Openbaar Onderwijs Groningen

Professioneel IBP-compliant account- en rechtenbeheer bij Openbaar Onderwijs Groningen

Openbaar Onderwijs Groningen is een onderwijsorganisatie met 36 scholen in de gemeente Groningen. De organisatie verzorgt met 2.100 medewerkers basis-, voortgezet én speciaal onderwijs aan meer dan 16.000 leerlingen. Om te zorgen dat daarbij iedereen dagelijks toegang heeft tot de juiste IT-applicaties en gegevens, heeft de afdeling ICT een programma uitgerold om de verstrekking en het beheer van accounts en toegangsrechten zoveel mogelijk te stroomlijnen en automatiseren. Daarbij werkt de organisatie volgens het Normenkader Informatiebeveiliging en Privacy (IBP) voor het onderwijs. Het nieuwe HelloID Identity-as-a-Service platform speelt hierin een centrale rol. 

“Met zoveel gebruikers hadden we natuurlijk al wel systemen in gebruik om de Instroom-, Doorstroom- en Uitstroomprocessen (IDU-processen) te ondersteunen”, vertelt Geert Fabriek (ICT Projectmanager Openbaar Onderwijs Groningen). “Zo was de uitgifte van accounts en rechten aan leerlingen al geautomatiseerd. Dat kan ook niet anders, want jaarlijks hebben we een groot aantal nieuwe leerlingen, anderen verlaten hun school en de rest schuift door naar een andere klas of school. Dat zijn dus duizenden mutaties in een kort tijdsbestek. Voor het IDU-proces en gebruikersbeheer van de medewerkers en leerlingen hadden we al wel ondersteunende tools, maar een deel van het werk werd ook nog handmatig uitgevoerd. Dit resulteerde in inconsistenties, vertraging en dus ook ergernis en kosten. Bovendien wilden we graag compliant worden met het Normenkader Informatiebeveiliging en Privacy (IBP) voor het onderwijs. Daarin staat beschreven aan welke regels, principes en standaarden scholen moeten voldoen om digitaal veilig te werken. Belangrijk daarbij is dat je gebruikers alleen voorziet van die accounts en rechten die ze ook echt nodig hebben voor hun werkzaamheden. Dit vraagt om een volwaardige IAM-oplossing.”

Geert vervolgt: “Dit was voor Openbaar Onderwijs Groningen de aanleiding om een selectietraject te starten. Daarbij is HelloID geselecteerd en ik heb vervolgens het uitrolproject georganiseerd. Dit verliep in meerdere stappen die we met behulp van Tools4ever consultants  binnen één schooljaar hebben doorlopen. We hebben gaandeweg twee HelloID modules – Provisioning en Service Automation – in gebruik genomen, waarmee we een aantal bestaande, applicaties konden vervangen en uitfaseren. In diezelfde periode zijn er ook drie systemen vervangen die fungeren als bronsysteem voor de IAM-provisioning. Het was dan ook een belangrijk voordeel dat HelloID standaard connectoren bood naar die nieuwe systemen. We gebruiken nu Visma als HR-systeem en de leerlinggegevens van het basis- en speciaal onderwijs ontvangen we vanuit ParnasSys. De provisioning van leerlingen in het voortgezet onderwijs doen we aan de hand van gegevens uit Somtoday. Vooralsnog hebben we Active Directory en Entra ID aangesloten als doelsystemen. Voor zowel de medewerkers als leerlingen verstrekken we zo de accounts en configureren we de toegang tot Microsoft 365 en andere applicaties. Ook beheren we zo groepslidmaatschappen en de toegang tot bijvoorbeeld SharePoint-mappen. De huidige implementatie gaan we de komende tijd evalueren, en gaandeweg kunnen we beoordelen of we nog andere systemen rechtstreeks willen koppelen aan HelloID.”

