Home » Groeipad » Fase 2 » Bewustwordingsprogramma ontwikkelen

Bewustwordingsprogramma ontwikkelen

Dit deelproject gaat over bewustwording van het belang van digitaal veilig werken binnen je organisatie. Iedereen speelt hierin een rol: het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft., schoolleiders, medewerkers van het bestuurskantoor, leraren en zelfs leerlingen. Door een bewustwordingsprogramma te maken en activiteiten op te nemen in je jaarplanning, krijgt het onderwerp structureel aandacht in je organisatie. Zo is iedereen op de hoogte van zijn verantwoordelijkheid voor het veilig en zorgvuldig omgaan met informatie.

Resultaat van dit deelproject

Doelen van bewustwordingsprogramma zijn vastgesteld.
Bewustwordingsprogramma is ontwikkeld.
Bewustwordingsactiviteiten zijn ingepland in jaarplanning.

Normen bij dit deelproject

Norm HR.06 Bewustwording informatiebeveiliging
Norm OI.04 Bewustwording bescherming persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.

Risico’s herkennen is fouten voorkomen

Bewustwording op het gebied van digitaal veilig werken is belangrijk. Veel digitale incidenten ontstaan door fouten van mensen, zoals een usb-stick kwijtraken of het delen van gevoelige informatie met verkeerde personen. Medewerkers die weten hoe ze digitale risico’s kunnen herkennen, zijn beter in staat om dit soort fouten te voorkomen. Door zelf veilig en verantwoord met informatie om te gaan zijn ze daarnaast een voorbeeld voor leerlingen.

Wie doet wat

Het bestuur stelt middelen beschikbaar voor het uitvoeren van het bewustwordingsprogramma, formuleert doelen, is betrokken bij de evaluatie van het programma en vervult een voorbeeldfunctie.
De IBP’er ontwikkelt samen met het bestuur, schoolleiders en collega’s van andere afdelingen het bewustwordingsprogramma, plant bewustwordingsactitviteiten en werft ambassadeurs in de organisatie.
De ambassadeurs ondersteunen met voorbeeldgedrag in hun directe werkomgeving het bewustwordingsprogramma. Dit kunnen de bestuurder of schoolleider zijn, maar ook de HR-medewerker, ICT-coördinator of een leraar.

Aan de slag

Met het volgen van onderstaande stappen ontwikkel jij een bewustwordingsprogramma voor jouw organisatie.

1. Breng stand van zaken rondom bewustwording in kaart

Voordat je begint met het ontwikkelen van een bewustwordingsprogramma voor informatiebeveiliging en privacy, breng je in kaart wat er gebeurt in je organisatie. Denk hierbij aan de volgende zaken:

Wat zijn de grootste risico’s op het gebied van digitaal veilig werken in je organisatie? Ontvangen medewerkers veel phishingmail, vergrendelen leraren hun scherm niet of delen zij hun wachtwoord met leerlingen? Als je weet wat de grootste risico’s zijn, bepaal je makkelijker het onderwerp en doel van het bewustwordingsprogramma. Het programma is een middel om die risico’s in te perken.
Welke werkinstructie krijgen medewerkers over het tegengaan van deze risico’s? Is voor hen duidelijk welk gedrag helpt om deze risico’s te verkleinen, en waarom dat helpt?
Zijn er al actieve campagnes op het gebied van digitaal veilig werken? Wat is het doel van deze campagnes, wie is de doelgroep en wat is het effect ervan?
Welke technische maatregelen zijn er getroffen om digitaal veilig werken te ondersteunen? Denk aan het instellen van multifactorauthenticatie, een spamfilter dat ongewenste mail tegenhoudt en een beveiligd wifi-netwerk. Deze maatregelen ondersteunen goed gedrag en voorkomen dat mensen fouten kunnen maken. Ze beperken daardoor het risico op hacks en andere cyberaanvallen. Bewustwording van medewerkers is namelijk niet genoeg als deze maatregelen ontbreken.

Ga aan de hand van deze informatie in gesprek met de bestuurder. Zorg voor draagvlak en commitment bij het schoolbestuur om aan de slag te gaan met een bewustwordingsprogramma voor informatiebeveiliging en privacy.

2. Voer een nulmeting uit

Om het effect van het bewustwordingsprogramma te meten, is het belangrijk om vooraf het kennisniveau van medewerkers te bepalen voordat je het programma invoert. Doe daarom eerst een nulmeting om het startniveau van de medewerkers in je organisatie te bepalen. Dit doe je door medewerkers van verschillende lagen van je organisatie te bevragen. Dit kun je zelf doen met bijvoorbeeld enquêtes en interviews of je kunt de nulmeting laten uitvoeren door een leverancier.

