“IBP-beleid draait niet om regeltjes, het helpt je om jouw scholen veiliger te maken”

Tonny Plas en Robin Heijman

Veel besturen worstelen met de druk van het Normenkader IBP: hoe voldoe je in een paar jaar aan 94 normen? ParnasSys en Privacy op School maken het behapbaar, met IBP-beleid binnen Schoolkwaliteit van ParnasSys. Het geheim: niet de regels, maar de risico’s staan centraal. Tonny Plas van Privacy op School en Robin Heijman van ParnasSys vertellen over de oplossing.

Een pijnlijke realiteit

Als onderwijsprofessional probeer je elke dag een veilige plek te bieden aan leerlingen. Dat doe je tegenwoordig niet alleen in de klas of op het schoolplein, maar ook digitaal. De online risico’s zijn namelijk niet te onderschatten, weet Tonny Plas, privacydeskundige en oprichter van Privacy op School, als geen ander. “In 2019 werden de systemen van de Universiteit Maastricht gegijzeld, waarop ze gedwongen 200.000 euro betaalden. Maar ook dit jaar zijn systemen van verschillende scholen platgelegd door cyberaanvallen. Onderwijsgegevens zijn geld waard, dat is helaas de realiteit.”

Normenkader IBP

Die realiteit leidde tot nieuwe, aangescherpte regelgeving voor het onderwijs: een normenkader van 94 regels, waar je als schoolbestuur in 2027 aan moet voldoen. Met de belofte dat het Ministerie van Onderwijs, Cultuur en Wetenschap toeziet op naleving en handhaving. “Dat zagen we met lede ogen aan. Begrijp me niet verkeerd: duidelijkheid over waar scholen aan moeten voldoen is belangrijk, maar op deze manier komt er een vloedgolf aan regels op je af als school, terwijl je als schoolbestuur vaak niet de kennis en tijd hebt om hier beleid op te ontwikkelen. Bovendien worden de normen nu het doel, terwijl het eigenlijk om iets anders gaat: risico’s beheersbaar maken. Dat moet anders.”

IBP-beleid binnen Schoolkwaliteit

En Privacy op School en ParnasSys doén het anders. Zij ontwikkelden samen IBP-beleid, onderdeel van ParnasSys Schoolkwaliteit. “Hierin hebben wij je IBP-beleid voor 90% voor je opgesteld in voorbeeldteksten. Je hoeft alleen de laatste 10% nog aan te passen aan jullie situatie: de specifieke risico’s die jullie hebben bepaald voor jullie organisatie en wie jullie hiervoor welke verantwoordelijkheid geven. Hierdoor ben je niet blind IBP-regels aan het afvinken, maar maak je risicogestuurd beleid, waarmee je ook echt mensen in beweging krijgt. IBP-beleid draait daardoor niet om regeltjes, het helpt je daadwerkelijk om je scholen veiliger te maken.”

Handvatten voor de praktijk

ParnasSys helpt je namelijk de beleidsteksten effectief te vertalen naar de praktijk. “Je kiest eenvoudig voorgeselecteerde actiepunten op bestuurs- en schoolniveau, die je vastlegt in je beleidsplan of schoolplannen van scholen”, legt Robin Heijman van ParnasSys uit. “Vervolgens houd je de voortgang van die actiepunten bij op je dashboards. Staan er nog punten open? Dan kun je zelf gericht actie ondernemen, of in gesprek met de verantwoordelijken op je scholen. Op die manier houd je grip op de uitvoering van je IBP-beleid en delegeer je de verantwoordelijkheden snel door de organisatie. Bovendien blijf je continu nieuwe plannen maken, monitoren en evalueren. Zo werk je cyclisch aan steeds betere beveiliging.”

Klaar voor volwassenheidsniveau 2

Met IBP-beleid binnen Schoolkwaliteit implementeer je in één klap het beleid om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen. Dat brengt je naar volwassenheidsniveau 2 van het Normenkader IBP. De stap naar niveau 3, dat je als bestuur in 2027 moet bereiken, hangt af van de kwaliteit van de implementatie. “Daarvoor heb je al veel instrumenten in handen met deze nieuwe module binnen Schoolkwaliteit en de combinatie met andere oplossingen van ParnasSys”, zegt Tonny Plas. “Maar verandertrajecten kunnen tijd kosten en de wereld verandert continu. Daarom denken we vanuit Privacy op School graag mee en adviseren we jouw organisatie over hoe je op een slimme, behapbare manier stappen blijft maken bij de implementatie van je IBP-beleid.”

Stap voor stap naar complete regie

Na jaren van onzekerheid lijkt digitale veiligheid met de nieuwe module eindelijk binnen bereik voor schoolbesturen. Of je nou beschikt over inhoudelijke IT-kennis binnen je organisatie of niet. Dat is in ieder geval het grote doel van de bedenkers. Tonny Plas: “Onze missie is geslaagd als scholen de druk van de vele regels en verplichte documenten zien verdwijnen en stap voor stap meer grip krijgen op de risico´s op het gebied van informatiebeveiliging en privacy. En dan bedoel ik niet alleen de privacy officer, of de ICT’er, maar de hele organisatie. Want een veilige school creëer je samen, ook digitaal.”

Bekijk ook de PoScast over het Normenkader IBP van Privacy op School.
Alles over het Normenkader IBP lees je op de website van Kennisnet.
Meer over IBP-beleid binnen Schoolkwaliteit lees je op deze pagina.