Over leveranciers, datastromen en het belang van regie in de digitale schoolketen

Je kunt als bestuurder nog zo scherp zijn op je eigen systemen, afspraken en beveiliging. Als je niet weet wat er aan de achterkant gebeurt, heb je alsnog geen grip. Juist die achterkant is de plek waar risico’s zich opstapelen: platforms, applicaties en leermiddelen die via de voordeur het onderwijs binnenkomen, maar via de achterdeur gegevens kunnen lekken, dupliceren of doorsluizen. Niet per se uit kwaadwillendheid, maar uit een gebrek aan regie.

De centrale vraag: wie bewaakt eigenlijk wat er met de leerlinggegevens gebeurt zodra ze je organisatie verlaten?

Het onderwijs is een dataketen geworden

De digitale school van vandaag is geen eiland meer. Iedere school maakt deel uit van een veel grotere keten van aanbieders: van leerlingvolgsystemen tot digitale lesmethodes, van oudercommunicatie-apps tot HRM-software. Data gaat voortdurend heen en weer. Tussen scholen, leveranciers, gemeenten, samenwerkingsverbanden en ondersteunende partijen. Dat is efficiënt, noodzakelijk zelfs, maar het maakt je ook kwetsbaar.

Hier komt leveranciersrisicomanagement in beeld: het vermogen om risico’s in de keten te herkennen, beheersen en verdelen. Niet alleen op papier, maar in de praktijk. Het Normenkader IBP FO benoemt dit ook nadrukkelijk in deelproject 2.9: het managen van leveranciersrisico’s is een strategische taak.

Grip verliezen begint vaak met goede bedoelingen

Neem het volgende voorbeeld. Een bevlogen team op een basisschool ontdekt een innovatieve taalapp die perfect aansluit bij hun lesdoelen. De app is intuïtief, leerlingen zijn enthousiast, de leerkrachten tevreden. Binnen een week is hij in gebruik. Niemand vraagt zich af: welke gegevens worden gedeeld? Waar worden die opgeslagen? Wie heeft er toegang? Belangrijker nog, wie heeft dit eigenlijk getoetst of vastgelegd?

Wat begint als onderwijsvernieuwing, eindigt als onzichtbare datarisico’s. Niet omdat iemand zijn werk niet deed, maar omdat niemand wist dat dit óók bij het werk hoorde. Regie houden vraagt dus om structuur, kaders én bewustzijn.

De AVG is niet je grootste probleem, onduidelijkheid wel

Op het eerste gezicht lijkt het eenvoudig: je sluit verwerkersovereenkomsten af en daarmee is het geregeld. Maar in de praktijk zie je iets anders. De overeenkomsten zijn er wél, maar niemand weet wat erin staat. Het toezicht ontbreekt. Leveranciers worden niet periodiek geëvalueerd, en datalekken bij derden bereiken de school pas als het te laat is. Zoals het Normenkader stelt in SC-03: het schoolbestuur blijft eindverantwoordelijk voor de veiligheid van de data, ook als die bij een derde partij staat.

En dat is het strategische punt: verantwoordelijkheid kun je niet uitbesteden. Je kunt een leverancier inhuren, maar je blijft zelf aan zet om te beoordelen of die partij zorgvuldig handelt en of je processen hebt ingericht om dat te monitoren.

Een functioneel ketenoverzicht: geen luxe, maar noodzaak

Veel scholen denken dat ze dit niet kunnen overzien. Eerlijk is eerlijk, het is ook ingewikkeld. Daarom is het juist belangrijk om klein te beginnen. Stel jezelf als bestuurder deze vragen:

• Hebben wij een actueel overzicht van alle leveranciers en applicaties die persoonsgegevens verwerken?

• Weet iedere school welke verwerkersrelaties er zijn en zijn die contractueel vastgelegd?

• Evalueren wij structureel de werking, beveiliging en ondersteuning van deze leveranciers?

• Worden risico’s in de keten expliciet besproken met IBP-professionals?

Het Normenkader benadrukt in SC-04het belang van interne beheersing bij derden. Dat betekent niet alleen controleren of zij een ISO-certificaat hebben, maar vooral: weten hoe zij omgaan met incidenten, updates, audits en dataverzoeken.

Leermomenten uit de praktijk

In ons werk met tientallen schoolbesturen zien we steeds dezelfde patronen:

• De lijst met applicaties is incompleet, vaak weten scholen zelf niet wat er allemaal draait.

