Peer review 2020

In 2019 hebben we voor de 5e keer de Benchmark IBP/E uitgevoerd. Deze benchmark is voor ons een belangrijk instrument om te beoordelen hoe de mbo-sector ervoor staat op het gebied van informatiebeveiliging en privacy.

De resultaten hebben we tijdens onze netwerkbijeenkomst van 12 december 2019 teruggekoppeld. We hebben geconstateerd dat de benchmark, als zelfassessment, een zekere mate van onnauwkeurigheid kent. Er zijn een aantal oorzaken benoemd die kunnen leiden tot onderlinge interpretatieverschillen en afwijkingen. De peer review is een instrument om daar beter zicht op te krijgen en daarin een verbeterslag te kunnen maken. Zie ook de rapportage van de benchmark 2019: www.sambo-ict.nl/ibpdoc11e.

Door recente ontwikkelingen, zoals de ransomware-aanval in Maastricht en de Citrix-affaire, wordt ook vanuit OCW gevraagd in hoeverre de mbo-sector in control is qua informatiebeveiliging. Daarbij voeren wij dan onze resultaten van de benchmark aan, waarbij een gemiddelde score van 2,5 en een deelname van 95% natuurlijk hele mooie resultaten zijn. Tegelijkertijd wordt ook vanuit die hoek de vraag gesteld in hoeverre onze benchmark, op basis van zelf-assessments, een voldoende betrouwbaar instrument is.

Kortom, het is tijd om nu echt werk te gaan maken van de peer review. Dit instrument is in 2018 voor het eerst ingezet en is in 2019 herhaald. Aan deze laatste editie hebben 11 instellingen deelgenomen. De regiegroep ibp heeft de uitdrukkelijke wens uitgesproken dat alle instellingen die in 2019 de benchmark hebben ingevuld, in 2020 deelnemen aan de peer review.

De peer review is in zijn huidige opzet echter vrij tijdsintensief. Er wordt veel aandacht besteed aan formele rapportages, waarin ook weer feedback vanuit de onderzochte instelling wordt meegenomen. De bevindingen worden vervolgens persoonlijk gepresenteerd. Voor het doel dat wij ermee voor ogen hebben is deze grondige aanpak wellicht wat zwaar aangezet. Daarom doen wij hierbij een voorstel voor een aangepaste variant van de peer review, die voor elke instelling haalbaar zou moeten zijn.

Aanpak peer review 2020

Het onderwerp is besproken in een werkgroepje tijdens de netwerkbijeenkomst van 12 december 2019 en is daarna verder uitgewerkt tot de volgende aanpak.

  • De 10 te reviewen statements worden centraal vastgesteld en tijdig gecommuniceerd.
  • Voor deze 10 statements wordt de bewijslast uitvoerig beschreven en toegelicht in een servicedocument.
  • De review moet in een dagdeel (3,5 uur) worden afgerond, de documentatie en/of onderbouwing van de bewijslast moet door de ontvangende instelling daarom goed worden voorbereid en op dat tijdslot worden afgestemd.
  • Rapportage van de bevindingen gebeurt via een standaard (digitaal) formulier, waarbij de toelichting tot het hoogstnoodzakelijke wordt beperkt, er is verder geen documentatie of nazorg vereist.
  • De gegevens uit het formulier worden centraal verzameld, geanalyseerd en (geanonimiseerd) gerapporteerd.
  • Er worden drie scenario’s aangeboden:
    • peer-carrousel
    • peer review bijeenkomst
    • expert review
  • De planning is als volgt:
    • Aanmelding instellingen (scenario 1-3): uiterlijk 6 maart
    • Communicatie servicedocument en indeling peers: 10 maart
    • Uitvoering peer review bezoeken: 11 maart tot 17 april
    • Peer review bijeenkomst (Utrecht): 2 april

Peer-carrousel

De deelnemende instellingen worden door de organisatie in een carrousel ingedeeld, waarbij rekening wordt gehouden met de reisafstand. Instelling A bezoekt instelling B, B bezoekt C enzovoort. Binnen de periode van 11 maart tot 17 april maken de instellingen zelf de afspraken voor het peer review bezoek. De bewijslast wordt ter plekke beoordeeld en voorzien van opmerkingen. Het reviewen kost een dagdeel; gereviewd worden kost eveneens een dagdeel.

Peer review bijeenkomst

De deelnemers aan deze centrale bijeenkomst komen op 2 april in Utrecht bij elkaar. Er zijn twee ronden: van 10:00 – 13:00 en van 14:00 – 17:00 uur, met tussendoor een lunch. In de ene ronde word je gereviewd, in de andere ronde voer je zelf de review uit. De indeling van de peers wordt bij de start van de dag door de organisatie bekend gemaakt. Er is gedurende de dag ondersteuning aanwezig mochten er vragen zijn met betrekking tot de uitvoering van de review en de interpretatie van de bewijslast.

Expert review

Instellingen die geen tijd kunnen of willen vrijmaken om zelf als reviewer op te treden kunnen gebruikmaken van de expert review. Daarbij voert een externe expert de review op locatie uit. Ook in die situatie is het van belang dat de bewijslast state-of-the-art wordt voorbereid, want de reviewer heeft maximaal 3,5 uur beschikbaar voor het assessment. De kosten voor deze variant bedragen € 500,- ex btw.

Voorbereiden bewijslast

Nadat de te reviewen statements door de organisatie zijn gecommuniceerd hebben de instellingen de gelegenheid om de benodigde bewijslast in de eigen organisatie demonstratieklaar te verzamelen. Om een soepele review te garanderen is het belangrijk dat de bewijslast voor elk van de 10 statements ‘op een presenteerblaadje’ aanwezig is.

Keuze scenario

Doorgeven het peer review scenario van jouw keuze kan tot 6 maart en gaat via www.sambo-ict.nl/keuze-pr2020.

Wij hopen op een mooi peer review proces waarmee we als mbo-sector weer een flinke stap voorwaarts zetten op ibp-gebied.

De Regiegroep ibp in het mbo

Bijlagen