Bij Kansrijk Onderwijs Enschede (KOE) is digitale weerbaarheid allang geen abstract thema meer. Als stichting met dertig basisscholen, een school voor speciaal basisonderwijs en een taalschool, werkt KOE in een complexe omgeving met veel persoonsgegevens, veel processen en veel verschillende medewerkers. Juist dan is het belangrijk dat je niet alleen beleid op papier hebt, maar ook weet wat je doet als het écht misgaat. Voor Katja van Well, stafhoofd Informatiemanagement en privacy officer bij KOE, was dat precies de reden om crisisbeheersing nadrukkelijker op de kaart te zetten.
De uitdaging
De grootste uitdaging was niet zozeer het ontbreken van bewustzijn, maar vooral het ontbreken van een plan dat ook echt leefde in de organisatie. Zoals bij veel onderwijsorganisaties was er al wel aandacht voor privacy, AVG en het normenkader, maar een incident respons plan bleef al snel iets dat alleen op papier geregeld was. Dat voelde voor Katja niet voldoende. Zeker niet in een sector waar de afhankelijkheid van digitale systemen groot is en incidenten zich juist ook buiten schooltijden aandienen.
Doelstellingen
KOE zocht een aanpak die helpt om:
- een incident respons plan praktisch en werkbaar te maken;
- duidelijkheid te creëren over rollen, verantwoordelijkheden en escalatie;
- sneller en beter te handelen bij cyber- of privacy-incidenten;
- directie, stafdiensten en ICT-betrokkenen gezamenlijk te laten oefenen;
- crisisbewustzijn structureel te vergroten binnen een gefuseerde organisatie.
Waarom CCRC?
De eerste kennismaking met CCRC ontstond tijdens een netwerkbijeenkomst, waar Katja vanuit KOE een sessie bijwoonde over cybercrisis en het belang van oefenen. Wat daar vooral opviel: bijna niemand in de zaal had al een concreet incident respons plan. Voor Katja was dat confronterend, maar ook activerend. Na die sessie was de conclusie helder: dit moest niet op de lange baan, maar juist direct geregeld worden.
CCRC viel op door de combinatie van inhoudelijke expertise, praktijkervaring en het vermogen om het onderwerp tastbaar te maken. Niet alleen door te vertellen wat er mis kan gaan, maar juist door teams door de afwegingen, spanningen en grijze gebieden van een incident heen te laten werken.
De aanpak
CCRC begeleidde een uitgebreide cybercrisissimulatie voor KOE, met als scenario een hack op het leerlinginformatiesysteem en de bijbehorende oudercommunicatieapp. In die oefening kwamen niet alleen technische vragen aan bod, maar juist ook de bestuurlijke en organisatorische realiteit: wanneer is iets een incident? Wie haak je wanneer aan? En hoe voorkom je dat je te laat opschaalt?
Een belangrijk inzicht uit de oefening was bijvoorbeeld de rol van communicatie. Die bleek in de eerste opzet van het bestaande plan nog onvoldoende meegenomen, terwijl juist communicatie bij een incident cruciaal is om snel en zorgvuldig te kunnen handelen.
Het resultaat
De samenwerking met CCRC heeft KOE geholpen om crisisbeheersing concreter, realistischer en beter uitvoerbaar te maken. Het incident respons plan is niet langer alleen een document, maar een hulpmiddel waar betrokkenen daadwerkelijk mee kunnen werken.
Ook de rolverdeling is scherper geworden. Binnen het plan is duidelijk vastgelegd wie betrokken wordt bij welk type incident, hoe escalatie verloopt en wie de regie pakt. Daarnaast zorgde de sessie voor meer bewustzijn bij de aanwezige directeuren, stafdiensten en ICT-coördinatoren. Niet alleen over wat te doen bij een incident, maar ook over de bredere realiteit: ook onderwijsinstellingen zijn kwetsbaar, en daar kan menselijke fout of social engineering grote gevolgen hebben.
De opvolging
Voor de komende twaalf maanden ligt de focus op herhaling, verbreding en borging. Dat is extra belangrijk in een organisatie die recent is gefuseerd en waar beleid en werkwijzen nog niet overal even bekend zijn. KOE wil het incident respons plan jaarlijks tegen het licht houden en crisisbewustzijn breder onder de aandacht brengen. Niet alleen via oefeningen, maar ook via interne audits. Posters over AVG-wetgeving op scholen en praktische handleidingen op het intranet versterken daarnaast het privacybewustzijn, de meldprocedures en de praktische awareness op schoolniveau.