prisma en SPOV hebben tijdens de versnellingsvraag allemaal nieuw IBP-beleid geformuleerd, dat voldoet aan de nieuwe wetgeving AVG. Dit beleid is gedurende het proces aangescherpt en verbeterd, ook op basis van de nieuwe versies Aanpak IBP. 

3 Inzicht: bewustwording is organisatiebreed nodig
Veel besturen zijn bezig met het IBP-beleid te herformuleren, waardoor de ‘papieren’ basis goed op orde komt. Maar om nieuw IBP-beleid structureel in te voeren is er organisatiebreed bewustzijn nodig en ook informatie over hoe te handelen in de praktijk. Tijdens deze versnellingsvraag is ontdekt dat nog niet iedere school hier aandacht aan besteed. Terwijl een veilige en verantwoorde omgang met data en privacy juist leunt op de medewerking en het bewustzijn van iedereen binnen de organisatie. Incidenten komen voornamelijk door menselijke fouten, niet technologische of technische mankementen. Bij de invoering van nieuw IBP-beleid is het daarom belangrijk om hier niet alleen op bestuurlijk niveau aandacht aan te besteden, maar iedereen binnen de organisatie mee te nemen.  
 
4 Puzzelstukken en IBP-berichten
Om schoolbesturen te ondersteunen bij de duurzame en brede implementatie van nieuw IBP-beleid zijn er tijdens de versnellingsvraag puzzelstukken ontwikkeld. Deze puzzelstukken behandelen negen belangrijke thema’s over IBP op een toegankelijke manier. Bijvoorbeeld over de veiligheid van de werkplek, het gebruik van sociale media, werken in de cloud of het gebruik van beeldmateriaal. Bij ieder puzzelstuk hoort een animatie en een nieuwsbrief die je kunt inzetten om collega’s en medewerkers bewuster te maken over het onderwerp.  

Zelf aan de slag? Bekijk het artikel: ‘Meer bewustwording over informatiebeveiliging en privacy in je organisatie? Zet de IBP-puzzelstukken in!’

5 Inzicht: IBP-beleid is nooit ‘klaar’
Tijdens de versnellingsvraag is ontdekt dat het proces rond IBP eigenlijk nooit klaar is. Er blijven nieuwe informatie en tools komen en bestaande hulpmiddelen zoals de Aanpak IBP van Kennisnet worden ook vernieuwd. Dit betekent dat IBP-beleid en het uitdragen daarvan constant aan verbetering en vernieuwing onderhevig is. 

6 Inzicht: De Functionaris Gegevensbescherming (FG) - intern of extern? 
Sommige besturen leiden intern een Functionaris Gegevensbescherming (FG) op en andere scholen regelen dit extern. Tijdens de versnellingsvraag is ontdekt dat de interne variant enkele uitdagingen en valkuilen met zich meebrengt. Een FG heeft zeer specifieke juridische kennis nodig, wat niet eenvoudig is voor een medewerker om ‘erbij’ te doen. En fouten en incidenten hiermee, kunnen grote en soms dure consequenties hebben, waar je als bestuur nog wel steeds medeverantwoordelijk voor bent.  
 

Achtergrond

Miniatuur

De negen puzzelstukken van informatiebeveiliging en privacy
Hoe betrek je je medewerkers meer bij informatiebeveiliging en privacy (IBP)? Met deze negen puzzelstukken, ontwikkeld tijdens deze versnellingsvraag, weet je zeker dat je alle belangrijke onderwerpen onder de aandacht brengt.

Puzzelstuk 1: de AVG, wat is dat eigenlijk?
De AVG staat voor Algemene Verordening Gegevensbescherming, deze nieuwe Europese wetgeving is in mei 2018 ingegaan. Deze wet bepaalt hoe bedrijven en organisaties met privacygevoelige- en persoonsgegevens om moeten gaan. Privacy is het recht om met rust gelaten te worden en gegevens over jezelf te kunnen controleren. Onder persoonsgegevens verstaan we alle gegevens waarmee je mensen, direct of indirect, kunt identificeren. Denk bijvoorbeeld aan naam, adres, of telefoonnummer. Gegevens over ras, gezondheid of godsdienst vallen onder ‘bijzondere gegevens’. 

