Bewustwording
Voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en het organiseren van Informatiebeveiliging en Privacy (IBP) betekent het uitvoeren van een aantal praktische maatregelen. Maar het uitvoeren van die maatregelen alleen is niet voldoende. Iedereen op school moet weten wat IBP betekent en wat er van hem of haar verwacht wordt. Zo betekent bijvoorbeeld een privacyverklaring op je website niet dat ouders die ook lezen. Communiceer met ouders, leerlingen en medewerkers hoe ook zij veilig en verantwoord om kunnen gaan met persoonsgegevens en ict. Op die manier creëer je bewustwording.
Het creëren van bewustwording is een van de lastigste maatregelen die voortvloeien uit IBP. Het houdt in dat je regelmatig terugkerende bewustwordingsacties organiseert voor medewerkers, leerlingen en ouders. Je kunt daarbij denken aan scholing over IBP voor alle medewerkers op school, aan specifieke trainingen voor P&O-medewerkers of zorgcoördinatoren, maar ook aan leraren die hun kennis overbrengen op leerlingen. Bijvoorbeeld over het omgaan met hun eigen privacy en die van hun medeleerlingen. Ouders kun je via de nieuwsbrief uitleggen hoe de school omgaat met privacygevoelige informatie. Breng de privacyverklaring op de website dan nog eens onder de aandacht.
Is het wettelijk verplicht?
Volgens de AVG ben je verplicht je IBP-beleid continu actief toe te lichten. Dat doe je onder andere met bewustwordingsacties.
Meer informatie vind je in artikel 39 lid b van de AVG. De bijbehorende maatregelen vind je in de ISO 27001, artikel 7.3 en ISO 27002, artikel 7.1.2 en 7.2. Deze vind je terug in het toetsingskader IBP po vo.
Wie doet wat?
Bij het creëren van bewustwording zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuur is verantwoordelijk voor het in gang zetten van bewustwordingsacties.
- De ict-coördinator, Privacy Officer of de leraren bedenken de bewustwordingsacties en/of voeren ze uit.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Uit specifieke maatregelen volgen specifieke bewustwordingsacties. Die staan op deze website bij die maatregelen vermeldt. Daarnaast is het goed om over bewustwording in het algemeen na te denken en daar een plan voor op te stellen.
Stap 1 | Definieer doelen
Om van een bewustwordingsactie een geslaagde actie te maken, is het goed om daar vooraf over na te denken. Wat wil je ermee bereiken? Bijvoorbeeld het uitbannen van USB-sticks om daarmee het risico op datalekken en beveiligingsincidenten te voorkomen. Bedenk ook hoe je kunt meten of je je doel hebt gehaald.
Stap 2 | Geef een alternatief
Je kunt gedrag alleen succesvol uitbannen als er een goed alternatief voor is. Wil je USB-sticks uitbannen? Zorg dan voor een mogelijkheid om online veilig informatie te delen. Bijvoorbeeld via een Sharepoint omgeving.
Stap 3 | Communicatiemidddelen
Er is veel kant en klaar (voorlichtings)materiaal beschikbaar om in te zetten bij de communicatie en bewustwording rondom IBP. Sluit niets aan bij je doelen? Maak dan je eigen materiaal. Het uitbannen van USB-sticks kun je bijvoorbeeld opnemen in een nieuwsbrief over datalekken. Die nieuwsbrief kun je toelichten in een personeelsbijeenkomst waarbij je ook een animatie over het onderwerp toont en de gedragscode nog eens onder de aandacht brengt. Hang posters op waarop je duidelijk maakt waarom je dit belangrijk vindt. En het belangrijkste: maak het geen eenmalige actie. Blijf continu onder de aandacht brengen waarom dit belangrijk is.
Stap 4 | Meten
Onderzoek of je actie succesvol is geweest. Is het aantal USB-sticks afgenomen en hoe verhoudt zich dat tot meldingen van incidenten?
Stap 5 | Verbeteren en evalueren
Aan de hand van de meetresultaten kun je acties aanpassen of verbeteren.
Tip: je kunt ook leerlingen inzetten om IBP onder de aandacht te brengen. Denk bijvoorbeeld aan de leerlingenraad. Of betrek leerlingen in je zoektocht naar wat er op school nog beter geregeld kan worden. Neem het DDoS dossier eens door en wijs leerlingen die handig zijn met ict op de mogelijkheden voor een vervolgopleiding in dat vakgebied.
Tools en voorbeelddocumenten
Er zijn veel tools en middelen beschikbaar om het belang van IBP onder de aandacht te brengen.
Medewerkers
Download een van de hulpmiddelen om medewerkers bewust te maken van het belang van privacy en informatiebeveiliging.
Nieuwsbrieven voor medewerkers
Gebruik een van onderstaande kant-en-klare nieuwsbrieven om medewerkers te informeren.
Leerlingen
Maak gebruik van spellen om het gesprek met leerlingen aan te gaan.
Download een van de middelen om het gesprek met leerlingen aan te gaan.