Uit onderzoek onder 15 schoolorganisaties (gezamenlijk 80.000 leerlingen) in het funderend onderwijs blijkt dat geen enkele organisatie volledig voldoet aan de normen voor digitaal veilig onderwijs. Er staat schoolorganisaties dan ook nog veel te doen om te voldoen aan het Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs. Programma Digitaal Veilig Onderwijs helpt daarbij.  

De nulmeting Normenkader IBP FO is dit voorjaar uitgevoerd door onderzoeksbureau Dialogic. Het onderzoek laat zien hoe schoolorganisaties er nu voor staan en brengt de belangrijkste aandachtspunten in kaart op het gebied van informatiebeveiliging. Ook legt het de obstakels bloot die schoolorganisaties ervaren bij het toepassen van het normenkader. 

Kennis onder een kleine groep medewerkers

Uit het onderzoek blijkt dat er vijf belangrijke aandachtspunten zijn waarvoor besturen maatregelen kunnen nemen: 

• Afhankelijkheid van een kleine groep medewerkers (domein 4 van het Normenkader IBP FO)
• Bewustwording (domein 1 en 4
• Plannen voor crisis- of noodsituaties voor grote incidenten en het testen met het terugzetten van back-ups (domein 14)
• Monitoring en logging (domein 11 en specifiek 11.4)
• Leveranciersmanagement (domein 15)

Uit het onderzoek blijkt onder andere dat informatiebeveiliging afhankelijk is van een kleine groep medewerkers die er binnen een schoolorganisatie verantwoordelijk voor is. Daardoor dringt de noodzaak ervan niet in alle lagen van de organisatie door. Bestuurders en onderwijspersoneel zijn zich lang niet altijd bewust van het belang van informatiebeveiliging en privacy. 

Ook geeft het grootste deel van de organisaties in het onderzoek aan dat er geen crisis- of herstelplannen zijn bij noodsituaties. Bij een groot incident zijn zij niet (goed) voorbereid en weten zij niet of scholen in dat soort situaties de normale werkzaamheden kunnen voortzetten. 

In de praktijk merken organisaties ook dat de beleidsmatige eisen van scholen niet overeenkomen met wat leveranciers leveren. Scholen gaan dan vaak toch akkoord met de overeenkomsten van leveranciers, terwijl het belangrijk is dat zijzelf regie houden op hun inkoop.

Vier typen schoolorganisaties

Voor het bepalen van de ondersteuningsbehoefte van schoolbesturen is een indeling gemaakt in typen besturen. Zo zijn er koplopers die het beleid op orde hebben en voldoende expertise om dit in de praktijk uit te voeren, maar ook denkers die nadenken over beleid rond IBP, bijvoorbeeld na een cybersecurityaanval, maar onvoldoende capaciteit hebben om dit beleid uit te voeren. Dit type organisatie heeft behoefte aan capaciteit, dat kan zijn in de vorm van externe capaciteit inhuren, leren van best practices of vragen stellen aan een informatiepunt. Meer informatie over deze en andere type organisaties kun je vinden in het onderzoek. 

Obstakels: bewustzijn, expertise en capaciteit

Uit de onderzoeksresultaten blijkt dat schoolorganisaties nog niet voldoen aan het gewenste niveau voor informatiebeveiliging. De drie belangrijkste obstakels en uitdagingen waar organisaties tegenaan lopen bij de implementatie van het normenkader zijn: 

• gebrek aan bewustzijn over IBP bij schoolbesturen en onderwijsmedewerkers
• onvoldoende kennis en expertise van IBP binnen de organisatie
• te weinig capaciteit voor informatiebeveiliging

“Het is belangrijk dat schoolbestuurders zich realiseren dat zij eindverantwoordelijk zijn voor digitalisering, en dus ook voor informatiebeveiliging”, zegt Freddy Weima van de PO-Raad. “Onze sector digitaliseert en dat geeft enorme kansen, maar ook forse risico’s. Digitale veiligheid verdient doorlopend aandacht van schoolbesturen. Alleen zo bewaak je de continuïteit van het onderwijs. En je hoeft echt niet meteen aan de doemscenario’s met gijzelsoftware te denken; ook een collega die onbedoeld een datalek creëert, brengt het primaire proces in de problemen.’’

Ondersteuning bij IBP: ga zelf aan de slag

Door bewustzijn, kennis en capaciteit te vergroten, kunnen organisaties aan de slag met het beschermen van de privacy van leerlingen en medewerkers worden beschermd. 

Om organisaties te helpen bij een digitaal veilige schoolorganisatie, biedt het programma Digitaal Veilig Onderwijs handvatten, leidraden en passend ondersteuningsaanbod. 

• Het Normenkader IBP FO is een belangrijk hulpmiddel om jouw organisatie digitaal veilig te maken. Het beschrijft de normen voor een informatieveilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Zo helpt het Normenkader scholen om aan de normen te voldoen. 
• De Dienst Verwerkersovereenkomst van Kennisnet is een beveiligde omgeving voor organisaties waar leveranciers en schoolbesturen verwerkersovereenkomsten met elkaar afsluiten en beheren.
• In het Netwerk IBP worden alle kennis, ervaringen, informatie en documenten op het gebied van IBP gebundeld en gedeeld.

Bekijk het volledige ondersteuningsaanbod via de website van het programma Digitaal Veilig Onderwijs.

Uit het onderzoek komen ook aanbevelingen naar voren voor het bieden van aanvullend ondersteuningsaanbod. Daar gaat het programma Digitaal Veilig Onderwijs mee aan de slag. 

Over het programma Digitaal Veilig Onderwijs

Met het programma Digitaal Veilig Onderwijs bundelen het Ministerie van Onderwijs, Cultuur en Wetenschap, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen en leveranciers heldere leidraden en een concreet ondersteuningsaanbod. Zo kunnen zij voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.