ICTRecht - Header - Groningen (12)

    J.H. Donnerschool en ICTRecht: privacy en informatiebeveiliging op orde voor kwetsbare leerlingen

    Aanleiding

    De J.H. Donnerschool biedt gespecialiseerd onderwijs aan kinderen met een normale intelligentie, maar met ernstige trauma’s die zich uiten in gedrag. Daardoor worden in schoolprocessen veel gevoelige leerling- en personeelsgegevens verwerkt. Hoewel de ICT-basis op orde was, werd de rol van Functionaris Gegevensbescherming lange tijd intern “erbij” gedaan. Jan Hofman, directeur-bestuurder van de school, wilde privacy en informatiebeveiliging beter borgen, met externe experts die begrijpelijk communiceren en passen bij de praktijk van een school.

    Oplossing

    ICTRecht werd ingeschakeld via een flexibel abonnementsmodel van vier uur per maand. De FG van ICTRecht maakte een inventarisatie, bracht de situatie in kaart en leverde een actielijst met concrete verbeterpunten. Voor de uitvoering werden collega’s van ICTRecht betrokken, zodat de onafhankelijkheid van de FG geborgd bleef. ICTRecht hielp onder andere bij het opstellen en aanscherpen van het datalekregister, meldformulieren en procedures, het verwerkingsregister, verklaringen voor privacy en cookies, bewaartermijnen en governance richting MR, MT en Raad van Toezicht.

    Impact

    • Privacy en informatiebeveiliging structureel geborgd met een externe FG en vaste maandelijkse inzet
    • Datalekregister, meldformulier en procedure juridisch stevig ingericht en gedeeld met MR en personeel
    • Verwerkingsregister, rechten van betrokkenen en bewaartermijnen praktisch uitgewerkt en vastgesteld in de governance
    • Meer bewustwording in de organisatie over veilige omgang met gegevens in mail, systemen en dagelijkse werkprocessen
    • Raad van Toezicht beter toegerust om toezicht te houden op compliance, risico’s en veiligheidsbeleid

    “Wat ik goed vond, is dat je in het contract kunt stoppen. Je zit niet vijf jaar vast. Dat dwingt ook ICTRecht om voortdurend kwaliteit te leveren.”

    - Jan Hofman, Directeur-bestuurder bij J.H. Donnerschool

    Ronde portretfoto

    Van traumaverleden tot datalekprocedure: J.H. Donnerschool maakt privacy praktisch met ICTRecht

    De J.H. Donnerschool is geen doorsnee school. Het is gespecialiseerd onderwijs voor kinderen die vaak al een lange route achter de rug hebben. “Wij zijn gespecialiseerd in onderwijs voor kinderen die getraumatiseerd zijn,” vertelt directeur Jan Hofman. “Soms uit huis geplaatst, soms overal weggestuurd. Dat uit zich in gedrag. Vluchten, bevriezen of vechten. En wij kunnen daar goed mee omgaan.” Juist omdat de school met kwetsbare kinderen werkt, is de verantwoordelijkheid rond gegevens groot.

    In dossiers staan onderwijsplannen, observaties, verslagen van gesprekken, testresultaten en andere informatie die je in geen geval op straat wilt hebben. “Dat betekent natuurlijk wel dat de gegevens die wij op school opslaan van leerlingen, maar ook van medewerkers, heel goed beschermd moeten zijn,” zegt Jan. “En dat gaat verder dan alleen je ICT op orde hebben.”

    Privacy was er wel, maar niet echt geborgd

    Jan vertelt dat de technische basis bij de school al stevig stond. Apparatuur werd regelmatig gecontroleerd, verouderde systemen werden vervangen, en beveiliging kreeg aandacht. Toch knaagde er iets. “We hadden ook een functionaris gegevensbescherming nodig. We zijn niet zo’n grote organisatie, honderd man personeel, dus ik had het er een beetje bij gedaan.”

    Totdat Jan dacht: dit moet anders. “Niemand heeft er een opmerking van gemaakt, maar het zat me niet lekker,” vertelt hij. “Je werkt met zulke gevoelige gegevens, dan wil je niet hopen dat het wel goed gaat. Dan wil je wéten dat het goed is.”

