Ga naar content
SLBdiensten / Nieuws overzicht / Q&A webinar 'Maak kennis met IBP Normenkader Klip…

Q&A webinar 'Maak kennis met IBP Normenkader Klip&Klaar van Team AVG'

14 april 2025

Op 10 april 2025 organiseerde SLBdiensten samen met Team AVG een webinar om het programma 'IBP Normenkader Klip&Klaar uit de doeken te doen. Hierbij presenteerden oprichters Michael van Ginkel en Dolf Dubois de kant-en-klare aanpak voor onderwijsinstellingen om van nu tot en met eind 2027 op tijd en efficiënt het Normenkader IBP te implementeren. Lees hier de vragen die tijdens het webinar zijn gesteld met hierop uitgebreide antwoorden. Interesse in het webinar? Bekijk het dan terug via de button!

Vraag 1

Wat maakt jullie aanpak en templates anders dan het groeipad en de voorbeelddocumentatie van Kennisnet? Zij bieden dit toch ook?

Antwoord vraag 1

Het programma IBP normenkader Kli[&Klaar bestaat uit onderstaande onderdelen:

  1. Team AVG documenten
  2. Team AVG roadmap
  3. Team AVG community
  4. Team AVG kwartaalupdates

Aan de hand van de Team AVG Roadmap volgen de scholen tegelijkertijd het programma IBP Normenkader Klip&Klaar om tijdig gereed te zijn met de implementatie van het Funderend Onderwijs Normenkader IBP in 2027. Elk kwartaal worden een aantal normen behandeld in de kwartaal updates en worden de bijbehorende Team AVG Documenten beschikbaar gesteld binnen de Team AVG Community. Scholen kunnen direct aan de slag, al dan niet in samenwerking met andere scholen via de Team AVG Community. De deelnemende scholen werken elk kwartaal aan dezelfde normen en documenten om de samenwerking tussen de scholen effectief en efficiënt te maken.

De aanpak IBP van Kennisnet beperkt zich tot het aanleveren van gefragmenteerde informatiebronnen (vaak afkomstig van buiten het onderwijsveld) en tijdslijnen waarbij scholen zelf moeten bepalen op welke manier, en in welk tempo, zij per eind 2027 een volwassenheidsniveau van 3.0 dienen te behalen. Scholen worden niet aan de hand meegenomen in een structureel traject en moeten afwachten of hulpmiddelen wel beschikbaar komen volgens de afgegeven planning van Kennisnet. Met andere woorden scholen moeten zelf stappen ondernemen en worden niet ontzorgd. De praktijk laat zien dat scholen blijven worstelen met de implementatie van het funderend onderwijs normenkader IBP waarbij onnodig veel FTE’s moeten worden ingezet tegen te hoge kosten omdat scholen vrijwel altijd specifieke AVG kennis ontberen. Deze AVG kennis is ook hard nodig om de aanpak IBP van Kennisnet te kunnen begrijpen of te volgen.

Zowel het IBP normenkader Klip&Klaar als het groeipad van Kennisnet helpen scholen met informatiebeveiliging en privacy (IBP), maar ze verschillen in aanpak, toon, gebruiksgemak en doelgroep gerichtheid. Met het programma normenkader Klip&Klaar worden scholen aan de hand meegenomen en volledig ontzorgd, terwijl bij de aanpak van kennisnet de scholen zelf in actie moten komen.

Vraag 2

Wat als je al bezig bent met het normenkader, stap je dan pas later op de trein?

Antwoord vraag 2

Als je al bezig bent met het implementeren van het Funderend Onderwijs normenkader IBP wordt aangeraden om toch gelijk te starten aan het begin van het programma om de onderstaande redenen:

  • In de Team AVG roadmap is een route uitgestippeld die rekening houdt de samenhang tussen de verschillende normen. De reeds geïmplementeerde normen bij de school kunnen worden vergeleken met de normen van de desbetreffende Team AVG kwartaalupdates en indien nodig verfijningen aanbrengen. Dit betekent dat al hetgeen men al heeft gedaan niet voor niets is geweest.
  • Men kan ideeën opdoen voor eventuele aanpassingen en/of een andere aanpassingen.
  • De scholen kunnen in de Team AVG community de desbetreffende normen samen verder uitdiepen, delen en van elkaar leren.

Vraag 3

Is het mogelijk om je eigen (versnelde) tempo te bepalen?

Antwoord vraag 3

Het programma van IBP normenkader Klip&Klaar bestaat uit 4 pijlers, waarbij alle scholen die deelnemen tegelijk dezelfde kwartaalupdate doorlopen aan de hand van de Team AVG roadmap. Om misverstanden en verwarring te voorkomen werken alle scholen gezamenlijk aan dezelfde normen en creëren zo een lerende organisatie en een gezamenlijk begrip over de desbetreffende normen.

De kracht van het programma Team AVG IBP normenkader Klip&Klaar is juist het gezamenlijk optrekken van de scholen op kwartaalbasis. Het programma wordt in een vast tempo uitgerold en afwijkingen daarin zijn niet mogelijk.

Vraag 4

Hoe word je ondersteund bij het implementeren? Komen mensen van Team AVG dan ook op locatie en onderhouden dan ook contact met het College van Bestuur?

Antwoord vraag 4

Aan de hand van de 4 pijlers van het programma worden de deelnemers meegenomen in het implementatietraject. Elk kwartaal worden een aantal normen behandeld in de kwartaal update volgens de Team AVG Roadmap. De Team AVG kwartaalupdates gaan dieper in op specifieke aspecten van het normenkader die het komende kwartaal worden behandeld en de implementatie ervan. De Team AVG kwartaalupdates bieden inzichten, best practices en praktische handvatten voor het toepassen van de richtlijnen uit het normenkader in de dagelijkse onderwijspraktijk. In de Team AVG kwartaal updates worden de bijbehorende Team AVG Documenten beschikbaar gesteld binnen de Team AVG Community. In de Team AVG Community werken de deelnemende scholen aan dezelfde normen en documenten om de samenwerking tussen de scholen effectief en efficiënt te maken.

Naast bovenstaande biedt Team AVG Workplace ondersteuning aan scholen bij de implementatie van het Funderend Onderwijs Normenkader IBP– en voor alle andere AVG gerelateerde zaken. Dit kan de inzet van een Privacy Officer of Functionaris Gegevensbescherming omvatten, maar ook het uitvoeren van DPIA’s, de beoordeling van verwerkersovereenkomsten, het uitvoeren van nulmetingen, de inzet van een Mystery Guest, de inrichting van een GRC tool tot aan het implementeren van de AVG zodat deze voldoet aan de eisen van OCW of de BC5701 AVG normering.

Team AVG Workplace heeft ook programma’s om privacy teams op scholen in te richten en de benodigde begeleiding te verzorgen.

In het programma IBP normenkader Klip&Klaar worden alle deelnemende scholen ondersteunt in de Team AVG Community.

Vraag 5

Hoeveel uur per week kost het om mee te doen in het programma?

Antwoord vraag 5

Dit is sterk afhankelijk van een aantal factoren:

  • Wat is de huidige kennis binnen school als het gaat om IBP Normenkader, AVG en privacy kennis?
  • Hoe wordt het IBP Normenkader implementatie nu gedaan binnen school? Is er een
  • Privacy Officer die alleen alles moet uitzoeken of is er een Privacy team bestaande uit b.v. iemand vanuit ICT, administratie, docenten en directie/teamleider? Of maakt school gebruik van externe AVG inhuurkrachten ?
  • Heeft school al een aantal normen geïmplementeerd of staat school nog helemaal aan het begin van de implementatie IBP Normenkader?
  • Team AVG Community zal voor het eerst scholen in staat stellen om samen te werken aan dezelfde normen op kwartaalbasis, maar ook om zaken te delen. Als school onderdeel is van een dergelijke samenwerking via de Team AVG community, dan zal school weer FTE uren kunnen gaan besparen gedurende het programma.

Gelet op bovenstaande variabelen is het erg lastig om een concreet aantal uren per week mee te geven.

Een studie in opdracht van OCW geeft aan dat een gemiddelde school waarschijnlijk tussen de 4000 en 6000 FTE uren kwijt zal zijn om alle normen van het IBP Normenkader te implementeren. Wat in dit onderzoek wordt verstaan onder een gemiddelde school is niet gedefinieerd in het onderzoek.

Het programma IBP Normenkader Klip&Klaar zal een gemiddelde besparing geven van 16 uur per norm, dus een besparing van 1500 FTE uren tot eind 2027.

Wellicht dat school kan beginnen met b.v. 8 klok uren per week wat gedurende de looptijd van het programma IBP Normenkader Klip&Klaar kan worden aangepast naar de feitelijke situatie van school. Feit is dat school het IBP Normenkader wettelijk verplicht moet implementeren.

Vraag 6

Ik lees verschillende deadlines voor dit verhaal, enerzijds 1-1-27, jullie hebben het over 31-12-27. Wat is de juiste deadline?

Antwoord vraag 6

Op de website van de PO-raad staat het volgende: Een van de thema’s die het komende jaar aandacht vraagt van besturen en schoolleiders is digitale veiligheid: eind 2027 moeten alle po- en vo-scholen voldoen aan het Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs. Dat is de inzet van het programma Digitaal Veilig Onderwijs van het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad.

Vraag 7

Is Klip&Klaar vergelijkbaar met GRC tooling?

Antwoord vraag 7

Met een GRC tool kunnen scholen b.v. de voortgang in de implementatie van het IBP Normenkader bijhouden, een register van verwerkingen aanleggen, incident meldingen vastleggen, interne audits uitvoeren, risicoanalyses uitvoeren (genoemde voorbeelden kunnen afwijken per GRC tool). Dolf Dubois van Team AVG heeft een GRC tool mede helpen ontwikkelen en Team AVG heeft ervaring met meerdere GRC tools. Er zijn GRC tools die documenten aanleveren, maar dat zijn vrijwel altijd afschriften van de hulpmiddelen van Kennisnet of Sivon. Deze hulpmiddelen zijn gefragmenteerde informatiebronnen - vaak afkomstig van buiten het onderwijsveld. Scholen moeten zelf bepalen op welke manier, en in welk tempo, zij per eind 2027 een volwassenheidsniveau van 3.0 dienen te behalen. Scholen worden niet aan de hand meegenomen in een structureel traject en moeten afwachten of hulpmiddelen wel beschikbaar komen volgens de afgegeven hulpmiddelen planning van Kennisnet. Wij zien wel dat deze planningen vrijwel altijd worden bijgesteld. Kennisnet bijeenkomsten in het land zijn alleen beperkt toegankelijk en tippen een klein onderdeel van het Funderend Onderwijs Normenkader aan. Er is geen aanpak voor een volwaardige implementatietraject voor de scholen tot eind 2027. Scholen moeten zelf stappen ondernemen en worden niet ontzorgd. De praktijk laat zien dat scholen blijven worstelen met de implementatie van het funderend onderwijs normenkader IBP waarbij onnodig veel FTE’s moeten worden ingezet tegen te hoge kosten omdat scholen vrijwel altijd specifieke AVG kennis ontberen. Deze AVG kennis is ook nodig om de aanpak IBP van Kennisnet te kunnen begrijpen of te volgen. Hoe-dan-ook: scholen blijven op zichzelf aangewezen.

[PO1]YourSafertynet is niet van Privacy op School, ik wil het liever algemeen houden. Dan wordt de vraag: Is Klip en klaar vergelijkbaar met GRC tooling?

Antwoord 8

Zijn die documenten geschreven op één-pitters of ook op stichtingen met meerdere scholen?

Antwoord vraag 8

De Team AVG Documenten kunnen o.a. beleidsstukken, procedures en protocollen omvatten. De Team AVG documenten betreffen de belangrijkste richtlijnen en maatregelen die het normenkader Funderend Onderwijs voorschrijft. Deze documenten zijn essentieel voor het vaststellen van een gemeenschappelijk begrip binnen de school. De Team AVG documenten helpen de school in het vertalen van de eisen, vanuit het Funderend Onderwijs Normenkader, naar de eigen onderwijspraktijk. De Team AVG documenten zijn een opzet, een framework, waarin de belangrijkste eisen vanuit het Funderend Onderwijs Normenkader de revue passeren. De Team AVG documenten moeten door elke school worden aangepast naar de eigen- school-specifieke omgeving. De Team AVG documenten zijn geen invuloefening, zonder verdere implementatie, waarmee de school even snel aan een norm van het Funderend Onderwijs Normenkader kan voldoen. De Team AVG documenten zijn geen “afkoop” documenten waardoor de school meteen aan de normen voldoet van het Funderend Onderwijs Normenkader. Wel zijn de Team AVG documenten tijdbesparend omdat de school meteen kan gaan implementeren vanuit het aangeboden framework – zonder eerst een framework te hoeven ontwikkelen/bedenken.

Zowel een-pitters, als andere scholen die onder een stichting vallen, moeten gaan voldoen aan het IBP Normenkader. De normen zijn school specifiek en zeker niet Stichting specifiek omdat elke school specifiek is. De Team AVG Documenten zijn geschikt voor zowel een-pitters als voor scholen die onder een stichting vallen, maar ook voor scholen met meerdere vestigingen.

Vraag 9

Welke nazorg is er na 2027? Wordt er ook nog een programma ontwikkeld op te groeien richting volwassenheidsniveau 4 en 5?

Antwoord vraag 9

De afgelopen 1,5 jaar heeft Team AVG gewerkt aan de realisatie van het programma IBP Normenkader Klip&Klaar. De directe aanleiding hiervoor waren de vragen die de leden van Team AVG hoorden vanuit de scholen op bijeenkomsten van Kennisnet, Sivon en de PO- en VO-raad. Team AVG heeft ook andere vragen vanuit het onderwijs werkveld gehoord en een aantal nieuwe programma’s zullen worden aangeboden aan de scholen. Net als het programma IBP Normenkader Klip&Klaar zullen de nieuwe programma’s volstrekt uniek van karakter zijn en meteen voorzien in actuele vragen vanuit het brede onderwijswerkveld.

Een van die programma’s zal de nazorg voor het IBP Normenkader zijn en meer omvatten dan scholen alleen te laten doorgroeien naar een hoger volwassenheidsniveau. Op dit moment is Team AVG hierover in gesprek met een partner en het is te vroeg om een release datum te aan te geven.

Vraag 10

Kun je een concreet voorbeeld geven van de aanpak voor het eerste jaar? Waar start je mee? Hoe bepaal je de prioriteit?

Antwoord vraag 10

De Team AVG roadmap biedt een roadmap voor het betreffende kwartaal om een deel van het Funderend Onderwijs Normenkader te implementeren binnen de school. De van toepassing zijnde normen voor het komende kwartaal worden toegelicht en de bijbehorende documenten worden vrijgegeven via de Team AVG community. Elk kwartaal wordt een deel van de AVG Team roadmap vrijgegeven via de Team AVG community. Alle scholen volgen dus elk kwartaal dezelfde AVG Team roadmap en werken dus altijd aan dezelfde normen en de bijbehorende documenten.

De kracht van het programma IBP Normenkader Klip&Klaar is de gemeenschappelijke reis op kwartaalbasis naar eind 2027. Wij geloven in de kracht van de Team AVG Kwartaal updates en de Team AVG Community waarbij scholen een gemeenschappelijk programma volgen. Daarom willen wij niet op voorhand onderdelen van het programma vrijgeven.

Deelnemende scholen worden aan de hand genomen en hoeven zich geen zorgen te maken over waar te starten of wat de prioriteiten zijn zodat eind 2027 aan de eisen van OCW kan worden voldaan.

Vraag 11

Wat maakt jullie expert op dit gebied (gezien de PO/FG achtergrond)? Aangezien een voornamelijk gaat over Informatiebeveiliging en domein 11 (technische weerbaarheid) verreweg het grootst is?

Antwoord vraag 11

Het klopt dat 69 van de 94 normen over Informatiebeveiliging en technische weerbaarheid gaan. Wat ons tot expert maakt op het gebied van het funderend onderwijs normenkader IBP, is de unieke combinatie van jarenlange praktijkervaring binnen onderwijsland (van primair tot wetenschappelijk onderwijs) en diepgaande theoretische kennis op de vakgebieden ICT, recht, compliance, bedrijfskunde, organisatiekunde en AVG.

Als FG’s/POérs hebben wij vanuit de dagelijkse praktijk intensief gewerkt aan de borging van privacy en informatieveiligheid bij ongeveer 250 onderwijsinstellingen. We kennen de specifieke uitdagingen van onderwijsinstellingen — van werkdruk tot beperkte capaciteit en afhankelijkheid van digitale leveranciers — en weten hoe het funderend onderwijs normenkader IBP in die context toepasbaar en werkbaar gemaakt kan worden.

Onze kracht zit in het verbinden van het juridisch kader (zoals de AVG/BC5701 en Wbp, Wpg), de eisen van het normenkader (zoals beleidsvoering, bewustwording, risico- en incidentmanagement, etc.) en de technische domeinen, waaronder domein 11: technische weerbaarheid. We spreken zowel de taal van bestuurders als van ICT-specialisten, en kunnen hierdoor bruggen slaan tussen beleid, techniek en onderwijspraktijk.

BC5701 (wij zijn gecertificeerd om de BC5701 AVG/GDPR normering te implementeren zodat deze geaccrediteerd kunnen worden binnen onderwijsinstellingen) leunt op bestaande normen uit de informatiebeveiliging en omvat een managementsysteem dat ervoor zorgt dat de compliance continu gewaarborgd blijft. Dit systeem bestaat uit drie belangrijke bouwstenen: naleving van de AVG, integratie van informatiebeveiligingseisen, en een managementsysteem voor continuïteit.

Het door ons ontwikkelde programma normenkader Klip&Klaar is niet alleen gebaseerd op het normenkader zelf, maar ook op bewezen implementatiepraktijken binnen diverse onderwijsinstellingen. Het is ontworpen om scholen stapsgewijs, concreet en haalbaar te begeleiden naar structurele naleving en verbetering, passend binnen hun onderwijscontext.

Met andere woorden: onze expertise is geworteld in ervaring, onderbouwd door theorie, en gericht op de praktijk. Precies wat nodig is om het normenkader funderend onderwijs adequaat en effectief te implementeren en te laten landen binnen onderwijsinstellingen.

Vraag 12

Vindt er een (externe) toetsing plaats om de kwaliteit te borgen?

Antwoord vraag 12

Gezien het feit dat het programma IBP Normenkader Klip&Klaar nieuw is, is er op dit moment (nog) geen externe toetsing om de kwaliteit te borgen van het programma IBP Normenkader Klip&Klaar.

Een externe toetsing op de kwaliteit van het programma IBP Normenkader Klip&Klaar zelf (dus niet op de toepassing binnen een organisatie, maar op het normenkader en programma als geheel) vraagt m.i. om een ander perspectief. Dan gaat het niet om compliance met het normenkader, maar om de kwaliteit, toepasbaarheid, volledigheid en effectiviteit van het programma normenkader Klip&Klaar als instrument voor informatiebeveiliging en privacy binnen het onderwijs.

Onderdelen van een eventuele toetsing:

  • Beoordelen of het programma IBP Normenkader Klip&Klaar aansluit bij de behoeften van onderwijsinstellingen.
  • Vaststellen of het programma IBP Normenkader Klip&Klaar effectief en bruikbaar is in de praktijk.
  • Beoordelen of het programma IBP Normenkader Klip&&Klaar volledig en actueel is, in lijn met wetgeving (zoals AVG) en best practices (zoals ISO 27001 en BC 5701).
  • Evalueren van de (benodigde) ondersteuning (Team AVG workplace) en implementatiehulpmiddelen (zoals formats, handleidingen, trainingen, etc.).

Of bedoel je dat er een (externe) toetsing plaats kan vinden om de kwaliteit te borgen van de implementatie van het Normenkader IBP van OCW?

De afgelopen 1,5 jaar heeft Team AVG gewerkt aan de realisatie van het programma IBP Normenkader Klip&Klaar. De directe aanleiding hiervoor waren de vragen die de leden van Team AVG hoorden vanuit de scholen op bijeenkomsten van Kennisnet, Sivon en de PO- en VO-raad. Team AVG heeft ook andere vragen vanuit het onderwijs werkveld gehoord en een aantal nieuwe programma’s zullen worden aangeboden aan de scholen. Net als het programma IBP Normenkader Klip&Klaar zullen de nieuwe programma’s volstrekt uniek van karakter zijn en meteen voorzien in actuele vragen vanuit het brede onderwijswerkveld.

Een van die programma’s zal de nazorg en kwaliteit voor het IBP Normenkader zijn en meer omvatten dan scholen alleen te laten doorgroeien naar een hoger volwassenheidsniveau. Op dit moment is Team AVG hierover in gesprek met een partner en het is te vroeg om een release datum te aan te geven.

Vraag 13

Hoe ga je om met de moeilijke gebieden (IAM, Architectuur, Security baseline etc.) waarbij een template of implementatie sterk afhankelijk is van de organisatie zelf of de leverancier?

Antwoord vraag 13

Veel scholen in het funderend onderwijs (PO/VO) worstelen juist met die "moeilijke" gebieden van het normenkader zoals IAM (Identity & Access Management), architectuur, en de security baseline. Deze onderdelen zijn technisch, strategisch én sterk afhankelijk van leveranciers en de inrichting van de organisatie — dus een one-size-fits-all-template werkt gewoonweg niet. Daarom geven wij aan dat het gebruik van de templates en implementatie geen invuloefening is, maar dat elke school moet kijken naar zijn eigen context/situatie en aan de hand daarvan alle moet beschrijven en inrichten.

Een paar aanvliegroutes voor de moeilijke onderdelen van het normenkader (IAM, architectuur, baseline)

- Benader het in volwassenheidsniveaus i.p.v. 'wel/niet geregeld'. Niet iedere school hoeft meteen op het niveau van een grote ICT-afdeling te zitten. Werk met volwassenheidsniveaus of faseringen.

- Gebruik leveranciers als partner – niet als obstakel. Bij onderwerpen als IAM en security baseline speelt de leverancier een centrale rol. De truc is om dit niet te zien als een blokkerende afhankelijkheid, maar als een onderhandeling of co-creatie.

- Werk met voorbeeldvragen / mini-sjablonen i.p.v. standaarddocumenten. In plaats van één vast format dat alles moet dekken, kun je met kleinere, gerichte vragen werken per onderdeel. Welke rol speelt de leverancier in accountbeheer?

- Verzamel en deel relevante voorbeelden uit het veld. Gebruik bestaande praktijkvoorbeelden of vraag andere scholen hoe zij het aanpakken.

- Zorg voor een minimale ondergrens. Zeg niet: "we zijn afhankelijk van de leverancier, dus kunnen niks doen." Maar stel een minimumniveau vast waar jullie als school altijd op sturen.

- Zoek samenwerking met andere scholen/besturen. Sommige vraagstukken kun je collectief oppakken. Zoals in Team AVG Community.

- Gebruik via Team AVG Workplace (is geen onderdeel van het programma IBP Normenkader Klip&Klaar) een expert of projectbegeleider tijdelijk voor de moeilijke onderdelen. Als de middelen het toelaten, is het vaak effectief om tijdelijk expertise in te huren voor deze onderdelen.

Vraag 14

Wat zijn de kosten om mee te doen aan dit programma?

Antwoord vraag 14

De prijzen van het programma staan online op de licentiepagina van IBP Normenkader Klip&Klaar. Inschrijven voor het programma is mogelijk t/m 15 mei. Bij voldoende inschrijvingen start het programma op 2 juni.