Risicomanagement in het onderwijs verbindt iedereen

Op 2 april 2026 vond bij SURF de eerste risicomanagementdag plaats. Tijdens de dag werd duidelijk dat risicomanagement in het onderwijs alle hoeken van een organisatie leeft, maar dat we lang niet altijd dezelfde taal spreken. De zoektocht naar een gezamenlijke benadering — en hoe je dat praktisch maakt — liep als rode draad door het programma. De inzichten die daaruit voortkwamen, lees je in dit artikel.

Samenbrengen van rollen rond risicomanagement in het onderwijs

Deze dag bracht professionals samen die zich ieder vanuit hun eigen rol bezighouden met risicomanagement in het onderwijs: CISO’s, controllers, privacy officers, juristen, functionarissen gegevensbescherming, managers integrale veiligheid, quality & risk officers en enterprise risk managers.

Risicomanagement domeinen in het onderwijs verbinden

Voor deze diverse groep bestaan weinig momenten om elkaar te ontmoeten. Daarom bood het programma bewust veel ruimte voor gesprek en uitwisseling. De dagvoorzitters benadrukten dat deze eerste risicomanagementdag past binnen de ambitie om verschillende risicomanagement domeinen (cybersecurity, privacy, integrale veiligheid, enterprise risk management) in het onderwijs met elkaar te verbinden en de samenwerking te versterken.

Falen versus de wet: twee manieren om naar risicomanagement te kijken

Vanuit het Instituut voor Briljante Mislukkingen maakte duidelijk dat mislukte projecten vaak herkenbare patronen volgen. Archetypen zoals de generaal zonder leger (niet de juiste middelen), de canyon (ingesleten patronen) en de lege plek aan tafel (niet alle relevante partijen zijn betrokken) bleken voor veel deelnemers herkenbaar. Zodra je deze patronen leert zien, kun je er actief op sturen. Risicomanagement is een gezamenlijk leeropgave, waarin verschillende betrokkenen elkaar vinden en met elkaar perspectieven uitwisselen.

Key take away: leer van gemaakte fouten door de lessen zo vroeg mogelijk in het nieuwe proces toe te passen.

Daar tegenover stond de actualiteit van wetgeving. Vanuit het Nationaal Cyber Security Centrum werd toegelicht hoe de Cyberbeveiligingswet — de Nederlandse uitwerking van de NIS2-richtlijn — organisaties juist verplicht om zélf hun risico’s te begrijpen. Nederland kiest bewust voor een risk-based benadering. Niet een lijst met verplichte maatregelen, maar de opdracht om een risicoanalyse uit te voeren, passende maatregelen te kiezen en deze te implementeren. De rol van bestuurders is hierin essentieel.

Key take away: de organisatie is zelf aan zet (risico- i.p.v. regel-gebaseerd) om een passend niveau van weerbaarheid te organiseren; preventief waar het kan en responsief waar het moet.

Risicomanagement op de bestuurstafel

Een gesprek met bestuurders en een concerncontroller liet zien waarom risicomanagement thuishoort op de bestuurstafel. Bestuurders hebben behoefte aan overzicht en duiding, niet aan technisch detail. De oproep aan risicomanagers en CISO’s: verplaats je in het perspectief van het bestuur. Werk samen met mensen die dicht bij de bestuurlijke besluitvorming staan, zoals controllers. Ontwikkel samen de juiste taal en toon om risico’s bespreekbaar en bestuurlijk hanteerbaar te maken. Checklists zijn daarbij geen bureaucratie, maar juist een hulpmiddel om ruimte te creëren voor de echte bestuurlijke vragen.

Key take away: checklists zijn niet bureaucratisch, maar juist superrelevant; vink af wat je tevoren door experts kunt laten doen, zodat tijd en ruimte ontstaat voor de daadwerkelijke bestuurlijke vragen aan de juiste tafel.

Morgen aan de slag met risicomanagement: praktische handvatten

In drie parallelsessies kregen deelnemers concrete handvatten om direct toe te passen.

Business Continuity Management

• In de kern: inventariseer vooraf je kritieke organisatieprocessen en bedenk hoe je deze in tijden van uitval of verstoring in een minimale variant kunt continueren. 
• Onderscheid hierbij de verstoring van personeel, locatie of systemen. In essentie, wat zijn je afhankelijkheden (Business Impact analyses) en richt de aanpak in (Business Continuity Process).

IT-risicobeoordeling

• Zelf risico’s inschatten a.d.h.v. de volgende elementen: kroonjuwelen, actoren, motieven van kwaadwillende, methoden, kwetsbaarheden & de impact.
• Op basis hiervan kun je een concreet scenario (narratief) bouwen wat inspireert tot actie. Vervolgens een beoordeling van het scenario, de impact, kans, bereidheid en de respons.

Hoe maak je het praktisch?

• Gebruik het 3-lijnenmodel als basis en leg rollen, spelregels en verantwoordelijkheden vast in heldere charters. Daarmee verschuift risicomanagement van technocratisch naar doelgericht en wordt duidelijk wie waarover gaat.
• Maak de risicodialoog leidend, niet compliance. Zie compliance als het minimumniveau, niet als het doel. Help bestuurders expliciet hun risicobereidheid te bepalen en gebruik dat als vertrekpunt voor het gesprek. Risico’s zijn geen problemen, maar onderwerpen voor een open dialoog.

Wat viel op?

De risicomanagementdag was binnen 24 uur al volgeboekt en kende een lange wachtlijst. De behoefte aan dialoog, herkenning en het delen van ervaringen bleek groot.
Veel instellingen worstelen met dezelfde vraag: hoe maak je risicomanagement minder abstract en hoe borg je het in de organisatie?

Vervolg en verdieping

Er volgen dit jaar meer momenten om kennis over risicomanagement uit te wisselen, zoals de training IT-risicobeoordeling en de Security & Privacy Conferentie in juni.
 

Veel dank aan de organisatie van deze dag: Hans Suijkerbuijk (TU Delft), Marc Kouwenhoven (Hogeschool Rotterdam), Hub Gerats (Fontys), Roos Roodnat (Hogeschool Utrecht), Nicole van Deursen (SURF) en de hulp van Jan Roos (Christelijke Hogeschool Ede) en de collega's van SURF (Ilse, Maartje, Ed).