Doorgaan naar hoofdinhoud
  • Opinie
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo

Bij digitale veiligheid in de school bepaalt de zwakste schakel de kracht van de keten

Cybercriminaliteit in de onderwijssector is de afgelopen jaren flink toegenomen. De aanwezigheid van grote hoeveelheden gevoelige gegevens maakt onderwijsinstellingen voor cybercriminelen een aantrekkelijk doelwit. Denk alleen al aan persoonsgegevens van scholieren en medewerkers. Maar ook aan zaken als burgerservicenummers, gegevens over salarissen, schoolprestaties en gebeurtenissen in de privésfeer. Onderwijsinstellingen zijn sterk afhankelijk van digitale technologie. Als systemen door een cyberaanval niet beschikbaar zijn, is goed onderwijs geven praktisch onmogelijk. De telefooncentrale valt uit, digitale communicatie tussen docent en leerling vervalt, smartboards werken niet meer en de administratie ligt plat. Kortom, crisis alom… Hoe keren we het tij?

Door Larissa Zegveld

27 juni 2023
5 minuten lezen

Met het programma Digitaal Veilig Onderwijs ondersteunen we samen met het ministerie van OCW, SIVON, de PO-Raad en VO-raad schoolbesturen bij het op orde brengen van de digitaal veilige schoolomgeving. Een belangrijk hulpmiddel hierbij is het normenkader IBP. Dat biedt een groeipad om de doelen in een realistisch tempo te behalen.  

Verschillende volwassenheidsscenario’s

In de onderwijssector zien we onder scholen verschillende volwassenheidsscenario’s. Er zijn schoolbesturen die nog niet zo ver zijn en schoolbesturen die al een eind op weg zijn met veilig werken. Dat is ook niet zo gek, want een deel van het normenkader IBP komt voort uit de AVG, die we al een tijdje kennen. Het normenkader op zich is ook niet heel nieuw. Maar het mooie ervan is dat alles nu gebundeld, als een soort kapstok, bij elkaar staat. Een kapstok waarvan we hebben gezegd: dit is het niveau waar we als sector naartoe moeten. 

Bestuurlijke verantwoordelijkheid

Wanneer moeten we dit niveau bereiken? Het flauwe antwoord is gisteren, want een deel van deze normen bestaat al even. Ik krijg soms ook nog de vraag: wat gebeurt er als je hier nu niet mee aan de slag gaat? Dan is het eerlijke antwoord: in eerste instantie niet zo veel. Je krijgt geen boete en je school wordt ook niet gesloten. 

Maar… stel dat je wordt gehackt. Dan kun je wel de vraag verwachten wat je heeft doen besluiten om er nu, in déze tijd, niets mee te doen. En die vraag wordt niet aan de ict-verantwoordelijke of IBP’er gesteld, maar aan de bestuurder als eindverantwoordelijke. 

Nog los van alle vervelende gevolgen voor het geven van onderwijs en voor de leerlingen zelf, komt een school na een dergelijk cyberincident met een beetje pech negatief in de media. En dat is schadelijk voor de hele onderwijssector, want de zwakste schakel bepaalt de kracht van de keten. Elkaar collegiaal aanspreken op bestuurlijke verantwoordelijkheid zie ik dan ook als één van de mechanismen om samen te zorgen dat elke instelling het afgesproken niveau van het normenkader haalt. 

Schade van een incident beperken

Overigens is het helaas niet zo dat als je alle stappen uit het normenkader IBP volgt, dit automatisch leidt naar digitaal veilig onderwijs, en dat incidenten nooit meer voorkomen. Maar door nu deze stappen te zetten, kan de schade die een incident met zich meebrengt beheersbaar en binnen de perken blijven. 

Voor dit normenkader hebben we met elkaar, op basis van alle geleerde lessen, minimale vereisten bepaald. Veel schoolbesturen geven aan dat ze het prettig vinden dat ze nu weten waaraan ze moeten voldoen. Het geeft ook inzicht in waar zij nu staan en met welke stappen zij eenvoudig kunnen beginnen. 

Natuurlijk horen we dat het veel werk is, maar het hoeft ook niet allemaal op een dag. Schoolbesturen hebben 4 jaar de tijd, tot eind 2027. En omdat het veel werk is, zorgen wij dat er zoveel mogelijk ondersteuningsaanbod is waardoor de werklast voor schoolbesturen wat lichter wordt. We doen het samen, als sector. 

Eerst de basis op orde

Met het normenkader brengen we de basis op orde. Zijn we er dan? Nee, want het volgende vraagstuk gloort alweer enige tijd aan de horizon, expliciet duidelijk geworden in de coronatijd. ‘Tot waar strekt de verantwoordelijkheid van een schoolbestuur als je het hebt over veilig onderwijs en veilig werken met ict en devices door leerlingen en studenten?’ Een device wordt in veel gevallen ook meegenomen naar huis. Om huiswerk te maken en in sommige gevallen om les op afstand te volgen. Op dat moment maken leerlingen en studenten gebruik van andere netwerken. Of, zoals we in coronatijd hebben gezien, is bij een aantal leerlingen helemaal geen internet thuis. Het liefst willen we natuurlijk dat iedereen gebruikmaakt van veilig internet en veilige wifi. Dus het vraagstuk waar we ook over moeten nadenken, is tot hoever de verantwoordelijkheid van een school hierin gaat. 

Veel verder dan nu het geval is – in het schoolgebouw – kan denk ik niet. Maar onderwijs wordt ook buiten het schoolgebouw genoten. Dus direct na die basis op orde krijgen, moeten we het gesprek voeren over het volgende vraagstuk. En hoe verder het één, hoe urgenter het ander wordt. 

Als de basis op orde is, dan is al een groot deel van de schakels van de keten zodanig ingericht dat we van daaruit verder kunnen versterken. En zo kunnen we stap voor stap, bit by bit, het tij keren!

Over de auteur Larissa Zegveld

Larissa Zegveld is directeur-bestuurder van Kennisnet

Meer opinie

Data en onderzoek zorgen voor een scherpe blik

  • Opinie
  • |
  • Beleid en organisatie
  • |
  • po
  • vo

Weten waar je het over hebt. Handelen op basis van onderzochte resultaten, anders gezegd: ‘evidence-based’ of ‘evidence-geïnformeerd’. Sla ons Jaarplan uit 2023 erop na en je leest deze term vaak terug. Wat Larissa Zegveld betreft kunnen we in het onderwijs veel meer uit onderzoek en data halen dan we nu doen.

Door Larissa Zegveld

Wanneer krijgt digitaal onderwijs de veiligheid die het verdient?

  • Opinie
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo
  • mbo

4 van de 10 scholen in het voortgezet onderwijs en middelbaar beroepsonderwijs kregen in 2020 te maken kregen met een serieus ict-beveiligingsincident. Hoogste tijd voor actie en een serieus plan, stelt Larissa Zegveld.

De onderwerpen waarover wij publiceren