Kantoor@oog.nl
Postbus 9853
1006 AN Amsterdam
T: 020 - 640 09 82

Onze adviseurs

Ga naar de pagina van 'Hennie Groot Haar'

Passend onderwijs

Wie nu extra ondersteuning voor een leerling wil regelen, moet met vuistdikke rapporten bewijzen dat een leerling écht een stoornis heeft. Passend onderwijs maakt daaraan een einde.

Personeelsbeleid

Goed onderwijs begint bij kwalitatief sterke leraren. Het in huis hebben van bekwame leraren is echter nog geen garantie voor goed onderwijs. Het benutten van de kwaliteiten van leraren ten faveure van de school, nu en in de toekomst, vraagt om planmatig en zorgvuldig personeelsbeleid

Integrale Kindcentra

Brede school, sterrenschool, integraal kindcentrum en educatief centrum Scholen, kinderopvang, peuterspeelzalen, ouders, opvoedorganisaties en andere maatschappelijke organisaties werken steeds vaker samen in de wijk, het dorp of in de stad. Organisaties komen tot nieuwe samenwerkingsvormen.

Bestuur & management

Bestuurders en managers hebben verschillende rollen en verantwoordelijkheden en acteren op onderscheidende niveaus. Analyseren, organiseren, formuleren, reageren en sturen

Administratiekantoor

Een foutloze en geruisloze administratie is de ruggengraat van uw organisatie. Zonder goed beheer geen beleid. Het AK van OOG kan dat voor u doen, maar we ondersteunen ook grotere besturen die hun eigen administratie voeren. Het proces van insourcing en als achterwacht.

Managementsupport

Hoofd- en bijzaken onderscheiden valt niet altijd mee. Zeker niet met een overvolle agenda. Onvoorziene werkzaamheden, crisissituaties of bijzondere activiteiten vormen dan vaak de spreekwoordelijke druppel. U verliest zicht op het reilen en zeilen in uw organisatie en het privéleven schiet er vaak bij in.

Digitale veiligheid bij swv passend onderwijs: de stand van zaken

Op 25 mei 2018 is de wet Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De afgelopen maanden hebben Berenschot, OOG onderwijs en jeugd en ZIVVER bij ruim twintig samenwerkingsverbanden de Quickscan Digitale Veiligheid in het passend onderwijs uitgevoerd.

De quickscan bestaat uit een aantal interviews met interne medewerkers van het samenwerkingsverband en analyse van relevante documentatie op het gebied van persoonsgegevens, dataverkeer en toegankelijkheid.

Tijdens de interviews bevragen wij medewerkers van het samenwerkingsverband over elf onderwerpen, namelijk Beleid, Organisatie, Objecten van beheer, Personele eisen, Fysieke beveiliging, Beheersprocessen, Logische toegangsbeveiliging, Ontwikkeling en aanschaf van systemen, Incident- en Continuiteïtsmanagement en Naleving. Op deze manier krijgen we een zo volledig mogelijk beeld van het volwassenheidsniveau op het gebied van informatiebeveiliging bij het samenwerkingsverband.

Wat ons is opgevallen is dat de medewerkers van de samenwerkingsverbanden erg bewust zijn van het feit dat zij dagelijks met zeer privacygevoelige informatie werken. De manier waarop hiermee wordt omgegaan verschilt echter per samenwerkingsverband.

 

Onderstaand een korte indruk van de meest voorkomende bevindingen per beleidsterrein.

Als het gaat om beleid, dan zijn veel samenwerkingsverbanden nog niet begonnen met hun beleidsplan in het kader van informatiebeveiliging en privacy (IBP). Dit document is de kapstok en de basis voor het verdere IBP-beleid. Bij de meeste samenwerkingsverbanden is een privacy-protocol aanwezig, maar moet deze nog worden geactualiseerd aan de hand van de richtlijnen van de AVG.

Veel samenwerkingsverbanden  hebben ook nog geen dataregister en autorisatiematrix opgesteld en in veel gevallen is er nog geen Functionaris Gegevensbescherming (FG) aangesteld. Indien u per 25 mei nog geen FG heeft kunnen aanstellen is het van belang dat u op papier aangeeft waarom u hier nog niet aan toe bent gekomen.