Om onderwijs te geven hebben scholen gegevens nodig en volgens de AVG mogen dat alleen gegevens zijn die strikt noodzakelijk zijn. Op scholen bevinden die zich vaak in personeels- of leerlingdossiers en dit vraagt om een zorgvuldige omgang. Het bevoegd gezag, de schoolbestuurder, is volgens de AVG verantwoordelijk voor de verwerking en beveiliging van persoonsgegevens. Medewerkers en leerlingen hebben als betrokkene recht op controle van hun gegevens. De Autoriteit Persoonsgegevens (AP), houdt toezicht op naleving van deze wet. 

Puzzelstuk 2: Informatiebeveiliging en privacy, hoe werkt dat?
Met informatiebeveiliging, wordt de privacy van betrokkenen zoals medewerkers en leerlingen geborgen, en is de voortgang van het onderwijsproces gegarandeerd. Hiervoor moet de informatie op het juiste moment beschikbaar zijn, juist zijn en alleen toegankelijk voor wie er mee moet werken. Wanneer informatie goed beveiligd is, is de school beter bewapend tegen bijvoorbeeld DDos-aanvallen, de uitval van wifi of ongeautoriseerde toegang. Naast informatiebeveiliging met technische maatregelen, is het belangrijk alert te blijven wanneer je met persoonsgegevens werkt.   

Puzzelstuk 3: Hoe voorkom je een datalek?
Privacybescherming en informatiebeveiliging zijn belangrijk, maar soms gaat er wat mis, bijvoorbeeld door een datalek. Dit is een incident waarbij persoonsgegevens verloren gaan of in verkeerde handen vallen. Bijvoorbeeld het mailen van persoonsgegevens naar de verkeerde geadresseerde, het verlies van een laptop of usb-stick, een gehackte computer of een uitgeprint leerlingdossier bij de printer laten liggen. Bewuste omgang met persoonsgegevens is daarom belangrijk en moet ook aantoonbaar zijn. Datalekken moeten zo snel mogelijk gemeld worden op de afgesproken manier en de school moet dit het liefst binnen 72 uur melden bij de AP - er kan een flinke boete op staan. 

Puzzelstuk 4: Hoe ga je om met sociale media?
Via sociale media, zoals Facebook, Twitter, WhatsApp of YouTube, kun je gemakkelijk informatie delen - in beeld tekst en geluid. Sociale media vragen om mediawijsheid. Je bent mediawijs, wanneer je je online kritisch en bewust gedraagt. Leraren dragen deze vaardigheden ook weer over op leerlingen. Voor het gebruik van sociale media in de les is eerst toestemming nodig van het schoolbestuur, en voor leerlingen jonger dan zestien jaar, toestemming van de ouders. Wie namens de school gebruik maakt van sociale media dient bewust te zijn van online gedrag en in ieder geval geen privacy gevoelige gegevens te delen.     

Puzzelstuk 5: Hoe ga je om met werken in de cloud?
Veel scholen werken in de cloud en gebruiken verschillende applicaties om (persoons)gegevens online op te slaan. Dat betekent dat privacygevoelige informatie in handen komt van externe partijen. Met leveranciers hebben scholen daarom een privacyconvenant afgesloten, met afspraken over het verwerken van persoonsgegevens. Ook legt elk schoolbestuur met elke leverancier afzonderlijk de IBP-afspraken vast in de zogeheten ‘verwerkersovereenkomst’. Daarin staat onder meer dat de opslag van persoonsgegevens alleen mag plaatsvinden op servers in de Europese Unie, Noorwegen, Liechtenstein en IJsland. Bestanden mogen alleen opgeslagen worden in de cloudomgeving van de school en bijvoorbeeld niet openbare clouds zoals DropBox of WeTransfer - deze slaan hun gegevens vaak op servers in de Verenigde Staten op.      

