De digitale veiligheid in het primair en voortgezet onderwijs moet naar een hoger niveau. Het ministerie van OCW investeert hierin structureel zes miljoen euro. Er komt onder andere een normenkader zodat voor alle scholen duidelijk is waar ze op het gebied van privacy en informatiebeveiliging aan moeten voldoen. Ook wordt er geïnvesteerd in bewustwording, professionalisering en centrale ondersteuning. Deze investering en maatregelen zijn in lijn met het advies van onze adviesgroep Regie op ICT.

Schoolbesturen hebben een grote verantwoordelijkheid om de digitale veiligheid van medewerkers en leerlingen te waarborgen. Onze adviesgroep Regie op ICT constateerde eerder al dat het voor schoolorganisaties nu nog niet altijd duidelijk is wat er nodig is om aan deze verantwoordelijkheid te voldoen. 

“Het is goed dat het ministerie van OCW werk maakt van een normenkader en investeert in centrale ondersteuning die nodig is om hieraan te kunnen voldoen. We willen en moeten hier als sector samen in optrekken. Maar er is ook aanvullende financiering nodig voor scholen om aan deze eisen en verantwoordelijkheden te voldoen, daar gaan we ons hard voor maken.” Freddy Weima, voorzitter PO-Raad

Centrale aanpak met drie prioriteiten 

In de aanpak van digitale veiligheid kiest de overheid voor meer centrale regie waarbij gestuurd gaat worden op normen. Tegelijkertijd komt er ondersteuning voor schoolbesturen om aan deze normen te voldoen. De Minister benoemt in zijn kamerbrief drie prioriteiten:

Een normenkader voor scholen
Doordat er voor het PO en VO op dit moment geen normenkader is weten scholen niet altijd wat ze moeten doen om hun systemen te beveiligen. Dat zorgt voor verschillen tussen scholen en dat is niet wenselijk. De noodzaak van een normenkader werd eerder al door de Adviesgroep Regie op ICT onderschreven. Ook benoemde de adviesgroep het belang van toezicht en handhaving. De Minister werkt toe naar een verplichting van dit normenkader met extra toezicht en externe audits hierop. 

Bewustwording en professionalisering
Het is de verantwoordelijkheid van schoolbesturen om de informatiebeveiliging en privacy op hun scholen op orde te hebben. Daarbij speelt niet alleen de kennis en het gedrag van de schoolbestuurder een rol, maar ook dat van de schoolleider, ICT-verantwoordelijke en de leraar. Omdat digitale veiligheid de hele school aangaat wordt de professionalisering van personeel binnen scholen ondersteund, onder andere met een centraal scholingsaanbod en cybercrisisoefeningen. Vanaf schooljaar 2023-2024 wordt het voor schoolbesturen verplicht om in hun jaarverslag aandacht te besteden aan informatiebeveiliging en privacy (IBP). 

Ondersteuning op orde
Voor de ondersteuning die nodig is wordt kennis en inspiratie opgedaan bij andere sectoren. Voor de eerder aangekondigde meldplicht bij cyberincidenten komt een Computer Emergendy Response Team (CERT): een ‘digitale brandweer’ waar je terecht kan bij een incident. Ook wordt er geïnvesteerd in een veilige digitale infrastructuur. Na eerdere succesvolle DPIA’s (Data Protection Impact Assessments) op onder andere producten en diensten van Microsoft, Google en Zoom, wordt de samenwerking tussen SIVON, SURF en scholen op dit gebied verder uitgebreid.

Uitwerking volgt 

De Minister benadrukt in zijn brief dat de aangekondigde maatregelen verdere uitwerking nodig hebben. Wij blijven hierover in gesprek met onze leden en het Ministerie en nemen daarbij de adviezen van de Adviesgroep Regie op ICT en de afspraken uit onze ALV als uitgangspunt.