
Het belang van tooling voor IBP-management

In het onderwijs wordt steeds vaker tooling gebruikt voor het managen van IBP-gerelateerde zaken. Waarvoor kan deze tooling ingezet worden en wat is hiervan de meerwaarde? Op deze vragen probeer ik in deze blog een antwoord te geven.
Met de komst van de AVG zijn allerlei bestaande en nieuwe softwareleveranciers zich gaan richten op tooling die organisaties helpt om compliant te worden en hun risico’s beheersbaar te maken. Dit wordt ook wel GRC-tooling genoemd, waarbij GRC staat voor Governance, Risk & Compliance. Met deze managementtools kun je alle kwaliteitsnormen, risico’s en maatregelen rondom IBP die je als organisatie moet uitvoeren/implementeren of monitoren, beheersbaar en inzichtelijk maken. Volgens de AVG (art. 5.2) moet het schoolbestuur ook kunnen aantonen dat men aan de geldende regels van de AVG voldoet.
Aanpak van Kennisnet
SIVON, de inkooporganisatie voor het onderwijs, heeft geïnventariseerd welke tools in het onderwijs gebruikt worden en welke functionaliteiten deze verschillende tools bieden. Vanuit mijn werkzaamheden bij Privacy op School kom ik bij steeds meer besturen het softwarepakket YourSafetynet IBP tegen. Dit pakket blijkt in het overzicht van SIVON ook het meest volledige pakket dat afgestemd is op de Aanpak IBP van Kennisnet. Bijna alle schoolbesturen in het PO/VO volgen inmiddels deze aanpak van Kennisnet. De reeds opgestarte IBP werkzaamheden kunnen eenvoudig gekoppeld worden aan YourSafetynet. Dit voorkomt uiteraard dat je opnieuw met het IBP-traject moet beginnen.
Bijhouden overlegbaar register
Sommige schoolbesturen die ik hierover spreek, geven aan dat ze zonder dergelijke tooling hun werk niet goed kunnen organiseren. In de GRC-tooling van YourSafetynet is het bijvoorbeeld mogelijk om de voortgang van de implementatie van maatregelen op het gebied van IBP per schoollocatie (organisatie-eenheid) te volgen. Zeker voor een schoolbestuur met veel locaties of organisatie-eenheden is dit belangrijk. Op te volgen acties kunnen binnen het systeem middels standaard workflows aan gebruikers gekoppeld, opgevolgd en gerapporteerd worden.
Daarnaast kunnen ook incidenten gemeld en indien nodig als datalek geregistreerd worden in het systeem van YourSafetynet. Hiermee voldoet de school aan de wettelijke verplichting voor het bijhouden van een overlegbaar register. Los hiervan helpt de tool bij een efficiënt meldproces, omdat in de workflow ook de relevante vragen door de juiste personen ingevuld moeten worden.
Basis-set van verwerkingen
Het kunnen voldoen aan de wettelijk verplichting gaat ook op voor de module verwerkingsregister (of dataregister). Hierin moet (zie AVG art. 30) o.a. per verwerking worden opgeslagen welk type persoonsdata de organisatie verwerkt, de verwerkingsdoelen – en termijnen van deze data, en indien hier sprake van is door welke leverancier de data verwerkt wordt (verwerker).
Op basis van de dataregisters van meer dan 120 schoolbesturen die Privacy op School in het PO, VO en MBO bedient, is een basis-set samengesteld van meer dan 80% van alle verwerkingen en verwerkers die in het onderwijs actief zijn. Deze basis-set maakt inmiddels ook onderdeel uit van YourSafetynet, waardoor veel scholen deze arbeidsintensieve klus veel sneller geklaard hebben.
Verplichte kaders en DPIA’s
En dan zijn er tenslotte nog de wettelijk verplichte normen- of toetsingskaders en DPIA’s, die scholen in hun verantwoording moeten gebruiken. De minister voor het PO en VO heeft voor de zomervakantie aangekondigd te willen werken met één normenkader en landelijke DPIA’s voor het onderwijs op basis waarvan verantwoording wordt afgelegd.
Ik denk dat het onderwijs gebaat is bij dit soort landelijke kaders, maar ook bij afspraken over een basisniveau aan normen, zodat iedere schoolbestuur weet wat er van haar verwacht wordt. Om een goed basisniveau te kunnen bepalen, moeten we weten waar de schoolbesturen in het PO en VO nu staan. Wat mij betreft is dit ook een belangrijke reden om tooling te gebruiken. Laten we als onderwijssector duidelijk maken dat we dit serieus nemen én tegelijk aantoonbaar maken dat we al veel zaken op orde hebben.
Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct