Vanaf 2024 zijn scholen wettelijk verplicht om in hun jaarverslag expliciet aandacht te besteden aan informatiebeveiliging en privacy. Dit benadrukt de urgentie om nu al veel verder te kijken dan het groeipad dat het normenkader biedt, vooral op het gebied van ketenbeheer en Service Level Management.
Het groeipad plaatst de verantwoordingsplicht rond leveranciersprestaties pas in fase 5. Dit is te laat. Scholen moeten vanaf het begin strikte controle hebben over hun externe dienstverleners. Service Level Management, met heldere afspraken en continue evaluatie van leveranciers, is cruciaal voor een goede informatiebeveiliging en zou daarom in een veel eerdere fase van het groeipad moeten worden geïmplementeerd.
Door met leveranciers al vanaf fase 2 of 3 in gesprek te gaan over het SLA, kunnen problemen tijdig worden herkend en aangepakt. Andere service level normen worden vanuit risico management tenslotte wel meegenomen. Zo’n cyclische benadering, gebaseerd op periodieke audits en afspraken, zorgt ervoor dat scholen proactief kunnen handelen in plaats van reactief te corrigeren. Dit niet alleen omwille van de veiligheid, maar ook om te voldoen aan de komende verantwoordingsplicht in jaarverslagen.
Meest effectief zou zijn om vanaf het begin te werken met continue verantwoording binnen Service Level Agreements (SLA’s) en dit te integreren in een breder risicobeheerplan. Hiermee kunnen scholen hun digitale veiligheid proactief verbeteren en voldoen aan zowel huidige als toekomstige wetgeving.
Afwijken van het groeipad is dus cruciaal omdat scholen voor deze essentiele onderwerpen niet kunnen wachten tot fase 5 die wellicht pas in 2027 opgepakt zou kunnen worden. Een meer dynamische aanpak, met eerdere focus op verantwoordingsplicht, zorgt ervoor dat scholen proactief hun digitale veiligheid verbeteren en compliant blijven.