Begin dit jaar startte SIVON met de pilot CISO as a Service, om schoolbesturen te ondersteunen bij het voldoen aan het Normenkader IBP. Wegens het succes ervan, startte in april een tweede pilot. Scholenkoepel ZAAM, sinds najaar 2020 lid van SIVON, was een van de deelnemende besturen.
Stichting ZAAM bestaat uit 23 scholen voor voortgezet onderwijs in Amsterdam, Zaandam en Monnickendam. In totaal heeft ZAAM ruim 11.000 leerlingen en 1.600 medewerkers. Annelies Simons-van Vliet is hoofd Huisvesting, Inkoop, Functioneel beheer en ICT en Erwin Klein is hoofd Financiën & Control en Manager IBP bij Stichting ZAAM. Samen vertellen zij over hun ervaringen met deze pilot en wat ze eraan hebben gehad.
Digitale veiligheid
“SIVON heeft ons eerder al geadviseerd over ICT-zaken en we hebben meegedaan aan de gezamenlijke aanbesteding leermiddelen. Dat is allemaal heel goed bevallen, dus toen onze functionaris gegevensbescherming (FG) over de pilot CISO as a Service vertelde, waren we meteen geïnteresseerd. Het is gewoon fijn als een expert met ons meekijkt- en denkt”, zegt Erwin. “We waren alleen net te laat voor de eerste pilot, maar in april konden we gelukkig alsnog meedoen.” De pilot duurde drie maanden, waarin de zeven deelnemende schoolbesturen strategisch advies en operationele ondersteuning kregen van een CISO van SIVON. Annelies: “Toen de pilot begon, hadden we net een externe partij opdracht gegeven om een nulmeting uit te voeren. We wisten dus al een beetje waar we stonden als het gaat om het Normenkader IBP.”
“Elke week begon met een meeting waarin we de weekplanning doornamen. Op vrijdag gingen we daar dieper op in.”
Duidelijke planning
De pilot begon met een intake, waarin CISO Randy Baerts van SIVON vroeg naar de doelen en prioriteiten van ZAAM. “Ons belangrijkste doel was: een goede start maken met de implementatie van het Normenkader IBP en daarvoor een gestructureerde planning met een verdeling van de taken en verantwoordelijkheden opstellen”, legt Annelies uit. “Randy heeft ons daar ontzettend goed bij geholpen. We hebben nu een eerste planning om in 2027 te voldoen aan het Normenkader IBP. Bovendien hebben we flinke stappen gezet op het gebied van strategie en organisatie-inrichting.” Erwin vult aan: “Ja, het is echt een voordeel dat Randy zoveel kennis heeft en ook uit ervaringen met andere besturen kan putten. We begonnen elke week met een digitale meeting waarin Randy aangaf wat er die week op de planning stond. Vervolgens gingen we daar op vrijdag dieper op in met z’n vijven. Naast Annelies en ik waren dat de FG, de Privacy Officer en de Coördinator ICT. Het Normenkader IBP is zo uitgebreid, dat kun je niet alleen vanuit ICT oppakken.”
Goede start
Annelies en Erwin vonden de samenwerking met Randy heel prettig. Annelies: “Ook tussen de meetings door nam Randy alle tijd voor ons. Zo hadden onze Coördinator ICT en Privacy Officer een vraag over een verwerkersovereenkomst. Randy heeft toen met hen meegekeken, nuttige tips gegeven een deelgenomen aan gesprekken met de leverancier.” Stichting ZAAM is voorstander van een dienst als CISO as a Service. “Randy heeft zoveel kennis en expertise in huis. Daardoor hebben we in relatief korte tijd een goede start kunnen maken. Ik denk dat andere besturen hier ook veel baat bij kunnen hebben”, zegt Erwin. “Na de pilot blijven we trouwens een CISO inzetten die meekijkt en ons ondersteunt met ons IBP-beleid. Want ook als we volledig voldoen aan het Normenkader IBP, willen we ervoor blijven zorgen dat onze digitale veiligheid goed op orde blijft.”
Goed voorbereid te werk gaan
Wil je net als ZAAM een goede start maken aan het Normenkader IBP? Wij hebben tips voor jou op een rij gezet. Download ze hier.
- Download hier de tips
Meer weten?
Lees meer over de pilot CISO as a Service of neem contact op met een van onze relatiemanagers. Nog geen lid van SIVON? Lees dan meer over het SIVON-lidmaatschap.