Als we kijken naar het bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen (ook wel objecten van beheer genoemd), dan valt op dat er in veel gevallen nog geen verwerkersovereenkomsten en Service Level Agreements (SLA’s) met leveranciers zijn afgesloten. Ook de wettelijke bewaartermijnen worden (nog) niet gehanteerd.

In het geval van personele eisen van informatiebeveiliging ontbreken vaak specifieke en vastgelegde afspraken over geheimhouding en de omgang met vertrouwelijke documentatie. In het verlengde daarvan wordt privacygevoelige informatie bijvoorbeeld nog regelmatig geprint op printer zonder beveiliging, mogen medewerkers van de samenwerkingsverbanden deze informatie mee naar huis nemen en worden fysieke dossiers (zowel van leerlingen als van personeel) op kantoor in kasten en/of ruimtes bewaard die niet altijd afgesloten (kunnen) worden. In een gedragscode informatiebeveiliging kunnen afspraken worden vastgelegd.

Als het gaat om beheersprocessen (het waarborgen van een correcte en veilige bediening van ICT-voorzieningen) dan zien we dat er vaak nog geen specifieke maatregelen worden genomen voor het verwijderen van informatie van gegevensdragers (laptops, tablets en telefoons) bij inname of verlies. Ook is er vrijwel altijd sprake van een impliciete clean desk/clear screen policy; medewerkers weten dat ze dit eigenlijk moeten naleven, maar in de praktijk gebeurd dit niet altijd en zijn regels hierover niet gespecifieerd en/of geformaliseerd.

Veel samenwerkingsverbanden werken met een programma om gegevens te kunnen uitwisselen tussen de aangesloten scholen en het samenwerkingsverband. In een klein aantal gevallen wordt voor de uitwisseling van deze gegevens het reguliere mailsysteem (al dan niet is beveiligd door middel van encryptie) gebruikt. 

Als het gaat om logische toegangsbeveiliging dan vindt er niet op regelmatige basis periodieke controle plaats op tijdelijke rollen, accounts, profielen en toegangsrechten. Ook worden bevoegdheden meestal niet toegekend op basis van ‘need to know’ / ‘need to use’. Opvallend is dat er in veel gevallen geen wachtwoordbeleid is waarin wordt afgedwongen dat wachtwoorden regelmatig moeten worden aangepast en aan bepaalde criteria moeten voldoen.

Bij de ontwikkeling en aanschaf van systemen valt op dat er vrijwel nog geen Mobile Device Management (veilig beheer van mobiele appratuur) is ingeregeld. Van incident- en continuiteïtsmanagement is bij de meeste samenwerkingsverbanden nog geen sprake. Ten slotte kan gesteld worden dat informatiebeveiliging nog geen onderdeel is van de managementcyclus van de samenwerkingsverbanden, waardoor er nog niet periodiek gerapporteerd wordt over de status van de informatiebeveiliging.

Deze impressie van de resultaten overziend is er nog veel werk aan de winkel voor de samenwerkingsverbanden om te voldoen aan de vereisten van de AVG. De wet vraagt samenwerkingsverbanden om aan te tonen dat er voldoende maatregelen zijn genomen om incidenten te voorkomen. Het is goed om te starten met een risicoanalyse en het opstellen van een bijbehorend actieplan, waarin de huidige situatie rondom IBP in kaart wordt gebracht en acties op korte-, middellange- en lange termijn worden ingepland. De samenwerkingsverbanden waarbij wij de quickscan hebben afgenomen gebruiken deze als leidraad voor dit actieplan. Ons advies is om hier geen papieren exercitie van te maken, maar slim gebruik te maken van wat er al voor handen is (o.a. via de PO- en VO-raad en Kennisnet).

Is uw samenwerkingsverband helemaal klaar voor de AVG?

Heeft u behoefte aan een concreet actieplan waarmee u gelijk meters kunt maken als samenwerkingsverband?

Ruim twintig samenwerkingsverbanden zijn reeds met onze concrete aanpak aan de slag. U ook?

 

Neem dan contact met ons op:

Fraukje Selen van OOG onderwijs en jeugd
i-veiligheid@oog.nl
020 – 64 00 982

Willemien Bakker van Berenschot
w.bakker@berenschot.nl
030 – 2 916 847

Geert van Deth van ZIVVER
Geert.vandeth@zivver.com
085 – 01 06 555