IBP FO – Ontdek hoe de RGO in Middelharnis haar informatiebeveiliging versterkt na een interne audit door Safesecur Group BV.

13 September, 2024

Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs (IBP FO) – Ontdek hoe de RGO in Middelharnis haar informatiebeveiliging versterkt na een interne audit door Safesecur Group BV.

In gesprek met Julian de Groot, Hoofd ICT bij RGO.

Bij de Regionale Scholengemeenschap Goeree-Overflakkee (RGO) ontstond het besef dat met de invoering van het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO), de eisen rondom informatiebeveiliging en privacy steeds belangrijker werden. Met de invoering van het nieuwe IBP FO was al snel duidelijk dat de school voor een uitdaging stond. De RGO wilde graag voldoen aan de hoogste normen, maar vroeg zich ook af waar ze nu precies stonden en wat er verbeterd kon en moest worden. Om daar meer inzicht in te krijgen besloten ze een informatiebeveiligingsaudit te laten uitvoeren door Safesecur Group.

We spraken met Julian de Goot, Hoofd ICT bij RGO, over zijn ervaringen met Safesecur Group en de impact van de audit. “We werden geconfronteerd met de informatiebeveiligingseisen van het IBP FO,” begint Julian, “dat bracht zowel externe druk als interne motivatie met zich mee om onze professionaliteit verder te ontwikkelen. Het onderzoek, in de vorm van een nulmeting, en het rapport dat we van Safesecur Group mochten ontvangen, hebben ons enorm geholpen. Ze dienden als een spiegel voor onze eigen IT-organisatie en gaven ons een vertrekpunt voor verdere verbetering.”

Versterking door analyse

De audit begon met een nulmeting naar de huidige stand van zaken op het gebied van informatiebeveiliging en privacy. “Het was een behoorlijk intensief proces,” herinnert Julian zich. “Je denkt dat je alles redelijk op orde hebt, maar tijdens zo’n audit wordt duidelijk dat er altijd ruimte is voor verbetering. Safesecur Group gaf ons een uitgebreide analyse van onze sterke punten en de gebieden waar we nog stappen konden zetten”. Het uiteindelijke rapport, aangevuld met best practices en concrete adviezen, hielp de RGO om de lat hoger te leggen en hun aanpak te versterken.

“Een confronterende ervaring was het absoluut, maar het heeft veel nieuwe inzichten gebracht om onszelf verder te verbeteren”

Julian vertelt dat sommige bevindingen confronterend waren: “We merkten dat bepaalde processen niet voldoende waren geformaliseerd. Op papier dachten we misschien dat we compliant waren, maar de audit toonde aan dat er nog werk aan de winkel was. Hoewel dat in eerste instantie wat tegenviel, zagen we het tegelijkertijd als een kans om te groeien.” Juist door de gedetailleerde rapportage van zowel de algemene punten, als het specifieke "laaghangend fruit”, kon de RGO snel actie ondernemen. “Het helpt enorm als er iemand van buitenaf, jouw organisatie langs de lat legt en kan aangeven waar je moet verbeteren. Daar valt veel uit te leren, en dat heeft ons geholpen om een vertrekpunt te definiëren.”

Formalisatie als sleutel tot verbetering

Eén van de belangrijkste veranderingen binnen de RGO na de audit was de focus op het formaliseren van processen. “Ik ben me nu veel bewuster dat het vastleggen van onze werkwijzen essentieel is,” legt Julian uit. “Er is namelijk voldoende afleiding tijdens een normale werkdag op school, waardoor je al snel in de waan van de dag beland. Belangrijk is hierbij om af en toe een stap terug te doen, en na te denken hoe we de dingen die we doen moeten gaan vastleggen. Na de audit ben ik echt op een andere manier naar onze informatiebeveiliging gaan kijken, omdat ik gezien heb hoe hoog de lat van het Normenkader ligt. Nu zit ik veel meer in het formaliseren van ons beleid: Waarom doen we de dingen zoals we die doen, en hoe evalueren we dit? Op die manier ben je dus automatisch ook al bezig met het verbeteren en overdraagbaar maken van je kennis en je werkzaamheden.”

“Na de audit ben ik echt op een andere manier naar dingen gaan kijken, omdat ik gezien heb hoe hoog de lat ligt die deze IBP FO norm vereist”

Julian benadrukt de manier waarop Safesecur Group hen tijdens het proces heeft ondersteund, “Het voelde nooit als een aanval. Ze stonden echt naast ons als partners in het verbeteren van onze processen. Dankzij hun begeleiding en duidelijke aanbevelingen konden we al snel concrete stappen zetten om onze informatiebeveiliging naar een hoger niveau te tillen.”

Professionaliseer tijdig: Wacht niet tot de deadline

Voor andere scholen die zich voorbereiden op het voldoen aan het IBP FO, heeft Julian een duidelijk advies: “Wacht niet tot de deadline in 2027 nadert. Het is goed om als school na te gaan bij jezelf waarom je de dingen op een bepaalde manier uitvoert. Op een school zijn er enorm veel gevoelige gegevens, ik kan het belang van deze externe toetsing niet genoeg benadrukken. Voor ons betekent het een nieuwe stap in verdere professionalisering van onze werkzaamheden, en een wake-up call om niet te wachten tot de deadline.”

“Ik kan het belang van deze externe toetsing niet genoeg benadrukken”

Julian vermeldde daarbij nog iets interessants: “ik heb al een aantal mensen gesproken uit het onderwijs die allemaal hun eigen definitie hebben van “compliant” zijn. Dat is natuurlijk desastreus, want als je compliant wilt zijn dan moet je simpelweg voldoen aan de norm. Sommige scholen beweren compliant te zijn als ze een “rapportje” ontvangen van een externe partij die toevallig ook een achtergrond heeft in de IT-wereld. Dat is natuurlijk niet hoe het werkt. Daarom raad ik zeker aan om je als school te laten toetsen door een organisatie zoals Safesecur Group die onafhankelijk is, en er echt verstand van heeft.”

Van audit tot samenwerking: Een waardevolle ervaring

Het persoonlijke aspect van de samenwerking met Safesecur Group was volgens Julian een van de meest waardevolle onderdelen van het proces. “Het proces en de toetsing zijn persoonlijk. Er was een mooie balans tussen diepgang en detail zoeken, waarna we met elkaar ook weer konden uitzoomen. Hierdoor konden we op gelijkwaardig niveau een goed, en soms ook pittig en stevig gesprek voeren. Het inlevingsvermogen en de manier van meebewegen met elkaar is als prettig ervaren.”

Na de audit bleef Safesecur Group betrokken, met zowel een schriftelijke als mondelinge eindrapportage en de bereidheid om verder na te denken over de volgende stappen. Julian sluit af, “voor ons was het een zeer positieve ervaring die ik graag aan alle scholen zou willen aanraden!”

Hoe kan Safesecur Group helpen?

Bereid uw school vandaag nog voor op de eisen van het IBP FO!

Bij Safesecur Group begrijpen we de uitdagingen die scholen ervaren bij het voldoen aan het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO). Wacht niet tot het te laat is – start nu met een solide aanpak en zorg dat uw school volledig compliant is.

Wilt u een duidelijk vertrekpunt en deskundige begeleiding om uw school optimaal voor te bereiden? Neem vandaag nog contact met ons op en ontdek hoe wij u kunnen helpen!

Neem contact op met onze expert!