2 jaar geleden werd de AVG ingevoerd. Het goed regelen van Informatiebeveiliging en privacy werd prioriteit, ook in het onderwijs. Iedere school ging aan de slag, ieder met een eigen aanpak. Stichting Confessioneel Onderwijs Leiden koos voor een aanpak, met een risicoanalyse als startpunt.
“We hebben eerst een risicoanalyse laten maken en die als uitgangspunt genomen om verder te werken aan onze informatiebeveiliging en privacy (IBP)”, vertelt Melle Kramer, functionaris gegevensbescherming (FG) bij SCOL.
“In eerste instantie hadden we een brede werkgroep opgezet voor dit onderwerp. Al snel kwamen we tot de conclusie dat het efficiënter was om met een kleine, slagvaardige groep te werken. Ik ben toen samen met de bestuurssecretaris en een communicatieadviseur aan de slag gegaan. Dat was een wendbare groep die snel meters kon maken met de ‘rode’ punten uit de risicoanalyse. Die punten lagen op 3 vlakken: beleid, techniek en gedrag.”
Bewustwording
“Eerst hebben we een protocol en een reglement opgeleverd, waarbij we voorbeelden gebruikten van Kennisnet en de Erasmus Universiteit. Die documenten hebben we op een centrale plek aangeboden voor de aangesloten scholen. Daarna zijn we aan de slag gegaan met de aspecten techniek en gedrag. Een interessant speelveld dat het belangrijkste aspect van de AVG omvat: bewustwording.”
Dat bevestigt Frits Hoekstra, voorzitter van het college van bestuur van SCOL. “Iedereen die in het onderwijs werkt, moet beseffen dat we werken met gevoelige persoonlijke gegevens van leerlingen. Wij moeten daar als school zeer zorgvuldig mee omgaan. Hierover hebben we op alle niveaus met elkaar gesproken: waarom is dit belangrijk? Wat kan wel en wat kan niet? Dankzij de AVG weten we nu veel scherper welke data we waar opslaan. De documentatie van Kennisnet heeft goed geholpen bij deze inventarisatie.”
Praktische uitvoering
Melle: “Vervolgens kwamen we bij de praktische uitvoering. Hoe regel je dit voor 21 schoollocaties? Wij hebben gekozen voor een privacy officer (PO) per locatie. We hebben een taakomschrijving gemaakt, die we deelden met alle schooldirecteuren. Elke school werd gevraagd om 1 medewerker naar voren te schuiven. Zo hebben we de juiste mensen gevonden en getraind.”
“Vervolgens hebben we met de PO’s nagedacht over praktische IBP-vraagstukken. Namen op de stoeltjes tijdens een ouderavond, mag dat wel? En foto’s maken tijdens evenementen op school? Dat werkte heel verhelderend. We komen nu jaarlijks 4 keer bij elkaar met alle PO’s. Als FG deel ik ook alle belangrijke informatie met de PO’s via een platform. Zo hebben we de afgelopen 2 jaar een solide basis weggelegd, die ook is opgenomen in PDCA-cyclus. Ik kan als FG nu echt sturen en monitoren.”
“Ons succes zit ‘m in kleine stappen en iedereen meenemen. We kijken vooral naar wat praktisch en werkbaar is. Je kunt bijvoorbeeld wel van hogerhand instellen dat alle computers na 5 minuten vergrendeld worden, maar dat is voor leraren die vanaf hun computer lesgeven niet werkbaar. Daar moet je dus samen een oplossing voor vinden. We willen leraren hierin zo veel mogelijk ontzorgen.”
Neem iedereen erin mee
Frits: “Daarom hebben we ook de medezeggenschap vanaf het begin betrokken. Zij zagen hier ook het belang van in. Samen met hen hebben we de middenweg gevonden tussen IBP enerzijds en werkbare oplossingen anderzijds. Ik denk dat we daar goed in geslaagd zijn.”
Melle: “Samen hebben we ervoor gezorgd dat de AVG is veranderd van iets groots en obscuurs in iets praktisch en werkbaars. Daarbij heeft het zeker geholpen dat ik zelf ook jaren voor de klas heb gestaan. Het helpt als je je kunt inleven in de collega’s op de werkvloer.”
Frits: “Bewustwording is het belangrijkste aspect van de AVG. Mijn advies aan andere organisaties is daarom: praat vooral met elkaar over het waarom van de AVG. Wij hebben soms extra tijd genomen om mensen hier goed in mee te nemen. Zo hebben we uiteindelijk een gezonde balans gevonden, waarbij het werkplezier behouden is.”
“Een toekomst zonder datalekken lijkt me een illusie, maar dankzij de toegenomen bewustwording is het risico daarop wel zo klein mogelijk. Ik merk nu dat collega’s bij nieuwe ontwikkelingen vragen terug beginnen te stellen. Hoe zit het met de veiligheid van onze data? Kan dit wel volgens de AVG? Kijk, dán zijn we waar we willen zijn.”