• Praktijkvoorbeeld
• |
• Informatiebeveiliging en privacy
• |
• vo

Privacy Officer Leon van Lare: 'Het Normenkader IBP is voor mij de bijbel'

Leon van Lare van Stichting Onderwijs Midden-Limburg ging direct na publicatie aan de slag met het Normenkader IBP. Dat was maar goed ook. ‘Toen ik met het normenkader begon, dacht ik: we gaan wel even een drie scoren, maar op privacy blijken we nog niet zo volwassen te zijn.’

Door de redactie

10 oktober 2024

5 minuten lezen

De zeven scholen voor voortgezet en Nt2-onderwijs van Stichting Onderwijs Midden-Limburg (SOML) zijn verdeeld over acht locaties. Zo’n 900 medewerkers geven er onderwijs aan ruim 7.000 leerlingen. Leon van Lare werkt ruim twaalf jaar bij SOML, eerst als manager ict en later als Privacy Officer. ‘Informatiebeveiliging is voor mij heel belangrijk. Al 25 jaar werk ik volledig risico-gebaseerd; twintig jaar geleden werkte ik al met een ISO 27000-certificering. En sinds 2018 hanteren we bij SOML de AVG conform de Aanpak IBP van Kennisnet. Maar we hadden daar nooit op gereflecteerd: wat doen we precies en wat kan er beter? Daarom zijn we begin 2023 gestart met een externe audit.’

Direct aan de slag met het Normenkader IBP

Die audit liep al toen het Normenkader IBP in het voorjaar van 2023 werd gepubliceerd. Toch gingen Van Lare en een collega direct aan de slag met het normenkader. ‘Het was toen nog een handreiking in de vorm van een pdf. Die was heel duidelijk, maar er stond vrij weinig in over wat we als school precies moesten doen. Daar heb ik wel mee geworsteld.’ Van Lare besloot zelf een Excelsheet te maken met daarin alle normen. ‘We vulden het sheet in en doorliepen zo het normenkader.’ Met de komst van de vernieuwde versie van het normenkader haalde de praktijk hem echter in. ‘Die vernieuwdeversie is veel eenvoudiger. Op basis daarvan heb ik mijn sheet op veel punten aangepast. Scholen die nu beginnen, hebben het dankzij de update ook een stuk makkelijker: de bewoordingen zijn helderder en er zijn allerlei randzaken uitgehaald. Daarbij helpt het Groeipad je stapsgewijs door het normenkader heen.’ 

‘Het Groeipad is zeker een aanrader’

Zelf gebruikt Van Lare het Groeipad niet. ‘Dat komt doordat ik al een heel eind was in het proces en zelf een stappenplan had gemaakt. Bestuurders die nog moeten beginnen, zou ik het Groeipad zeker aanraden; het is een heel prettige houvast, die je stap voor stap kunt volgen.’ De onderliggende boodschap van het Groeipad dat scholen niet te licht over het Normenkader IBP moeten denken, begrijpt hij dan ook heel goed. ‘Het normenkader is niet niks. Daar wil ik niemand bang mee maken, maar het is een veelomvattende risicoanalyse in de orde van grootte van de ISO 27000-normen. Dat hoort ook zo, want het is belangrijk dat de informatiebeveiliging goed gebeurt. Maar als je als school al de juiste maatregelen nam, komt het nu eenvoudigweg neer op het invullen van wat je doet. Vervolgens hoef je enkel aan de slag te gaan met de proceshiaten die daaruit voortvloeien. Voor mij is het normenkader de bijbel. Als je dat volgt, weet je waar je tegenaan gaat lopen. Je hoeft natuurlijk niet alles tot op de letter te volgen, maar denk wel goed na over wat je aanpak gaat zijn.’

Breed gedragen informatiebeveiligingsplan

Bij SOML gaat iedereen mee in de werkwijze van Van Lare. Het schoolbestuur, de directie, de medezeggenschapsraad en alle andere nauw betrokkenen had hij dan ook tijdig ingelicht. ‘Dat is hier niet zo moeilijk: de deur van het bestuur is letterlijk vijf meter naast die van mij. Ik loop er vaak binnen, de lijntjes zijn kort. Ik heb mijn informatiebeveiligingsplan dus makkelijk met hen kunnen afstemmen en daarna ging het in een moeite door naar de directeuren. Vervolgens stroomde het vanzelf door naar de rest van de organisatie. Iedereen weet dus wat we aan het doen zijn en ziet het belang ervan in.’

Toen ik met het normenkader begon, dacht ik: we gaan wel even een drie scoren. Maar op privacy blijken we nog niet zo volwassen te zijn.

Privacy is de uitdaging

De grootste uitdaging voor SOML is het op orde krijgen van de digitale privacy. Van Lare: ‘Bij onze externe audit werd al duidelijk dat wij als stichting heel goed scoren op het gebied van informatiebeveiliging, maar dat we wat betreft privacy nog niet zo volwassen zijn. Dat komt doordat we dit centraal probeerden aan te pakken, terwijl nog niet iedere school binnen onze stichting even ver was. Toch dacht ik toen ik met het normenkader begon: we gaan wel even een drie scoren. Maar nu ik het privacydeel heb afgerond, blijkt dat we daar nog veel tweetjes scoren.’ Op het vlak van informatiebeveiliging scoort SOML zoals verwacht veel beter. ‘Ik ben nu halverwege de normen en daarop scoren we veel drietjes. Al met al zitten we op een gemiddelde van 2,5 en dat is heel mooi.’

Netwerk IBP: informatie voor het oprapen

Afgezien van zijn met terugwerkende kracht iets te voortvarende start, is Leon van Lare heel blij dat hij met het Normenkader IBP aan de slag is gegaan. Hij zou alle bestuurders aanraden dat ook te doen, en dan vooral met een tweede paar ogen. ‘Zorg dat iemand met je meekijkt, of dat nou iemand is van binnen de school of extern. Maar ik zou niemand aanraden om het alleen te doen. Ik doe dit samen met een collega. Daarbij ben ik aangesloten bij het Netwerk IBP. De bijeenkomsten daarvan zijn erg zinvol en ook het forum is heel handig. Met vragen heb ik hier bij het bestuur vier, vijf man die kunnen meedenken, maar als ik een forum induik met een vraag, dan denken meer dan 500 man met me mee. Informatie ligt er voor het oprapen.’

Gebruik het Groeipad

Ga je aan de slag met digitaal veilig onderwijs? Gebruik dan het Groeipad als wegwijzer door het Normenkader IBP. Bekijk het vernieuwde normenkader en het Groeipad op normenkaderibp.kennisnet.nl.