Gisteren was het IBP-platform event, georganiseerd door het IBP-platform (een overkoepelend platform voor digitaal veilig onderwijs). Het was een dag vol gesprekken met docenten en bestuurders uit het onderwijs. Over wat er speelt, wat er knelt, en waarom informatiebeveiliging in de praktijk veel weerbarstiger is dan een normenkader doet vermoeden.
Ongelooflijk waardevol voor ons, want GRC is ons core-onderwerp, maar voor de organisaties die met ons platform werken geldt iets anders. En goede software bouw je natuurlijk niet vanachter een bureau; die bouw je op wat er écht speelt in organisaties. Dit is wat wij meenemen van de dag:
"Het is ons primaire proces niet"
Scholen moeten uiterlijk per 1 januari 2030 op alle normen van het Normenkader IBP minimaal volwassenheidsniveau 3 halen. Daar zijn veel scholen nog lang niet. Maar als je directies daar naar vraagt krijg je een verrassend eerlijk antwoord: veel directies vinden het eigenlijk niet zo erg. Niet omdat ze informatiebeveiliging niet serieus nemen, maar omdat ze het als een groeipad zien. En dat groeipad staat nu eenmaal niet bovenaan de lijst, want het primaire proces is onderwijs geven. En dat is geen onwil, maar realisme.
Scholen krijgen steeds meer eisen op hun bord: niet alleen rondom informatiebeveiliging en privacy, maar ook op andere vlakken. Dat kost geld en capaciteit, en die middelen gaan ergens anders niet naartoe. Uiteindelijk ten koste van de klas.
De timmerman ontbreekt
Een metafoor die bleef hangen: "De bouwmaterialen liggen er, maar de timmerman ontbreekt."
Dat geldt vooral voor het primair onderwijs. De tools zijn er, de kaders zijn er, maar de kennis om er echt mee aan de slag te gaan ontbreekt. Volwassenheidsniveau 3 halen in 2030 vraagt om mensen die weten hoe ze dat aanpakken. En die mensen heeft niet elke school in huis.
In het voortgezet onderwijs lijkt dat iets makkelijker, want grotere scholen kunnen vaker gebruik maken van schaalvoordeel: een functionaris gegevensbescherming delen, een gezamenlijke aanpak opzetten. Maar voor kleine basisscholen is dat een heel andere realiteit.
Het zit niet in de tools. Het zit in gedrag.
Dit was misschien wel het meest waardevolle inzicht van de dag: het Normenkader IBP invullen is niet de oplossing. Informatiebeveiliging staat of valt met gedrag van mensen.
Hoe gaan medewerkers om met wachtwoorden? Wat doen docenten als ze een vreemd mailtje krijgen? Welke afspraken zijn er over het gebruik van nieuwe apps of AI in de klas?
Dat is geen compliance-vraagstuk, maar verandermanagement. En verandermanagement is moeilijk. Soms is het voor een kleinere school zelfs makkelijker, want er is meer overzicht en meer directe invloed op de werkvloer. Maar het vraagt hoe dan ook aandacht, tijd en herhaling.
"Het gaat om de kinderen"
De uitspraak die de dag samenvatte, kwam van een bestuurder. Niet: "Ik wil voldoen aan het normenkader." Maar: "Ik wil een veilige schoolomgeving. Het gaat om de kinderen."
Dat is de echte motivatie. En die motivatie is sterk genoeg om mee te werken. Want als je het zo bekijkt, is informatiebeveiliging geen verplichting van buitenaf. Het is een manier om iets te beschermen wat er echt toe doet: de gegevens van leerlingen, het vertrouwen van ouders, de rust in de school.
Wat dit betekent voor GRC-software als TrustBound
Wij zijn elke dag bezig met GRC. Dat is ons vak. Maar dagen zoals dit herinneren ons eraan dat software pas werkt als het aansluit op de werkelijkheid van de mensen die het gebruiken.
In het onderwijs betekent dat: geen ingewikkeld systeem dat een halfjaar implementatietijd vraagt. Geen dashboards vol jargon die alleen een security-expert begrijpt. Maar een platform dat helpt om kleine stappen te zetten (bijvoorbeeld aan de hand van het Kennisnet groeipad), dat laat zien waar je staat, en dat collega's betrekt zonder ze te overweldigen.
Want de motivatie is er wel; dat was gisteren overduidelijk. Die timmerman moet alleen alleen weten waar hij moet beginnen.
