Digitale weerbaarheid is uitgegroeid tot een essentieel onderdeel van continuïteit in de kinderopvang.
Accountants, verzekeraars en toezichthouders stellen steeds hogere eisen aan digitale veiligheid en governance. In deze blog van onze hoofdsponsor Altronic verkennen we hoe bestuurders dit thema effectief kunnen verankeren in hun ICT-beleid.

Waar voorheen ICT vooral werd gezien als ondersteunend voor de bedrijfsvoering, is het inmiddels een cruciaal onderdeel geworden om de continuïteit en beschikbaarheid van de dienstverlening te kunnen waarborgen. Alle informatie is immers digitaal beschikbaar.

Dat betekent dat accountants steeds meer hun rol pakken als “controleur” of en in hoeverre kinderopvang organisaties voldoen aan de minimale eisen op het gebied van digitale veiligheid, gegevensbescherming en leveranciers-compliance. Ook bij het afsluiten van een cybercrime verzekering worden hoge eisen gesteld aan de veiligheid van de IT infrastructuur. En we merken dat ook vanuit een RVT meer vragen worden gesteld over dit onderwerp.

Dit vraagt van bestuurders om meer met dit onderwerp bezig te zijn en zorg te dragen dat de organisatie ook op dit gebied op orde is. In deze blog willen we wat dieper ingaan op deze materie hoe dergelijke zaken ingebed kunnen worden in een ICT beleid. Dat doen we aan de hand van een 5-tal onderwerpen die hier betrekking op hebben.

1. AVG & gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) legt organisaties verplichtingen op bij het verwerken van persoonsgegevens. In de kinderopvang gaat het vaak om bijzondere persoonsgegevens (denk aan gegevens over kinderen, gezondheid, noodsituaties) en dus adviseren wij om de volgende zaken geregeld te hebben:

• Zorg dat er een verwerkersovereenkomst afgesloten is met ICT‐leveranciers en leveranciers van cloud-diensten.
• Zorg voor een overzicht waar bewaartermijnen, toegang, autorisaties en veilige opslag van gegevens vastgelegd en inzichtelijk zijn.
• Zorg dat je een datalekprocedure hebt zodat je deze kunt toepassen bij incidenten. Daarmee kan je snel voldoen aan de meldplicht en zorgen dat de juiste partijen ingeschakeld worden bij een calamiteit.

Het is voor bestuurders vooral van belang om te weten dat het dus niet alleen gaat om uitsluitend technische maatregelen. Maar het vraagt ook om beleid, monitoring en rapportage. Een beleidsstuk waar privacy‐ en beveiliging van gegevens in zijn opgenomen hoort onderdeel te zijn van de governance van de organisatie.

2. Cybersecurity & menselijke factor

Wetgeving stelt dat organisaties passende technische én organisatorische maatregelen nemen ter bescherming van persoonsgegevens en netwerken. Dit omvat niet alleen technologie, maar ook de menselijke factor: medewerkers vormen immers vaak het zwakste punt. Voor bestuurders betekent dit:

• Bewustzijn creëren: trainingen en phishing-tests helpen het personeel alert te maken op social engineering en malware.
• Inzage met behulp van monitoring en rapportage. Bestuurders moeten inzicht krijgen in het volwassenheidsniveau van de organisatie op het gebied van cyber-weerbaarheid. Dit kan bijvoorbeeld door periodiek deze informatie op te vragen bij de ICT dienstverlener, mits monitoring e.d. wel ingeregeld is door deze partij.
• Documentatie en toetsing: beveiligingsmaatregelen moeten niet alleen bestaan, maar ook gecontroleerd, geëvalueerd en geüpdate worden.

3. Continuïteit en crisismanagement (BC/DR) *)

Bij ICT-storingen, uitval of cyberaanvallen staat de dienstverlening – in dit geval kinderopvang – onder druk. Vanuit wet‐ en regelgeving (zoals AVG) moeten organisaties aantoonbaar zijn voorbereid op continuïteit van cruciale systemen. Bestuurders dienen te zorgen dat:

• Kritieke processen (planning, registratie, ouder­communicatie) zijn geïnventariseerd.
• Back-up- en herstelstrategie (disaster recovery) aanwezig is en regelmatig getest wordt.
• Storingsprocedures en communicatie naar ouders/medewerkers zijn ingericht.
• Rapportage over incidenten en herstel volgt, inclusief evaluatie van lessen en verbetermaatregelen.

*) BC = Business Continuity
*) DR = Disaster Recovery

4. Leveranciers en verantwoordelijkheden

In de kinderopvang maken organisaties veel gebruik van ICT-diensten (cloud, registratie, oudercommunicatie, personeelssystemen). Daarbij is het van belang om ook leveranciers hierop kritisch te beoordelen en te selecteren. De volgende zaken zijn dan van belang:

• Voldoen leveranciers aan beveiligings‐, privacy‐ en continuïteitseisen (certificering, normering, auditability)?
• Zijn er duidelijke afspraken gemaakt over databeveiliging, data-locatie, en het recht om een dienstverlener te mogen auditen?
• Is de continuïteit van de bedrijfsvoering geborgd, ook bij een leverancierswissel?

5. AI‐beleid en aankomende wetgeving

De EU Artificial Intelligence Act (AI Act) introduceert een kader voor het gebruik van kunstmatige intelligentie in de EU. Voor kinderopvangorganisaties die AI‐toepassingen gebruiken (bijv. voor planning, chatbots of data‐analyse) is het belangrijk om te weten:

• Welke toepassingen als “hoog risico” worden beschouwd en dus strenge eisen krijgen: transparantie, documentatie, menselijke controle.
• Is er beleid afgesproken over AI-gebruik? Denk aan privacy/ethiek, toezicht en betrouwbaarheid van resultaten en voorkomen van het uitlekken van gevoelige bedrijfsinformatie.
• Laat je regelmatig informeren over de mogelijkheden, kansen en bedreigingen van AI.

Samenvattend

We kunnen uit deze informatie de conclusie trekken dat digitalisering steeds verder gaat en een mooie ontwikkeling is, maar ook risico’s met zich mee brengt en dat het daarom de aandacht nodig heeft die het verdient.

Ons advies is om te beginnen met een aantal quick-wins. Denk daarbij aan:

1. Het thema digitale veiligheid benoemen binnen de organisatie.
2. Bewustwording versterken door bijvoorbeeld phishing mail simulatie tools in te zetten.
3. Inventariseren in hoeverre de organisatie al voldoet aan de meest noodzakelijke maatregelen. Denk daarbij aan:
   • Beleidsdocumenten
   • Inzicht in een veilige IT omgeving
   • Inzicht in een veilige netwerkinfrastructuur
4. De beveiliging op orde brengen en dit regelmatig laten toetsen door een externe partij
5. Beleid opstellen op het gebied van AVG en continuïteits-risico’s
6. Ga met elkaar in gesprek hoe AI ingezet kan worden op een veilige manier