• Er is een groot verschil tussen de formele afspraken (contracten) en de feitelijke werkwijze.

• Bij incidenten wijzen betrokken partijen soms naar elkaar, omdat verantwoordelijkheden niet scherp zijn afgebakend.

In één geval bleek dat een leerlingvolgsysteem standaard gegevens uitwisselde met een derde partij, zonder dat het bestuur daarvan op de hoogte was. De reden? De koppeling was ooit gemaakt op verzoek van een individuele school en nooit centraal vastgelegd. Met alle juridische en ethische gevolgen van dien.

Dit soort situaties voorkomen vraagt niet alleen om technische maatregelen, maar om structureel risicomanagement op bestuursniveau.

Verbind ICT, IBP en inkoop

De meest succesvolle schoolbesturen integreren leveranciersbeheer binnen hun strategische processen. Dat begint al bij de inkoop:

• Stel bij aanschaf van nieuwe software standaard vragen over privacy, gegevensverwerking en beveiliging.

• Betrek de privacy officer of FG al vóórdat een contract wordt getekend.

• Zorg voor een vast toetsingskader, bijvoorbeeld met de DPIA als instrument.

Daarnaast is het cruciaal dat inkoop, ICT en IBP niet los opereren. Wat technisch werkt, moet ook juridisch kloppen. En wat juridisch vereist is, moet praktisch uitvoerbaar blijven. In veel besturen helpt een ‘stuurgroep’ of multidisciplinair overleg om die verbinding structureel te maken.

Investeren in kennis is investeren in vertrouwen

Regie op leveranciers vraagt om kennis en die is in het onderwijs vaak versnipperd. Investeer daarom in training, begeleiding en formats die scholen ondersteunen in het stellen van de juiste vragen. Niet ieder team hoeft een jurist of techspecialist te hebben. Maar ze moeten wél weten wanneer ze hulp moeten inroepen.

Het Normenkader biedt hiervoor een groeipad. In fase 2 ligt de nadruk op het herkennen en beheersen van risico’s. In latere fases wordt verder gewerkt aan het verder groeien in volwassenheid in informatieveiligheid. De weg ernaartoe begint met kleine stappen: bewustzijn, kaders, toetsing en overleg.

Van controle naar strategisch partnerschap

Een ander belangrijk inzicht: leveranciers zijn geen tegenpartij, maar een verlengstuk van je onderwijsorganisatie. Als je ze alleen ziet als ‘risico’, mis je de kans op samenwerking. Betrek ze dus actief in je aanpak:

• Bespreek de verwachtingen aan de voorkant.

• Vraag om proactieve updates over incidenten of wijzigingen.

• Maak van databeveiliging en privacy een vast onderdeel van de accountgesprekken.

Kortom: werk aan een open partnerschap, zonder naïviteit.

Tot slot: regie is geen project, maar een houding

Leveranciersbeheer gaat niet over één audit of een jaarlijkse evaluatie. Het is een houding. Een manier van kijken naar je digitale infrastructuur, waarin je je steeds afvraagt: wie heeft toegang, wie heeft controle en wie bewaakt de belangen van onze leerlingen en medewerkers?

Die vragen kun je als bestuur niet meer parkeren bij ‘de ICT’er’ of ‘de school zelf’. Ze vragen om leiderschap, samenwerking en een strategische koers. Want uiteindelijk draait het om vertrouwen. Vertrouwen van ouders, van teams en van samenwerkingspartners. Dat verdien je, aan de voorkant én aan de achterkant van de school.

Kader: 5 vragen voor strategisch leveranciersbeheer

1. Weten wij wie onze gegevens verwerkt en onder welke voorwaarden?
2. Is leveranciersbeheer een vast onderdeel van onze beleids- en inkoopprocessen?
3. Hebben we zicht op risico’s bij de uitwisseling van data met derden?
4. Evalueren we structureel onze contracten en samenwerkingen?
5. Hebben we voldoende kennis in huis om datastromen te beoordelen?

Meer weten?

FLEXfg ondersteunt schoolbesturen bij het inrichten van leveranciersrisicomanagement, het uitvoeren van DPIA’s en het begeleiden van dataketen-audits. Niet als checklistfabriek, maar als strategische partner die de onderwijspraktijk begrijpt. Neem contact op voor een oriënterend gesprek.