Puzzelstuk 6: Hoe houd je je werkplek veilig?
De werkplek bestaat uit verschillende bedrijfsmiddelen zoals: de stoel, het bureau, de computer, de software, internet toegang, leerlinggegevens en het digibord. In de gedragscode van de school staan de omgangsregels hiervoor beschreven. De computer geeft toegang tot gegevens van de school, daarom is er veilige omgang mee nodig. Door bijvoorbeeld een veilig wachtwoord te gebruiken en deze nooit met iemand te delen. Wie wegloopt van zijn computer moet deze vergrendelen. Ook fysieke informatie moet altijd veilig blijven, zoals leerlingdossiers - laat deze niet slingeren. het gebruik van USB-sticks wordt afgeraden, omdat er virussen op kunnen staan, maar ook omdat iedereen bij de gegevens kan. Informatie kan beter niet op de vaste schijf van de computer opgeslagen worden, maar in de cloud van de schoolomgeving.  

Puzzelstuk 7: Hoe blijf je veilig online?
Online informatie delen is gemakkelijk en snel, maar er kleven ook nadelen aan. Voor online veiligheid is bewustzijn nodig over wat je precies aanklikt - klik niet klakkeloos! Cookies volgen je bijvoorbeeld de hele tijd, sommige e-mails proberen je wachtwoord te achterhalen (phishingmails) en sommige links bevatten virussen. Vooral wanneer prive en werk gecombineerd worden op hetzelfde device is er extra voorzichtigheid geboden. Een virus uit de privéomgeving, vormt ook een risico voor de schoolomgeving.       

Puzzelstuk 8: Liever delen dan mailen
Het delen van persoonsgegevens mag volgens de AVG, alleen als dit strikt noodzakelijk is en alleen op veilige manier. E-mail is bijvoorbeeld niet geschikt om persoonsgegevens te delen, ook niet intern, tenzij versleuteld. Een betere optie is om informatie beveiligd te delen, via bijvoorbeeld een beveiligde internetverbinding. Die herken je aan onder meer het ‘https-slotje’ vooraan het webadres. Een andere mogelijkheid is een beveiligde cloud omgeving waar je anderen toegang voor kan geven met een wachtwoord.    

Puzzelstuk 9: Hoe ga je om met beeldmateriaal?
Beeldmateriaal, zoals foto’s en filmpjes, bevatten persoonsgegevens en vallen daarom onder de AVG. De foto ter identificatie in het leerlingdossier is noodzakelijk en mag gebruikt worden, maar alleen daarvoor. Voor het gebruik van beeldmateriaal gelden regels: voor leerlingen tot zestien jaar moeten ouders toestemming geven via een formulier. Dit mag geweigerd, of later ingetrokken worden. Vanaf zestien jaar beslist de leerling zelf. Maar het moet altijd duidelijk zijn voor welk doeleinde het beeld gebruikt wordt. Toestemming voor gebruik in de schoolgids, betekent bijvoorbeeld niet automatisch dat gebruik elders ook toegestaan is. Al deze regels gelden ook voor ouders die binnen de schoolomgeving foto’s maken van leerlingen, overleg is daarbij belangrijk.    

Aan de slag met de puzzelstukken
Deze negen puzzelstukken komen terug in animaties en bijbehorende nieuwsbrieven die je kunt gebruiken om medewerkers van je school op laagdrempelige manier bewust te maken van deze onderwerpen. De puzzelstukken kunnen bijvoorbeeld goed ingezet worden in combinatie met een informatiebijeenkomst. 