3. Maak een plan voor het bewustwordingsprogramma

Maak een plan voor het bewustwordingsprogramma. Neem daar ten minste in op wat het doel is van het programma, wie de doelgroep is en welke middelen je inzet. Je kunt hiervoor het voorbeelddocument Plan bewustwordingsprogramma (docx) gebruiken. Benieuwd naar welke publieke bewustwordingsmiddelen je kunt inzetten? Bekijk onder aan de pagina een overzicht met voorbeelden.

4. Werf ambassadeurs in je organisatie

Bepaal welke mensen in je organisatie inspirerende ambassadeurs zijn. Dat zijn mensen die kunnen bijdragen aan bewustwording met digitaal veilig werken. Wie heb je nodig voor een gedragsverandering en wie spelen een sleutelrol in het succes van het bewustwordingsprogramma? Dit kan de bestuurder of schoolleider zijn, maar ook de HR-medewerker, ICT-coördinator of een leraar. De ambassadeur snapt het belang van informatiebeveiliging en privacy en draagt de regels uit die de organisatie hiervoor heeft opgesteld.

5. Voer het bewustwordingsprogramma uit

Je kunt nu aan de slag! Neem de verschillende bewustwordingsmiddelen en -activiteiten op in de jaarcyclus. De ambassadeurs in je organisatie spelen een belangrijke rol om medewerkers tijdens het bewustwordingsprogramma te motiveren en ondersteunen om digitaal veilig te werken.

6. Meet het effect van het programma, evalueer en verbeter

Plan geregeld een effectmeting in en breng in kaart hoe effectief verschillende bewustwordingsmiddelen zijn. Met de resultaten van de meting kun je het bewustwordingsprogramma verbeteren en middelen aanpassen of vervangen als ze minder effectief zijn.

Voorbeelden van bewustwordingsmiddelen

Benieuwd naar welke publieke bewustwordingsmiddelen je kunt inzetten? Bekijk onderstaande voorbeelden.

Leerlingen

Leerlingen in het primair onderwijs bewust maken van digitale gevaren? Gebruik HackShield Future Cyber Heroes. Dit is een interactief spel waarin leerlingen zichzelf en hun omgeving leren beschermen tegen digitale gevaren.
Wil je leerlingen in het po meenemen in de gevolgen van een hack of een phishinglink? Bekijk dan de vlogs van Granny Smith hackt.
Leerlingen in het voortgezet onderwijs bewust maken van de gevolgen van hacken, kan met het thema Hacking van mijncyberrijbewijs.nl.

Medewerkers

Hoe herken je als medewerker cybercrime, hoe bescherm je je gegevens en wat moet je doen als te maken krijgt met een hack of datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident.? Cybersaveyourself is een project van SURF met verschillende toolkits en materialen die hierbij helpen. Zo zijn er campagnes te downloaden inclusief posters over thema’s als ransomware, phishing en ceo-fraude.
Wil je liever een (pub)quiz doen met je collega’s? Vraag dan de Pubquiz Alert Online aan van veiliginternetten.nl of doe de quiz over phishing en ransomware.
Hoe maak je medewerkers bewust van wat ze moeten doen bij een hack of ransomware-aanval? Gebruik de meterkastkaart Wat te doen bij een hack of ransomware (pdf). Hierop schrijf je de belangrijkste informatie, zoals wie in het crisisteam zitten, de contactgegevens van leveranciersAanbieders van ict- of leermiddelen. en waar je belangrijke documenten bewaart. Hang de meterkastkaart op een zichtbare plek in de organisatie op, zodat iedereen weet wat ze moeten doen.

Bestuurders en schoolleiders

Wil je schoolbestuurders en schoolleiders meenemen in wat er mis kan gaan bij een hack of datalek, en wat hiervan de gevolgen zijn? Bekijk de video’s van bestuurders die vertellen wat hun scholen is overkomen en wat zij ervan hebben geleerd.

Ook een crisisoefening doen kan bijdragen aan de bewustwording van schoolbestuurders en schoolleiders op het gebied van IBP. Bekijk op kennisnet.nl het oefenpakket waarmee je een crisisoefening organiseert op je school.
Hang ook de meterkastkaart Wat te doen bij een hack of ransomware (pdf) op in het bestuurskantoor.
Het leertraject Regie op digitalisering van de PO-Raad en VO-raad geeft inzicht in de technologische ontwikkelingen en de invloed daarvan op de organisatie. Lees er meer over op de website van de PO-Raad of de VO-raad.

Voorbeelddocumenten

Meer informatie

Lees op kennisnet.nl het praktijkvoorbeeld van privacy officer Karlijn Betz waarin ze handige tips deelt en vertelt hoe IBP een prioriteit is geworden bij haar schoolbestuur.

Afdrukken