    Hij benaderde meerdere aanbieders en kwam uit bij ICTRecht. De doorslag gaf niet alleen expertise, maar ook de manier van samenwerken. “Wat ik goed vond, is dat je in het contract kunt stoppen,” zegt Jan. “Je zit niet vijf jaar vast. Dat dwingt ook ICTRecht om voortdurend kwaliteit te leveren.”

    Van inventarisatie naar een actielijst die echt werkt

    De start was praktisch. “Eerst eens kijken: wat heb je allemaal?” vertelt Jan. “De FG heeft een inventarisatie gemaakt van de documenten die we al hadden. Ze maakte een scan en kwam met een actielijst: dit kan beter, dit mist nog, dit vraagt aandacht.”

    Wat Jan opviel, was hoe zorgvuldig de rolverdeling werd bewaakt. “Ze zei: ik ga dat niet zelf uitvoeren, want ik ben jullie FG,” legt hij uit. “Dus ze vroeg collega’s om die verbeterpunten op te pakken. Dan krijg je niet dat iemand zijn eigen werk zit te beoordelen. Dat vond ik sterk.”

    Die actielijst werd geen rapport voor in de la, maar iets waar de school echt mee aan de slag ging. “We hebben veel dingen uitgezocht en aangepast,” zegt Jan. “Sommige dingen snapte ik eerst niet eens. Maar zij leggen het uit in Jip en Janneke taal. Ze passen het aan op ons niveau. Dat is zó fijn.”

    Datalekken: niet spannend maken, maar goed regelen. Een van de eerste concrete resultaten was het datalekregister en het meldproces. “Ik had gewoon zelf een Excel,” zegt Jan. “Maar dat is nu juridisch goed onderbouwd. Met een meldformulier en een procedure.”

    Het onderwerp leeft nu ook breder in de organisatie. “Ik deel alles met de MR en relevante documenten en communicatie gaan naar het personeel,” vertelt hij. “Zodat iedereen weet: als er een datalek is, wat doe je dan? Wanneer moet je naar de Autoriteit Persoonsgegevens? En wat moet je meteen regelen richting ouders?”

    Jan maakt het heel concreet. “Een datalek heb je natuurlijk zo gemaakt,” zegt hij. “Een mailadres in cc in plaats van bcc is al een datalek. Of een mail naar de verkeerde ouder. Soms is het niet heel ernstig. Maar als er een ondersteuningsprofiel bij zit met gegevens van een leerling, dan is dat wél ernstig en moet je direct contact opnemen.” Dat soort voorbeelden zorgen ervoor dat privacy geen abstract beleid is, maar dagelijkse praktijk.

    Van cookies tot bewaartermijnen: beleid dat past bij een school

    Naast incidenten ging ICTRecht ook aan de slag met structurele documenten en governance. Jan noemt het verwerkingsregister, rechten van betrokkenen en verklaringen voor privacy en cookies. “Ik vind die cookieverklaring ook verschrikkelijk,” zegt hij, zichtbaar geamuseerd. “Niemand leest dat. Maar het moet wel kloppen.”

    Wat hij waardeert, is de dienstbaarheid. “Bij ICTRecht zeggen de specialisten bijvoorbeeld: degene die de website bijhoudt moet dit doen, maar ik kan het ook voor je doen,” vertelt hij. “Dat ontzorgt mij. Natuurlijk kan ik ook het webbureau benaderen, maar het is fijn dat zij het oppakken.”

    Daarbij houdt zij rekening met de beperkte uren. “ICTRecht probeert mee te kijken: je hebt zoveel uren FG, wat kunnen we daaronder brengen?” zegt Jan. “Wat we al afnemen, kunnen ze vaak onder die uren uitvoeren. Dat is voor ons als school heel prettig.” Ook bewaartermijnen bleken complexer dan Jan dacht. “Wij zeggen: zeven jaar bewaren,” vertelt hij. “Maar zorginstellingen bewaren soms twintig jaar. Dan wil je niet op onderbuikgevoel varen. Ik stuur documenten op, zij geven input en zeggen wat wel klopt en wat niet.”

