Nieuws

Adviesgroep Regie op ICT bepleit minimumnormen en ontwikkelingsdoelen

‘Rookmelders ophangen vóór de school in brand staat’

Een digitale inbraak waardoor leerlinggegevens op straat komen te liggen, een hack die een school voor een deel lamlegt. Privacy- en beveiligingsincidenten zijn met bewustwording en preventieve maatregelen soms te voorkomen en beperken mogelijke schade. Daarom moeten schoolbesturen snel minimumnormen afspreken voor privacy en informatiebeveiliging, vindt de adviesgroep Regie op ICT. Voor digitaal toetsen en toegang tot digitaal leermateriaal is het beter om met ontwikkelingsdoelen te werken. 

Steeds meer organisaties in Nederland worden getroffen door privacy- en beveiligingsincidenten; ook instellingen in het funderend onderwijs. In februari werd een vo-school getroffen door een ransomeware-aanval, in september gevolgd door een instelling voor speciaal onderwijs. En in maart kwamen aanzienlijke privacyrisico’s in Google Workspace for Education aan het licht, waarna ternauwernood kon worden voorkomen dat scholen het gebruik van dit platform zouden moeten staken. 

Onzichtbaar

Het lastige is dat de risico’s van technologie voor velen niet goed zichtbaar zijn, zegt Tijmen Smit (Gooise Scholen Federatie) tijdens de tweede inhoudelijke bijeenkomst van de Adviesgroep Regie op ICT in Utrecht. “Veel schoolbesturen lopen zonder het te weten grote veiligheidsrisico’s. Hoe krijg je die in beeld, hoe handel je ernaar? Je wilt niet dat er op school brand uitbreekt zonder dat iemand het ziet.” Daar komt bij dat het in het funderend onderwijs om minderjarige leerlingen gaat. Dat zou voor de sector reden moeten zijn om de lat extra hoog te leggen, aldus de Autoriteit Persoonsgegevens (AP) in een brief aan de minister naar aanleiding van de Google-casus. 

Samen regie op ICT
In deze artikelenreeks volgen we de adviesgroep Regie op ICT. Deze groep bestuurders brengt in het voorjaar van 2022 advies uit aan het bestuur en de leden van de PO-Raad en VO-raad over vier vragen: wat zijn de ICT-verantwoordelijkheden van schoolbesturen, waar moeten besturen aan voldoen, hoe kunnen de leden van PO-Raad en VO-raad hierover afspraken maken en welke ondersteuningsbehoefte hebben zij? Het doel is besturen te ondersteunen in hun regierol op het gebied van ICT en als sector zelf het voortouw te nemen bij actuele vraagstukken, bijvoorbeeld rond privacy, informatiebeveiliging, digitaal toetsen en toegang tot digitaal leermateriaal. De adviesgroep wordt ondersteund door de PO-Raad, VO-raad, Kennisnet en SIVON.

Eerdere artikelen:
1.    Adviesgroep Regie op ICT van start
2.    Geen afvinklijstje, maar bewuste keuzes
 

Basis op orde

Vanwege de urgentie zijn de leden van de PO-Raad en de VO-raad tijdens de algemene ledenvergaderingen in november opgeroepen om nú in beweging te komen. De bestuurders in de adviesgroep zijn het daarmee eens. “Laten we niet wachten met het ophangen van rookmelders tot de school in brand staat”, zegt Egbert de Jong (Montessori Vereniging Haarlemmermeer). “Het is belangrijk dat schoolbesturen snel weten wát ze in het kader van beveiliging en privacy moeten doen en hóe ze dat moeten doen. Daarnaast moet er een plan zijn voor als het ergens onverhoopt toch misgaat. Dat is de basis die we nu op orde moeten brengen. Daarna kunnen we in een continu proces verder verbeteren.”


ICT-beveiliging op school, waar begint u? 
Een slecht beveiligde ict-omgeving kan leiden tot vervelende situaties met grote gevolgen voor een school. Lesuitval, toetsen die niet doorgaan, verloren documenten, te laat betaalde facturen of salarissen – het zijn reële risico’s. Met welke maatregelen verkleint u de kans dat het misgaat? In dit artikel staan ze op een rij.
 

