De wereld van digitalisering verandert in rap tempo. Als we vroeg in de jaren negentig kennismaken met de mobiele telefoon is het amper voor te stellen dat de smartphone vandaag de dag haast onmisbaar is in ons dagelijks leven. We gebruiken de telefoon als navigatie, krant, agenda en betalingsmiddel in één. Toch is die digitale wereld nog volop in ontwikkeling, zeker in het vak van toezicht houden. Hoe ga je als toezichthouder te werk als digitalisering nog geen vast onderdeel is van het toezicht?
Vanessa van Kuilenburg-Brouwer ondervindt het aan den lijve als ze via de werving en selectie van De Erkende Toezichthouder nieuw binnenkomt bij een RvT waar digitalisering nog geen onderdeel is van toezicht. Als Functionaris voor Gegevensbescherming (FG) voor scholen en non-profitorganisaties gaat ze de RvT van Stichting VierTaal als trainee versterken vanuit haar aandachtsgebied IT en Informatiemanagement. Maar hoe geef je hier inhoud aan? Waar haal je je informatie vandaan? En hoe zorg je ervoor dat je deze aanpak kunt voortzetten? Vanessa deelt haar kennis en ervaringen met je.
Is er al een digitale strategie aanwezig?
Om dit te achterhalen, gaat Vanessa het gesprek aan met mensen die van belang zijn voor haar aandachtsgebied. “Enerzijds spreek ik leden van de RvT, anderzijds voer ik gesprekken met de bestuurder, de bestuurssecretaris en de IT’er van de organisatie.” Haar traineeship duurt een jaar en de tijd vliegt voorbij. Hoe kan ze in deze korte tijd daadwerkelijk resultaat boeken? “Vanuit mijn kennis en ervaring ben ik allereerst gaan kijken hoe IT binnen de organisatie is ingericht. Welke visie is er op IT? Welke stukken liggen er?
Maar ook: wat krijgt nu wél de aandacht en wat niet? En waarom zijn deze keuzes gemaakt?” In gesprek met de IT’er krijgt ze daar een beter beeld van, ook van de volwassenheid van de organisatie. “Toezicht houden op de informatiehuishouding en alles wat daarbij komt kijken in een ‘volwassen organisatie’ ziet er heel anders uit dan in een ‘onvolwassen organisatie’. De IT-volwassenheid van de organisatie heeft dus een directe link met hoe je toezicht gaat houden. Met andere woorden: ga er niet bovenop zitten als het goed gaat en andersom.”
Vanuit haar functie als FG dient een website van een organisatie voor Vanessa als eerste indruk van hoe een organisatie kijkt naar IT, informatieveiligheid en privacy. “Daar heb ik vanuit mijn rol binnen de RvT ook naar gekeken. Vervolgens heb ik stukken opgevraagd om werkelijk te kunnen zien hoe de vlag erbij hangt: heeft de organisatie een visie en strategie op IT? Zijn er actuele stukken over de omgang met IT in de organisatie? Hoe passen die binnen de visie en strategie van de organisatie? En staat IT op de agenda? Ook van belang is hoe dit onderwerp zich verhoudt tot andere aandachtsgebieden. IT raakt HR, financiën, onderwijskwaliteit, is ondersteunend aan bedrijfsvoering en/of onderwijs. Als HR een belangrijk aandachtsgebied is met als gevolg dat medewerkers tevreden zijn, maar dezelfde medewerkers kunnen niet uit de voeten met de IT-plannen van de organisatie, dan sluipt die ontevredenheid er alsnog in. Alles hangt met elkaar samen: dus is een integrale kijk van belang.”
Hoe houd je toezicht op de digitale strategie?
Volgens Vanessa is een toezichtplan naast de visie en strategie van de organisatie een belangrijke basis om toezicht te kunnen houden op een nieuw aandachtsgebied. “Als je het toezichtplan leest, is IT dan duidelijk en integraal opgenomen in het toezicht? Bijvoorbeeld als je kijkt naar de speerpunten van toezicht en het perspectief van waaruit toezicht gehouden wordt? Als er bijvoorbeeld in een toezichtplan staat dat leerlingen centraal staan in het toezicht, dan kijk je met die blik naar de IT-strategie en de keuzes die gemaakt worden.” Naar de plannen die er liggen heeft Vanessa goed gekeken. “Vervolgens heb ik deze besproken met de IT’er en bestuurder van de organisatie. Het beleid toets je aan de hand van de (IT-)strategie van de organisatie en vervolgens op de manier waarop je wil toezicht houden. Ik treed als sparringpartner op om de organisatie verder te helpen en om de collega’s in de RvT een eerste beeld van de stand van zaken te geven. Zo heb ik aangegeven wat mij is opgevallen, waar mogelijk risico’s en kansen zitten, en waar je iets mee kan of moet als RvT.”
De keerzijde
Het feit dat Vanessa zoveel kennis van digitalisering en privacy heeft, kent ook een keerzijde: “Ik heb de inhoudelijke expertise voor dit aandachtsgebied en dus wordt er binnen de RvT van mij verwacht dat ik als sparringpartner optreed. Maar toezicht houden vraagt meer dan enkel inhoudelijk sparren over een specifiek vraagstuk. Het is belangrijk dat je vanuit de rol van expert én vanuit de rol van toezichthouder een bijdrage kunt leveren. En dat je vanuit verschillende invalshoeken een vraagstuk kunt benaderen. Ben je in staat om, ondanks je inhoudelijke kennis, afstand te nemen van een vraagstuk? Weet je de juiste vragen te stellen? Het risico bestaat dat je te veel op microniveau focust, terwijl je juist beter een gepaste afstand kunt bewaren.”
Hoe ga je deze aanpak voortzetten?
“De eerste stappen zijn nu gezet: de eerste terugkoppeling naar de organisatie is gedaan en de verwachtingen zijn naar de bestuurder uitgesproken. Voor mijn aandachtsgebied is het interessant om vervolgens gesprekken met stakeholders te voeren. Denk aan medewerkers, leraren, leerlingen en ouders. Wat gebeurt er nu op IT-vlak? Is dit ondersteunend voor de organisatie, voor de leerlingen en voor de medewerkers?
Maar ook: waar zitten de blinde vlekken die je als toezichthouder hebt? Dit staat in de loop van het jaar op het programma. De beste graadmeter is de werkvloer zelf, oftewel: scholen bezoeken, met de leerlingen in gesprek, maar ook met leerkrachten die op dagelijkse basis te maken krijgen met de IT-keuzes die gemaakt worden. IT kan op verschillende vlakken belangrijk zijn, lang niet alleen ondersteunend aan het leerproces. Denk aan de communicatie tussen ouders en medewerkers bijvoorbeeld. Voor toezicht dat bijdraagt aan verbetering in de organisatie is het volgens mij belangrijk om inzicht te krijgen in hoe directe stakeholders de IT en alles wat daarbij hoort, zoals de informatiebeveiliging en privacy, ervaren.”
Hoe kun je effectief toezicht houden op digitalisering?
Als je effectief toezicht houdt op de digitalisering van een organisatie, is het van belang eerst de stand van zaken in kaart te brengen. En de volwassenheid van de organisatie in beeld krijgen. Voorbeelden die Vanessa noemt: “Kijk naar de IT-visie en strategie, het overzicht van applicaties en systemen en de bijbehorende externe partners en leveranciers. Maar ook naar relevante besluitvorming en risicobeheersing, informatiebeveiliging en privacy. Het toezichtplan van de RvT in combinatie met de visie en strategie van de organisatie geven verdere invulling aan het aandachtsgebied.”
Tot slot is toezicht op digitalisering volgens Vanessa alleen effectief wanneer je de verbinding zoekt met andere aandachtsgebieden en de strategische issues. “Een strategische IT-ontwikkeling die ondersteunend is aan het onderwijsproces vertaalt zich als het goed is naar de begroting en onderwijskundige verantwoording. Dat rechtvaardigt wat mij betreft ook het specifieke IT-aandachtsgebied binnen een RvT. Want door het ‘er een beetje bij te doen’ in de andere aandachtsgebieden, zonder de benodigde kennis en expertise, kan het inrichten van toezicht houden op een stevig IT-fundament tussen wal en schip raken.
De versnelling binnen het onderwijs op het gebied van digitalisering is nog niet klaar. En het gaat steeds duidelijker een onlosmakelijk onderdeel uitmaken van het beheer en de sturing op de kwaliteit en uitvoering van het onderwijs in Nederland. Dat is maatschappelijk relevant, en fundamenteel voor de manier waarop toekomstige generaties worden gevormd.”
Speciaal voor toezichthouders en commissarissen die verdiepende informatie willen rondom digitalisering organiseren wij de Online verdiepingsmodule Toezicht op digitalisering. Krijg handvatten hoe je als toezichthouder het toezicht op de digitale transitie praktisch kunt inrichten voor jouw organisatie.