    Governance en toezicht worden sterker

    De impact reikt verder dan privacydocumenten. De Raad van Toezicht is nu beter in positie om toezicht te houden. “Veiligheid komt in elke vergadering terug,” zegt Jan. “De Raad heeft een kader gemaakt: hoe houden wij toezicht op veiligheid? Hoe controleren zij dat ík het goed doe?” Dat kader liet Jan ook juridisch toetsen. “We hadden nog oude wetgeving erin,” vertelt hij. “Wij zijn niet juridisch en de Raad ook niet. ICTRecht heeft dat bijgesteld. Dat levert sterke opmerkingen op en neemt het risico weg.”

    Jan ziet daarin een bredere waarde: “Het is niet alleen wetgeving. ICTRecht zorgt ook voor organisatieverbetering en processen. Rollen worden duidelijker. De Raad weet welke vragen ze moeten stellen. Dat maakt onze organisatie sterker.”

    Waarom dit ertoe doet in een schoolomgeving

    Jan is realistisch over risico’s. “Als ik het lees, denk ik: de kans dat ik een keer gehackt word is best groot,” zegt hij. “En het begint vaak bij personeel. Systemen kunnen goed zijn, maar iemand die een wachtwoord weggeeft of een USB-stick inprikt, dan gaat het al mis.”

    Daarom ziet hij privacy en informatiebeveiliging als gespreksonderwerp, niet als papieren exercitie. “Het gaat niet om documenten,” zegt hij. “Je houdt elkaar scherp. En je moet niet meer bewaren dan nodig is. Want als het bij ons gebeurt, hebben we echt een ramp. Wij zijn geen bedrijf met miljoenen achter de hand.”

    Onze ervaring

    Laura Brand, ICTRecht: “De J.H. Donnerschool is een bijzondere organisatie met grote maatschappelijke impact. Juist in het gespecialiseerd onderwijs is privacy extra belangrijk, omdat je werkt met leerlingen en ouders en zeer gevoelige informatie. We hebben gekeken waar de school stond, wat er al goed ging en wat er nog nodig was. Dat is vertaald naar een concrete actielijst die samen met het team is opgepakt. Het contact met Jan is heel prettig. Je merkt aan alles dat hij dit serieus neemt en echt wil dat het goed geregeld is.”

    Samen optrekken

    Jan vat de samenwerking samen in woorden die hij vaker gebruikt tijdens het gesprek: praktisch, menselijk en stevig. “Ik heb soms moeite met externe partners,” zegt hij eerlijk. “Dan zie je ze één keer, het kost geld en je krijgt een rapportje. Maar bij ICTRecht trekken ze met je op. Ze helpen bouwen. We hebben nu de basis aardig op orde en volgend jaar gaan we verder.”

    Voor Jan draait het uiteindelijk niet om regels, maar om wat het oplevert. “Ik hoef helemaal geen wetgeving,” zegt hij. “Ik wil dat mijn organisatie sterker wordt. Dat we betrouwbaar en stabiel zijn. En dat de Raad van Toezicht weet: dit is onze rol, dit is waar we op toetsen. Dat is de echte winst.”

     

    Over J.H. Donnerschool 

    J.H. Donnerschool is een speciale school die leerlingen helpt ontdekken wie ze zijn en welke talenten zij bezitten. Leerling en docent/leerkracht leren samen wat de leerling nodig heeft en wie zij kunnen worden.

    Ze bieden onderwijs aan leerlingen die in het reguliere basisonderwijs niet tot hun recht komen. Structuur, veiligheid en duidelijkheid vormen de leidraad voor de routines op school.

    Bekijk de website

    J.H. Donnerschool

    Ook (flexibele) juridische ondersteuning nodig?

    Bij ICTRecht beschikken we over juridische expertise op diverse vakgebieden. Of je nu (tijdelijk of flexibel) op zoek bent naar een Privacy Officer, Functionaris Gegevensbescherming of Security Officer: wij hebben een team van specialisten dat jouw organisatie kan ondersteunen bij uiteenlopende juridische vraagstukken.

    Heb je vragen of direct behoefte aan ondersteuning? Dan kun je rekenen op de expertise van onze professionals.

    Professional inhuren

    Contact

    Wil jij weten wat ICTRecht voor jou of jouw organisatie kan betekenen?

    Laat een bericht achter via dit formulier. Eén van onze juristen neemt dan contact met je op. 

    Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek. 

     

     

     

    Laat je gegevens achter
    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram