Doorgaan naar hoofdinhoud
  • Praktijkvoorbeeld
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo

“Met het Normenkader IBP zouden we dit type hack niet hebben gehad”

Met scholen voor speciaal onderwijs, gespecialiseerde zorg en audiologische centra voor onderzoek en advies, focust Koninklijke Auris Groep (Auris) voor 85 procent op onderwijs en voor 15 procent op zorg. Door dit laatste voldoet Auris al aan de, veelal strengere, it-wetgeving in de zorg. “Sinds de lancering van het Normenkader IBP kijken we wat we al hadden afgedicht en wat we nog moeten doen.”

Logo Kennisnet

Door de redactie

09 januari 2025
6 minuten lezen

Tijs van der Wielen is lid van de raad van bestuur van Auris en heeft it in zijn portefeuille. “Voordat ik bij Auris begon, was ik werkzaam in het ziekenhuiswezen, waar digitale veiligheid al jaren hoog op de agenda staat. Die gerichtheid op kwaliteit en veiligheid heb ik meegenomen, waardoor daar met mijn komst bestuurlijk veel meer aandacht voor is gekomen. Onze visie op digitaal veilig onderwijs is ook niet anders dan die op digitaal veilige zorg. Bij beide heb je te maken met privacygevoelige data, met cultuur en met gedrag; het is belangrijk aandacht te hebben voor al die aspecten.”

Werken met een 3-jarige roadmap

Sinds het aantreden van Van der Wielen in september 2017 werkt Auris dan ook met een 3-jarige roadmap gericht op hardware, software en gedrag, die elk jaar wordt vernieuwd. “Onze chief information security officer (CISO) en functionaris gegevensbescherming (FG) stellen de roadmap op. In 2018 was hij bijna helemaal rood en oranje; er was in die tijd nog nauwelijks aandacht voor cybersecurity. Nu, zes jaar later, is hij nagenoeg groen. Daar is heel veel investeren en hard werken mee gemoeid geweest. En we hebben harde keuzes gemaakt. Zo is het hele it-leveranciersnetwerk – computers, applicaties, leerlingvolgsysteem, identiteitssysteem enzovoort – in zeven jaar tijd volledig vernieuwd. Nu staat er een modern it-landschap, waarin we de volgende stap kunnen zetten op informatiebeveiliging.”

Tijs van der Wielen, lid Raad van Bestuur bij Koninklijke Auris Groep

Focus op digitaal veilig onderwijs

Ook voor de lancering van het Normenkader IBP lag bij Auris de focus dus op digitaal veilig onderwijs. Van der Wielen: “Europese en nationale richtlijnen als de NEN 7510 en NIS2 richt je niet enkel in voor het zorgdeel, maar voor de hele organisatie. En ook cultuur en gedrag pak je organisatiebreed aan. Veel punten uit het Normenkader IBP hadden we dan ook al, zoals een bewustwordingscampagne, technische uitwerkingen, roadmaps, een CISO en FG, periodieke pentesten, meerjarenplanningen op de bestuursplanning. Sinds de lancering van het Normenkader IBP kijken we daarom wat we al hadden afgedicht, hoe ver we zijn op de niveaus van de normen en wat we nog moeten doen.” Want twee jaar geleden vond ondanks alle digitale veiligheid een hack plaats bij Auris. Van der Wielen: “Hoewel je als organisatie nooit 100 procent beschermd bent tegen hacks, zou dat type hack niet zijn gebeurd als het Normenkader IBP al was ingevoerd.”

In onderstaande video vertelt Van der Wielen over de hack bij Auris.

Van decentraal naar centraal beleggen van it

Het Normenkader IBP is bij Auris op centraal niveau belegd. “Van redelijk decentraal zijn we naar centraal gegaan,” vertelt Van der Wielen. “Daarvoor hebben we veel geïnvesteerd op nieuwe it-functies en zo nieuwe kennis binnengehaald. Ook werken we nu met vier regio’s met elk een it-coördinator, die de verbinding legt in de lijn, tussen de regio’s, scholen en centraal, en vice versa. Meerdere IBP-contactpersonen zijn vervolgens de liaison tussen de lijn en de staf. Voor een leerkracht met vragen is het heel eenvoudig om op zo’n contactpersoon af te stappen.” Ook heeft Auris centraal een aantal richtlijnen ingevoerd voor wat betreft de hard- en software die mogen worden gebruikt. “We zijn een post-fusieorganisatie, dus voorheen was elke configuratie verschillend. Maar top of de bill beveiliging is onmogelijk als de ene school Google gebruikt en de andere Microsoft. Nu is het overal Microsoft, tenzij….”

Niet meer zelf bepalen met welk pakket je werkt

Dat een dergelijke harde keuze zijn weerslag heeft op de medewerkers in de verschillende scholen, daarvan is Van der Wielen zich bewust. “Dat je niet meer zomaar zelf mag bepalen met welke pakketten je werkt, maakt wel wat los. Dan moet je als it’er echt je rug rechthouden. Dat is ook het verschil tussen zorg en onderwijs: in de zorg was iedereen dat al gewend, maar de scholen konden dergelijke zaken altijd zelf bepalen. Dus die moeten nog even wennen aan het feit dat ze dat niet meer zelf kunnen; dergelijke keuzes als individuele school zelf maken, is in de huidige tijd niet houdbaar.”

Door de medewerkers de incidentmeldingen te laten zien en ze daarbij te betrekken, ontstaat er bewustwording.

– Tijs van der Wielen

Bewustwording neemt toe

Daarnaast krijgen nieuwe medewerkers van Auris in de onboarding e-learnings over informatiebeveiliging en privacy. En ook zijn de incidentmeldingen nu in de teams openbaar. Een interessante ontwikkeling daarbij is dat die in aantal juist toenemen. Van der Wielen: “Door de medewerkers de incidentmeldingen te laten zien en ze daarbij te betrekken, ontstaat er bewustwording. Dat het er elk jaar meer worden, betekent dus dat het bewustzijn van medewerkers over digitale veiligheid is toegenomen.”

Aan de voorkant betrekken

Dat blijkt ook uit het type meldingen dat medewerkers doen. “Waar onze CISO en FG voorheen aan de achterkant voor verrassingen kwamen te staan, worden ze nu veelal aan de voorkant betrokken. Daarbij zijn de incidenten minder ingewikkeld en krijgen ze steeds meer vragen van de verschillende afdelingen. Dat komt ook doordat die afdelingen binnen de staf nauwer zijn gaan samenwerken op het gebied van kwaliteit en veiligheid. Hierdoor is het veel meer vanzelfsprekend dat ze elkaar informeren en aan de voorkant betrekken.” En hoewel ook uit een externe audit blijkt dat dit de afgelopen jaren flink is verbeterd, voegt Van der Wielen toe: “Wel mag dit nog steeds beter.”

Belastbaarheid van je organisatie

Scholen die met het Normenkader IBP aan de slag gaan of al zijn gegaan, wil Van der Wielen vanuit zijn ervaring graag een aantal zaken meegeven. “Begin bij het begin. Maak hiervoor mensen vrij, maar besef ook dat niet alles in een keer kan en dat je dagelijkse processen moeten blijven doorlopen. Begin in ieder geval met een audit op het Normenkader IBP, met als centrale vraag: wat vragen ze van ons, en zet dat uit in een meerjarenperspectief. Dat gaat over de euro’s, maar ook over de belastbaarheid van je organisatie, over het adaptief vermogen. Betrek daarvoor de lijn in de keuzes – bij ons bijvoorbeeld de regio’s, scholen – of regel het centraal en leg uit waarom het nu nodig is. En soms moet je dan doorduwen; dat elastiek moet op rek blijven. Dat is niet fijn, maar anders kom je nergens. Maar het mag nooit knappen.”

Verder lezen

Dit praktijkvoorbeeld is onderdeel van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

De onderwerpen waarover wij publiceren

Artificial intelligence Beleid en organisatie Digitale geletterdheid Ethiek Informatiebeveiliging en privacy Informatiemanagement Leermiddelen Professionalisering leraar Technologische innovatie