Het Normenkader IBP is géén technische checklist voor jouw ICT-faciliteiten en instellingen. Het is een fundamentele bestuurlijke opgave over beleid, processen, rollen risicomanagement en technische maatregelen. Veel schoolbesturen en IBP-coördinatoren worstelen met dezelfde kernvragen: Wie is écht verantwoordelijk? En hoe vertaal je het Normenkader naar een veilige en vooral werkbare praktijk? In deze blogpost geven we uitleg over de stappen die je het beste samen met je ICT-partner kunt zetten.
Een van de meest urgente vragen binnen het onderwijs is de eindverantwoordelijkheid. Het Normenkader IBP en de AVG zijn helder: het schoolbestuur is de eindverantwoordelijke voor het vaststellen van het IBP-beleid en het waarborgen van de digitale veiligheid. Dit betekent dat de bestuurder altijd de regie moet voeren.
Dit leidt direct tot de volgende vragen van ICT-beleidsbepalers:
Het antwoord ligt in heldere mandatering en controle. Je kunt de uitvoering delegeren, maar de regie en het toezicht niet. Daarom is een van de eerste stappen in het groeipad het vaststellen van een duidelijke IBP-visie en strategie. Zonder dit fundament weet niemand welke prioriteiten gesteld moeten worden.
Zodra het bestuur de strategie heeft bepaald, ligt de uitdaging voor de IBP-coördinator in het vertalen van dit abstracte beleid naar concrete, werkbare richtlijnen en procedures voor schoolleiders en de leerkrachten. Een onbegrepen beleid is immers waardeloos. Hier speelt de ICT-dienstverlener een cruciale rol, omdat beleid en techniek onlosmakelijk verbonden zijn. Goed beleid omvat domeinen zoals het authenticatiebeleid (waarbij beleid en technische tools als Multi-Factor Authenticatie en wachtwoordmanagers samenkomen), het incidentenbeleid (waarbij het beleid de stappen bij een datalek beschrijft en de ICT-partner de technische monitoring en back-up/herstel-procedures gereed heeft), en beleid voor acceptabel gebruik (dat zowel beleidsmatig als technisch via de veilige inrichting van de omgeving moet worden geregeld). De belangrijkste les is dat het schrijven van het beleid en de technische implementatie gelijktijdig en afgestemd moeten gebeuren om het Normenkader succesvol te implementeren.
Het Normenkader IBP legt de nadruk op essentieel ketenbeheer en heldere rolafbakening, wat de relatie met ons als jouw ICT-dienstverlener cruciaal maakt. De kernvraag is welke beheersmaatregelen je aan ons kunt uitbesteden en welke taken intern moeten blijven. Als ICT-dienstverlener kunnen wij de technische domeinen van het Normenkader, zoals netwerkbeveiliging, patchmanagement en het veilig inrichten van jouw cloudomgeving, volledig voor je uitvoeren.
Het is logisch om een aantal cruciale taken binnen jouw eigen organisatie te behouden: het risicomanagement (het bepalen van de risico’s is immers contextafhankelijk) en het vaststellen van het IBP-beleid. Daarnaast dien je zelf de regie op de ketenbeheer te doen, wat neerkomt op het controleren of onder andere wij, jouw leverancier, aan de gestelde eisen voldoen.
Kortom: Zorg ervoor dat je ICT-partner al aan tafel zit bij het formuleren van het IBP-beleid. Alleen dan kunnen we de juiste technische inrichting implementeren die naadloos aansluit op jouw bestuurlijke visie en de eisen van het Normenkader.
Wil je de basis op orde brengen en weten welke Normenkader-vragen wij voor je oplossen? Neem gerust contact met ons op voor een vrijblijvend gesprek. We brengen je huidige IBP-volwassenheid in kaart en stellen samen een realistisch Groeipad op waarin beleid en techniek hand in hand gaan.
