Scholen houden steeds meer (persoons)gegevens bij over studenten en medewerkers, en wisselen deze informatie uit met externe partijen. Je hebt daarbij de taak om zorgvuldig met die informatie om te gaan. Dat vraagt om aandacht voor Informatiebeveiliging en Privacy (IBP). Maar waar begin je? Hutspot biedt scholen een passende aanpak om daar grip op te krijgen!
Informatiebeveiliging en privacy (IBP) is een onderwerp dat, mede onder invloed van veranderende (Europese) wetgeving met (financiële) sancties, in korte tijd hoog op de agenda van mbo-scholen is komen te staan. Studenten en medewerkers mogen ervan uitgaan dat de school hun gegevens goed en vertrouwelijk behandelt. Daarnaast is het van groot belang dat de kerntaak van het mbo onderwijs, namelijk het geven van goed onderwijs en het daarbij behorend diplomeren van haar studenten, op een betrouwbare en correcte wijze wordt uitgevoerd. Diploma’s zijn maatschappelijk van grote waarde en mogen nooit ter discussie komen te staan.
Wij geloven dat je met een goede aanpak voor IBP zorgt voor een veilige en leefbare werk- en leeromgeving. En dat je daar komt door aan de slag te gaan met de mens, de organisatie én de techniek. Het gaat daarbij om bewustwording, gedrag en cultuur. Maar ook om breed gedragen beleid, duidelijke procedures én passende ICT maatregelen.
Wij helpen scholen met een pragmatische en tot-de-kernaanpak. We starten met een risicoanalyse, creëren daarmee bewustwording, geven concrete handvatten en helpen met het realiseren van quick wins en een vervolgaanpak. Zo geven wij het College van Bestuur, management en medewerkers grip op Informatiebeveiliging en Privacy.
Wellantcollege is een van de scholen die aan de slag wilde met IBP. De school heeft locaties in Noord-Holland, Zuid-Holland en Midden-Nederland en heeft zo’n 1.400 medewerkers en 13.000 studenten. Hutspot is gevraagd om samen met partner LBVD in de rol van kwartiermaker inzicht te geven in hoe het binnen Wellantcollege gaat met de bescherming van persoonsgegevens en waar de risico’s op het vlak van informatiebeveiliging en privacy liggen.
Omdat een goede IBP aanpak gaat om de balans tussen mens, organisatie en techniek heeft Hutspot voor Wellantcollege, op basis van haar vraag, een aanpak uitgewerkt in vier lijnen. Onderstaand figuur visualiseert de aanpak, de activiteiten, (tussen)resultaten en de doorlooptijd.
Om het onderwerp IBP binnen Wellantcollege – betekenis te geven is een informatiecampagne ontwikkeld gericht op medewerkers. We zetten hiervoor de bestaande kanalen op school in. Zo sluiten we aan op de manier waarop mensen gewend zijn om informatie tot zich te nemen. Dit combineren we met frisse middelen in de vorm van tekeningen, animaties en korte filmpjes. Doel is om medewerkers bewust te maken van IBP, de risico’s en hun eigen rol daarin. Tegelijkertijd wordt gewerkt aan draagvlak voor de maatregelen die genomen moeten worden. We snijden de boodschap toe op de belevingswereld van de medewerkers van de school en zorgen voor een eenduidige stijl die herkenbaar wordt binnen de organisatie. Een informatiecampagne ziet er voor iedere organisatie dus ook anders uit.
Om inzicht te krijgen in waar de risico’s (centraal en op locaties) liggen, organiseren wij workshops risicoanalyse. Samen met een representatieve groep medewerkers hebben we, op basis van het IBP Normenkader mbo (saMBO-ICT IBP Framework) risico’s geïnventariseerd en geprioriteerd. Om het normenkader en de risico’s dichter bij de belevingswereld van de deelnemers aan de risicoanalyse te brengen, is per risico een visualisatie gemaakt. Door op deze manier beeld en tekst te combineren vergroten we het begrip en de snelle verwerking van de potentiële risico’s door de deelnemers. Het doel: een beter(e) (doordachte) prioritering.
Het resultaat is een prioritering van risico’s (onderwerpen) die voor Wellantcollege om maatregelen vragen. Met daarbij een lijst van potentiële maatregelen die door de deelnemers zelf zijn bedacht én vanuit expertperspectief zijn aangevuld. Zo creëer je draagvlak voor het vraagstuk, de prioriteiten en krijg je grip op mogelijke oplossingsrichtingen.
De risicoanalyse en brainstorm over maatregelen geven inzicht in mogelijke quick wins. Quick wins zijn snel te realiseren maatregelen die, met beperkte inzet van tijd en geld, bijdragen aan het wegnemen of verminderen van bepaalde risico’s. Wij helpen scholen bij het realiseren van deze quick wins. Door de opdracht met scherpe opdrachtomschrijving mee te geven aan de juiste persoon in de organisatie en deze daarbij hulp te bieden. Óf door de realisatie zelf op te pakken.
De risicoanalyse geeft handvatten voor het uitwerken van een aanpak voor de korte (quick wins) en de langere termijn. De aanpak op de langere termijn gaat over het organiseren van informatiebeveiliging middels de PDCA-cyclus.
Na het uitvoeren van een risicoanalyse is het doel om de hoogst geprioriteerde risico’s terug te brengen naar het gewenste volwassenheidsniveau van school. Dit wordt afgezet tegen de middelen (tijd en geld) die de school beschikbaar kan en wil stellen. Wij helpen de school bij het bepalen van het huidige volwassenheidsniveau (nulmeting: waar sta ik nu?), bij het bepalen van de stip op de horizon (ambitie: waar wil ik naartoe?) en het bijbehorende tijdpad. Het plan van aanpak dat daaruit volgt geeft inzicht in welke set van maatregelen worden gerealiseerd, voor welke risico’s, met welke middelen (tijd en geld), in welk tijdpad en wie de verantwoordelijk draagt.
Wij geloven dat een goede aanpak voor IBP start met het krijgen van grip (waar gaat het voor mij over?), draagvlak (bewustwording risico’s, noodzaak van maatregelen), een plan (waar wil ik naartoe?) en daadkracht (realiseren maatregelen, het proces van verbetering). En dat je daar komt door aan de slag te gaan met de mens, de organisatie én de techniek.
Meer weten of verder praten, neem contact op met Tom!
Neem dan contact met ons op, we maken graag een afspraak