Minimumnormen afspreken

Een belangrijke vraag uit de opdracht van de adviesgroep is hiermee beantwoord: ja, het is wenselijk om voor privacy en informatiebeveiliging minimumnormen af te spreken. Dat lijkt ook haalbaar: voor privacy ligt er al een wettelijk kader in de vorm van de AVG en voor informatiebeveiliging komt Kennisnet nog dit schooljaar met een overzicht van bestuurlijke verantwoordelijkheden, die samen met de Adviesgroep Regie op ICT en vertegenwoordigers uit het veld zijn opgesteld. Misschien nog wel belangrijker is dat het funderend onderwijs niet het wiel hoeft uit te vinden. Er zijn sectoren die al eerder met deze problematiek zijn geconfronteerd en van hun aanpak valt te leren.

Leren van gemeenten

Naast het voorbeeld van het mbo en het hbo komt in de bijeenkomst van de adviesgroep het voorbeeld van gemeenten op tafel. Tien jaar geleden zaten gemeenten grofweg in dezelfde positie als scholen nu: een snelle toename van het aantal incidenten, onaanvaardbare risico’s voor de doelgroep (burgers) en lokaal onvoldoende kennis van de materie. Sectororganisatie VNG is toen snel in actie gekomen. Er zijn normen afgesproken waar alle gemeenten volgens het principe ‘pas toe of leg uit’ aan moeten voldoen. Daarbij zijn tools en handreikingen ontwikkeld. Ook is een informatiebeveiligingsdienst opgezet waar gemeenten terecht kunnen voor hulp bij incidenten (24 uur per dag, 7 dagen per week) en voor advies, kennisdeling en ondersteuning.

Ondersteuning

Door deze aanpak hebben gemeenten grote stappen gezet: de focus ligt niet langer op het reageren op privacy- en beveiligingsincidenten, maar op het herkennen en voorkomen ervan. De bestuurders in de adviesgroep Regie op ICT willen voor het funderend onderwijs een vergelijkbare aanpak. De vraag is wie het werk kan doen. Wie ontwikkelt tools en handreikingen voor besturen? Wie roept een ‘informatiebeveiligingsdienst’ voor het funderend onderwijs in het leven? SIVON en Kennisnet liggen voor de hand, want dat zijn de partijen waar scholen op dit moment voor ondersteuning terecht kunnen. 

Stok achter de deur

Al met al stelt de adviesgroep voor om als sector op korte termijn een minimumnorm af te spreken voor privacy en informatiebeveiliging. Zo lang die norm samen met het veld wordt vastgesteld en besturen zelf kunnen kiezen hoe zij aan de norm voldoen, mag de overheid best stevig sturen op het bereiken van de norm, vinden de bestuurders. “Een stok achter de deur helpt ons om het op tijd voor elkaar te krijgen”, zegt Jan Kees Meindersma (De Groeiling). Van Tijmen Smit zou digitale veiligheid een vaste plek mogen krijgen in het inspectiekader. 


Voor deze ICT-aspecten zijn besturen verantwoordelijk:
1)    Informatiebeveiliging en privacy
2)    Digitaal toetsen
3)    Toegang tot digitaal leermateriaal
 

Ontwikkelingsdoelen

Om vaart te maken met privacy en informatiebeveiliging stelt de adviesgroep voor, dit onderwerp los te koppelen van de andere ICT-onderwerpen waarvoor besturen verantwoordelijk zijn (zie kader). Voor digitaal toetsen en toegang tot digitaal leermateriaal moeten besturen volgens de adviesgroep zelf het wat en hoe kunnen bepalen. Minimumnormen (‘iedere leerling een device’, ‘elke school toetst digitaal’) liggen niet voor de hand. Wel gaan keuzes voor het ‘wat’ gepaard met ontwikkelingsdoelen voor het ‘hoe’: áls een school devices gebruikt, moet dat goed geregeld zijn, áls een school digitaal toetsen afneemt, moet de afname vlekkeloos verlopen.

Wensen van de werkvloer

Verder is het van belang dat besturen ook over het gebruik van en de toegang tot digitaal leermateriaal vandaag nog het gesprek aangaan, vindt Frank Tigges (Stichting Klasse). “Het toenemend gebruik van digitaal leermateriaal geeft aan hoe belangrijk ICT is geworden als onderdeel van ons onderwijs. Door meer samen te werken kunnen besturen en scholen gemakkelijker eisen stellen aan de markt en wensen van de werkvloer formuleren over doorontwikkeling van educatieve software. Alleen collectief zijn we een serieuze partij voor leveranciers.”


In de volgende bijeenkomst gaat de adviesgroep Regie op ICT dieper in op de vraag aan welke ondersteuning schoolbesturen en scholen behoefte hebben bij het nemen van ICT-verantwoordelijkheden. 
 

Online les