• Onderzoek
• |
• Informatiebeveiliging en privacy
• |
• po
• vo
• mbo

Monitor IBP 2020: Privacy goed opgepakt, meer aandacht nodig voor informatiebeveiliging

Meer dan driekwart van de bestuurders en medewerkers in het primair en voortgezet onderwijs (po en vo) zegt goed op weg, of bijna klaar te zijn met de implementatie van het IBP-beleid. Dit blijkt uit de Monitor IBP van Kennisnet, de PO-Raad en VO-raad die in 2020 voor de tweede keer is afgenomen.

Door Chris Zintel

12 maart 2020

5 minuten lezen

Grote stappen gezet

82% van de schoolbesturen in het po en 87% van de besturen in het vo hebben hun IBP-beleid geïmplementeerd of zijn ermee bezig. In de Monitor IBP 2018 was dit 75% en 84%. Alle scholen zeggen gestart te zijn. Uit de Monitor blijkt dat scholen grote stappen hebben gezet in:

• het opstellen van beleid
• de inrichting en uitgave van toegangsaccounts
• het toekennen van toegangs- en beheerrechten
• het afsluiten van verwerkersovereenkomsten
• het aanstellen van een Functionaris Gegevensbescherming

Het is een compliment aan de sector dat het de verantwoordelijkheid om goed om te gaan met persoonsgegevens van leerlingen en medewerkers serieus oppakt.

IBP omvangrijke klus

Uit de monitor blijkt ook dat een goede implementatie van IBP een omvangrijke klus is. Veel schoolbesturen blijven bijvoorbeeld nog achter met:

• procedures voor datalekken
• het uitvoeren van risicoanalyses, zogeheten data protection impact assesments (DPIA’s)
• het borgen van de continuïteit van hun digitale processen
• controle op juistheid van verwerkersovereenkomsten en afsluiting met alle relevante partijen

Daarnaast blijkt gerichte aandacht voor IBP een uitdaging. Een voorbeeld hiervan is de kloof in bewustwording en beschikbaarheid van informatie tussen bestuurders, ict-verantwoordelijken en leraren. Dit vraagt om een continue bewustwording binnen de hele schoolorganisatie, wat misschien nog wel lastiger is dan het op papier zetten van de juiste procedures.

Tot slot laat de Monitor IBP ook zien dat privacy van leerlingen meer aandacht krijgt dan informatiebeveiliging en de risico’s die gebruik van data met zich meebrengen. Denk bijvoorbeeld aan het maken van back-ups, het testen op uitval van systemen, het loggen van het gebruik van kritische systemen en het in kaart brengen van de risico’s door middel van een DPIA.

Informatiebeveiliging vergt voor een deel ook andere, meer technische, kennis binnen een een schoolbestuur. Ook is vaak niet duidelijk in welke mate de school hier zelf actie op moet ondernemen, of dat dit de verantwoordelijkheid van de ict-leveranciers is waar de school gebruik van maakt. 

Complex of niet, het onderwijs is voor zowel in de klas als voor de ondersteuning van de organisatie steeds meer afhankelijk van ict die goed werkt en veilig wordt gebruikt.

Speerpunten IBP

Kennisnet, SIVON, de PO-Raad en VO-raad werken daarom samen om scholen zoveel mogelijk te ondersteunen bij het veilig en verantwoord omgaan met gegevens van leerlingen en medewerkers. SIVON is de coöperatie voor po- en vo-besturen. Samen met de sectorraden hebben we een aantal speerpunten gekozen. Waar mogelijk werken we samen met  SURF en MBO Digitaal. We roepen IBP-verantwoordelijken en FG’s die bij willen dragen aan deze activiteiten en op de hoogte willen blijven op om zich aan te melden via ibp@kennisnet.nl. Onze speerpunten voor de komende tijd zijn:

• Minimale IBP-voorwaarden
  Als een schoolbestuur echt alles op orde wil hebben, wat moet je dan doen om ervoor te zorgen dat je echt in control bent? Een gemeenschappelijk toetsingskader, een minimale baseline en ambitie in de hele sector kunnen daarbij helpen. Ook biedt SIVON op basis van samenwerking tussen schoolbesturen diensten aan die scholen helpen IBP goed te regelen, zoals Veilig internet.
• DPIA’s: toetsen gebruik van applicaties en risico’s
  Vrijwel alles scholen gebruiken dezelfde administratiesystemen en leermiddelen. Door ook gezamenlijk op te trekken in de controle daarop kan iedere school gebruikmaken van deze kennis en informatie. Kennisnet en SIVON ondersteunen schoolbesturen in het uitvoeren van DPIA’s en delen de informatie die daaruit komt met alle schoolbesturen. Ook verzamelen we informatie over internationale partijen zoals Google en Microsoft over hoe zij zich verhouden tot privacywetgeving en de wensen van het onderwijs.
• IBP-bewustwording
  Door het verzamelen en delen van praktijkvoorbeelden helpen we scholen met bewustwording rond de omgang met persoonsgegevens. Heeft jouw schoolbestuur goede voorbeelden die je met de sector wilt delen? Neem contact op via ibp@kennisnet.nl.
• Een passend professionaliseringsaanbod
  De IBP-vraagstukken zijn voor elke school dezelfde, maar hoe ver een schoolbestuur is met het structureel inbedden daarvan in de eigen organisatie verschilt. Daarom zorgen we voor een passend aanbod met de Aanpak IBP als basis. We verkennen daarnaast de mogelijkheden voor een leergang en het uitbrengen van een cyberdreigingsbeeld voor po en vo. 
• Een IBP-netwerk voor po en vo
  Samenwerking is een belangrijke pijler om IBP in de hele sector naar een hoger plan te tillen. Dit gaat om het delen van de kennis die binnen schoolbesturen aanwezig is, het samen optrekken in bijvoorbeeld het uitvoeren van DPIA’s, maar ook onderzoeken of we andere vragen gezamenlijk kunnen oplossen met ondersteuning van Kennisnet, SIVON en sectorraden. Er is al veel samenwerking en met de juiste ondersteuning hopen we hierin volgende stappen te zetten. 
• Belangenbehartiging van het onderwijs
  De PO-Raad en VO-raad behartigen de belangen van scholen in gesprekken met onder andere het ministerie van OCW, de Autoriteit Persoonsgegevens en uitgevers van leermiddelen. Zo hopen we ervoor te zorgen dat de manier waarop wetgeving wordt uitgevoerd zo min mogelijk gedoe en administratieve lasten voor scholen oplevert.