Ga direct aan de slag met het artikel: ‘Meer bewustwording over informatiebeveiliging en privacy in je organisatie? Zet de IBP-puzzelstukken in’

Het proces

De vraag indienen

Bij de drie Noord-Limburgse schoolbesturen - Dynamiek, Prisma en SPOV – ontstond de wens om het IBP-beleid beter te formuleren aan de hand van de nieuwe wetgeving AVG en dit in de gehele organisatie in te voeren. De aanleiding was dat de besturen bovenschools meer gingen samenwerken. Dat bleek nog niet zo simpel met drie verschillende digitale omgevingen en met de eisen uit nieuwe wetgeving. Bij ieder bestuur bleken er aanpassingen in het IBP-beleid nodig te zijn, maar hoe en wat, was nog onduidelijk. Daarom dienden de besturen in 2017 de versnellingsvraag in: 

‘Hoe zorg je voor een IBP-beleid dat voldoet aan de nieuwe Europese wet AVG? En hoe implementeer je dit duurzaam in de gehele organisatie?’

Voortbouwen op bestaande successen
Eind 2017 vond er een kick-off plaats, is er een werkgroep samengesteld en vonden de eerste sessies plaats. Hier is een actieplan gemaakt en is er een checklijst samengesteld met 66 actiepunten die voort kan bouwen op de eerder uitgebrachte Aanpak IBP van Kennisnet. Dit is een online stappenplan voor schoolbesturen om bezig te gaan met het onderwerp. Maar deze aanpak richtte zich vooral nog op de beleidsmatige kant van IBP en nog niet zozeer hoe je veranderingen in de praktijk doorvoert. Daarom is een van de doelen van deze versnellingsvraag om deze aanpak uit te bouwen met meer praktische tools en informatie.

Start met beleidsplannen
Op basis van de Aanpak IBP maakten de besturen een eerste versie van de nieuwe beleidsplannen en presenteerde deze aan de Raad van Toezicht van elke stichting. Door de aanpak te doorlopen zijn er ook verbeterpunten ontdekt, waardoor deze weer verscherpt kon worden. 
 
Risicoanalyse 
Op de scholen werden begin 2018 risicoanalyses gemaakt op basis van de checklist, om te onderzoeken waar de valkuilen zitten op het gebied van IBP. Door dit in kaart te brengen werd duidelijk waar nog het meeste werk zat. De vorm van de risicoanalyse werd gedaan via zes clusters van onderwerpen en hierin was nog verbetering in nodig.  

Inhoudelijk viel op dat er nog niet veel afspraken waren gemaakt over het onderwerp, en dat er onder de medewerkers een gebrek aan kennis en vaardigheden was. Tijdens de analyse bleek ook dat menselijk handelen verreweg de zwakste schakel is als het gaat om privacy en veiligheid. Daarnaast bleek er meer aandacht nodig te zijn voor beleidsmatig handelen en het goed inrichten van systemen voor een veilige opslag van gegevens.  

Informatiebijeenkomsten en verbetering beleid
In het voorjaar van 2018 vinden er informatiebijeenkomsten plaats met medewerkers en wordt het IBP-beleid op de scholen verder verbeterd en ingevoerd. 

Inzetten op bewustwording 
Uit de risicoanalyse werd vooral duidelijk dat bewustwording van medewerkers de sleutel is tot een goede uitvoering van het IBP-beleid. Er is besloten om hier invulling aan te geven via een praktische toolkit. De uitgangspunten hierbij waren: laagdrempeligheid, positieve insteek, het mag niet veel tijd kosten, kan hergebruikt worden en is modulair inzetbaar en stimuleert de discussie achteraf. 

Inzichten omzetten in praktische producten
Vanuit deze specificaties is er gekozen voor korte filmpjes en bijbehorende nieuwsbrieven met verdiepende informatie. Deze zijn ingedeeld in negen thematische puzzelstukken over IBP die direct invloed hebben op het handelen van de leraar. Scholen kunnen de nieuwsbrieven en filmpjes gebruiken om de medewerkers bewuster te maken over het onderwerp. 

Zelf aan de slag? Bekijk het artikel: ‘Meer bewustwording over informatiebeveiliging en privacy in je organisatie? Zet de IBP-puzzelstukken in!’

Toekomstplannen
Mede door de feedback die uit de versnellingsvraag is ontstaan wordt de Aanpak IBP herschreven. De toolkit die tijdens de versnellingsvraag gemaakt is, krijgt hierin een vaste plaats.