Afgelopen januari startte SIVON met de pilot CISO as a Service, om schoolbesturen te ondersteunen bij het voldoen aan het Normenkader IBP. Stichting Portuur was een van de deelnemende besturen. Bestuursvoorzitter Gertjan van der Molen en Adviseur Kwaliteit Olav van Vliet van Stichting Portuur vertellen hoe dat ging en wat het heeft opgeleverd.
Stichting Portuur bestaat uit drie middelbare scholen met meerdere locaties in de regio Lochem, Berkelland en Haaksbergen. In totaal heeft Stichting Portuur ruim 3.300 leerlingen en ongeveer 450 medewerkers. Stichting Portuur is sinds 2020 lid van SIVON. Olav: “Een paar jaar geleden hebben we meegedaan aan de gezamenlijke aanbesteding leermiddelen van SIVON. Dat is ons erg goed bevallen. Daarom waren we ook meteen enthousiast over deze pilot.”
Deep Dive Workshop
Op 29 november 2024 waren Gertjan, Olav en hun collega Danny Meinema (hoofd Huisvesting en IT) aanwezig bij een Deep Dive van SIVON over het Normenkader IBP. “SIVON vertelde toen over de pilot CISO as a Service die in januari zou starten. Dat leek ons de perfecte manier om meer structuur aan te brengen in onze IBP-aanpak. In 2027 moeten we immers voldoen aan het Normenkader IBP. En sowieso is digitale veiligheid natuurlijk een heel belangrijk thema”, vertelt Gertjan. De pilot CISO as a Service duurde drie maanden. Daarin kregen de zes deelnemende schoolbesturen strategisch advies en operationele ondersteuning van een CISO van SIVON. Bijvoorbeeld bij het uitvoeren van een nulmeting en het opstellen van een roadmap, om per 2027 te voldoen aan het Normenkader IBP.
Volwassenheidsniveau
“We hebben ons tijdens die Deep Dive meteen opgegeven voor de pilot en werden gelukkig uitgekozen”, gaat Olav verder. “De pilot begon met een intakegesprek. Daarin hebben we samen met CISO Randy Baerts van SIVON in kaart gebracht waar we staan en wat we de komende tijd willen bereiken.We hebben ons vooral gefocust op de eerste twee domeinen uit het Normenkader: Bestuur en Organisatie. Daar vallen bijvoorbeeld het beleid en de rolverdeling onder.” Gertjan: “Bijna alle normen van deze twee domeinen zijn van volwassenheidsniveau 1 of 2 naar volwassenheidsniveau 3 gegaan. Binnenkort volgt de laatste, als we het beleid formeel vaststellen.” Het Normenkader IBP heeft 27 domeinen en vijf volwassenheidsniveaus. Om te voldoen aan het kader moeten scholen minimaal volwassenheidsniveau 3 scoren op alle normen van de 27 domeinen. “Dankzij deze pilot hebben we nu een duidelijk schema waarin precies staat wanneer we wat oppakken. Daarbij hebben we ook gekeken naar het schoolritme, omdat het begin van het schooljaar bijvoorbeeld heel druk is en hier dan weinig ruimte voor is”, legt Olav uit.
Samenwerking diverse rollen
Tijdens de pilot was Randy zes uur per week beschikbaar voor Stichting Portuur. “Randy kwam een paar keer per maand naar ons toe. De rest van het contact verliep online. Ik vond de samenwerking ontzettend plezierig. Randy is heel deskundig en denkt goed mee”, zegt Gertjan. Ook Olav is positief: “Ja, Randy heeft natuurlijk veel kennis en expertise, waar wij van konden profiteren. Zonder zijn hulp waren we nu nog niet zover geweest.” Naast Olav en Danny is ook de Functionaris Gegevensbescherming (FG) aangehaakt bij de sessies met Randy. “Het Normenkader IBP is zo breed dat je dit niet alleen of vanuit één rol kunt oppakken. Zo heeft de FG bijvoorbeeld naar de juridische aspecten gekeken”, vertelt Olav. “Verder hebben we de hoofden van de stafdiensten en het bestuur meegenomen in het proces. Ook zijn we gestart met een bewustwordingscampagne op scholen over het belang van digitale veiligheid. En in ons nieuwe schoolveiligheidsplan besteden we niet alleen aandacht aan fysieke en sociale veiligheid maar ook aan digitale veiligheid.” Gertjan en Olav zijn voorstander van het ontwikkelen van de dienst CISO as a Service. “De pilot heeft ons echt een boost gegeven, dus waarschijnlijk kunnen ook andere schoolbesturen hier veel aan hebben.”
Meer weten?
Lees meer over CISO as a Service of neem contact op met een van onze relatiemanagers. Nog geen lid van SIVON? Lees dan meer over het SIVON-lidmaatschap.