Automatische én flexibele medewerker provisioning

Het HR-systeem is normaliter leidend bij je user provisioning. Dat geldt hier ook, maar flexibiliteit is wel extra belangrijk voor ons, vertelt Geert: “Voor het Onderwijs Ondersteunend Personeel (OOP) volstaat meestal het standaard proces. Deze mensen stromen op de reguliere manier in, met een contract dat tijdig in het HR-systeem wordt verwerkt. HelloID gebruikt vervolgens die gegevens om aan de hand van business rules automatisch de juiste accounts en rechten te verstrekken. Bij Onderwijzend Personeel gaat het soms een stuk hectischer en loopt dat administratieve proces achter bij ons operationele proces. Dan moet je onverwacht een vervanger inhuren bij ziekte, of we moeten een collega plotseling ook op een andere school inzetten. Zulke wijzigingen gaan meestal direct in en zijn dus niet administratief verwerkt, terwijl de docent natuurlijk wel direct toegangsrechten nodig heeft. Hiervoor gebruiken we de Service Automation module. Hierin hebben we meerdere HR- en Servicedesk-gebruikersschermen ontwikkeld, waarmee we zulke wijzigingen op ieder moment kunnen doorvoeren. Als een wijziging later ook in het HR-systeem is verwerkt, worden via de reguliere provisioning functionaliteit de definitieve instellingen doorgevoerd. We houden dus onze operationele wendbaarheid, maar zorgen wel dat alles achteraf volgens de regels is geborgd. We houden grip vanuit één platform.”

Foutloos beheer van leerling gegevens

Hij maakt de vergelijking met de leerling processen: “Voor leerlingen verlopen de IDU-processen volledig via automatische provisioning. De dynamiek is hier wat minder dan bij de docenten.  Alle wijzigingen voor leerlingen zijn normaliter tijdig verwerkt in de betreffende leerling-informatiesystemen, en kunnen dan via de HelloID provisioning functionaliteit automatisch worden verwerkt. Hierbij hebben we zoals ik vertelde, kunnen overstappen naar HelloID. Dit was voor ons

 belangrijk want met de oude oplossing hadden we inmiddels nogal wat storingen. Bij leerlingen gaat het vaak om bulkwijzigingen en dan wil je niet dat je na een storing hele klassen hebt gemist in je provisioning. Nu hebben we een goed werkende oplossing, die we eenvoudig zelf kunnen aanpassen en configureren, terwijl we bovendien besparen op licentiekosten.”

Docenten tijdig voor de klas, IBP-compliant en een positieve business case

Romana Rock, Senior ICT-beheerder, vertelt enthousiast over de ervaringen: "De samenwerking tijdens de implementatie met de consultant van Tools4ever is zeer prettig verlopen. Met HelloID Provisioning en Service Automation is het beheer van onze M365 accounts sterk verbeterd en veel gebruiksvriendelijker. We werken minder handmatig en daardoor zijn er minder fouten.” Ze heeft ook nog een belangrijke tip: “De bronsystemen moeten wel goed op orde zijn voor een correcte verwerking van de identiteitsgegevens van medewerkers en leerlingen."

Geert vult aan: “De oplossing heeft zichzelf inmiddels bewezen bij de recente scholenstart waarin voor het eerst alle IDU-processen verliepen via HelloID. Het account- en rechtenbeheer is als geheel nu veel volwassener omdat we het hele beheer vanuit één platform regisseren. Bij de HR-afdeling en de Servicedesk waren er vooraf natuurlijk vragen over de flexibiliteit. Inmiddels is de ervaring dat we met de Service Automation-formulieren alle ad-hocwijzigingen probleemloos kunnen doorvoeren, zodat docenten altijd op tijd de benodigde rechten hebben. De businesscase was positief en goed inzichtelijk te maken voor het management. We hebben jaarlijks zo’n 10 procent medewerkermutaties die voorheen veel tijd kostten, inclusief telefonisch overleg en andere checks. Voorheen hadden we in onze onderwijsorganisatie voor het aanmaken, wijzigen en verwijderen van onze circa 18.000 M365-accounts drie andere tools nodig en werd een deel van het werk nog handmatig uitgevoerd. Nu gebruiken we enkel HelloID en daarmee  besparen we direct  op licenties, serverkosten en mensuren. En last but not least, we zijn nu klaar voor de toekomst en voldoen aan de IBP-normen voor het onderwijs.”