Praktijkvoorbeeld Carmel: digitale veiligheid vereist nauwe samenwerking tussen Raad van Toezicht en Bestuur
10 december 2024
Digitale veiligheid: net zo belangrijk als fysieke veiligheid
Binnen het onderwijs is de urgentie voor informatiebeveiliging en privacy groot. Oscar van Leeuwen, die naast RvT-lid bij Carmel ook hoogleraar is aan de Vrije Universiteit en partner bij een adviesbureau, heeft de impact van cyberaanvallen van dichtbij meegemaakt. Hij vertelt: "Bij de Universiteit Maastricht werd enkele jaren geleden ingebroken in de systemen, waardoor het primaire proces volledig werd lamgelegd. Examens konden niet meer worden afgenomen en online colleges waren niet meer toegankelijk. Dit incident heeft mij persoonlijk erg bewust gemaakt van hoe kwetsbaar onze digitale infrastructuur kan zijn."
Jan Kees Meindersma, die sinds oktober 2023 deel uitmaakt van het College van Bestuur bij Carmel, benadrukt dat dit geen geïsoleerd geval is: "In het onderwijs is informatiebeveiliging en privacy helaas een steeds belangrijker onderwerp geworden. De dreiging is reëel en de gevolgen kunnen enorm zijn. We zien het ook terug in het voortgezet onderwijs, waar collega-besturen te maken hebben gehad met ransomware-aanvallen. Denk aan de hacks bij OSG Hengelo en Auris. Het heeft ons gedwongen om flink te investeren in extra beveiliging."
Onze leerlingen vertrouwen ons gevoelige gegevens toe, en het is onze taak om ervoor te zorgen dat deze informatie niet op straat belandt
Meindersma: "Als bestuurders hebben we de verantwoordelijkheid om een veilige leeromgeving te bieden. Dit betekent niet alleen dat onze gebouwen veilig moeten zijn, maar ook dat de digitale omgeving waarin onze leerlingen leren en werken veilig moet zijn. Onze leerlingen vertrouwen ons gevoelige gegevens toe, en het is onze taak om ervoor te zorgen dat deze informatie niet op straat belandt."
Het belang van interne bewustwording
Een van de belangrijkste pijlers van een goede digitale beveiligingsstrategie is het verhogen van de bewustwording binnen de organisatie. Hoewel Carmel al enkele jaren aandacht besteedt aan het bewustmaken van medewerkers, erkent Meindersma dat dit proces nog niet altijd even gestructureerd is verlopen: "We hebben recent een bewuste inhaalslag gemaakt om ervoor te zorgen dat echt alle medewerkers zich bewust zijn van de risico's die zij zelf kunnen veroorzaken. Dit schooljaar zijn we begonnen met grootschalige campagnes om bewustzijn te creëren, niet alleen onder de IT-medewerkers, maar onder alle medewerkers."
Hij vervolgt: "Digitale veiligheid blijft uiteindelijk ook mensenwerk. We kunnen de technische maatregelen nog zo goed regelen, maar als mensen niet weten hoe ze veilig moeten handelen of wat ze moeten doen bij een datalek, lopen we nog steeds grote risico’s."
Van Leeuwen onderstreept dit punt en benadrukt dat bewustwording een continu proces moet zijn: "Het is belangrijk dat iedereen zich realiseert dat veiligheid niet alleen iets is wat IT oplost, maar dat het ook gaat om gedrag. Het is een gezamenlijke verantwoordelijkheid."
Het is belangrijk dat iedereen zich realiseert dat veiligheid niet alleen iets is wat IT oplost, maar dat het ook gaat om gedrag. Het is een gezamenlijke verantwoordelijkheid.
De rol van de Raad van Toezicht: kritisch en ondersteunend
De Raad van Toezicht speelt een cruciale rol in het waarborgen van de digitale veiligheid binnen Carmel. Volgens Van Leeuwen is het de taak van de auditcommissie om continu te monitoren of de organisatie voldoende in control is: "Onze auditcommissie bestaat uit leden van de RvT, bestuurders van Carmel, enkele schooldirecteuren en een IT’er. Dit brede perspectief zorgt ervoor dat we IT-onderwerpen vanuit verschillende hoeken kunnen bekijken en dat we een goed beeld krijgen van de daadwerkelijke impact van beslissingen."
Hij legt uit dat digitale veiligheid niet alleen op papier goed geregeld moet zijn, maar ook in de praktijk: "We hebben een meerjarige agenda waarin IT een vast onderdeel is. Minimaal twee keer per jaar komt dit onderwerp op de agenda, maar vaak vaker, afhankelijk van wat er speelt. We moeten blijven evalueren en bijsturen waar nodig, want digitale dreigingen blijven zich ontwikkelen."
Meindersma waardeert de kritische maar ondersteunende rol van de RvT: "Als bestuurder ben je verantwoordelijk voor de uitvoering, maar het is waardevol als de RvT je helpt om de juiste vragen te stellen. Bijvoorbeeld: waarom nemen we drie jaar de tijd om een bepaald niveau van digitale veiligheid te bereiken? Welke risico's lopen we als we die tijd nemen? Die kritische vragen zorgen ervoor dat we scherp blijven en de juiste keuzes maken."
Kritisch op leveranciers en externe partners
Een duidelijk voorbeeld van de nauwe samenwerking tussen de RvT en het Bestuur binnen Carmel is de omgang met leveranciers en externe partners. Meindersma vertelt: "Recentelijk zijn gegevens van onze leerlingen op het dark web terechtgekomen als gevolg van de hack bij Iddink, een leverancier waar we al heel lang geen klant meer van zijn. Dit was een wake-up call. Het heeft ons doen inzien dat we niet alleen goede contracten moeten afsluiten, maar ook actief moeten monitoren of leveranciers zich aan die afspraken houden."
Van Leeuwen vult aan: "De auditcommissie bemoeit zich niet met welke specifieke leveranciers worden gekozen, maar we kunnen wel de vraag stellen of we voldoende grip hebben op onze leveranciers. We vertrouwen erop dat het Bestuur hier goede keuzes in maakt, maar blijven wel kritisch volgen of de afspraken ook daadwerkelijk worden nagekomen."
Een gezamenlijke verantwoordelijkheid
Zowel Meindersma als Van Leeuwen benadrukken dat digitale veiligheid een gezamenlijke verantwoordelijkheid is, die niet alleen rust op de schouders van het Bestuur of de IT-afdeling. "Het is belangrijk dat er binnen de hele organisatie een gedeeld besef is van het belang van digitale veiligheid," zegt Meindersma. "We moeten ervoor zorgen dat dit onderwerp niet alleen op de agenda staat, maar dat er ook echt naar wordt gehandeld."
Van Leeuwen voegt hieraan toe dat de samenwerking tussen het Bestuur en de RvT essentieel is om de juiste balans te vinden tussen veiligheid en werkbaarheid: "Je kunt alles dichttimmeren en de kans op inbreken minimaliseren, maar als systemen niet meer werkbaar zijn, schiet je je doel voorbij. Het gaat erom de juiste balans te vinden tussen risico's en het bieden van een praktische, werkbare omgeving."
Blijven investeren in veiligheid
Het interview met Jan Kees Meindersma en Oscar van Leeuwen maakt duidelijk dat digitale veiligheid geen geïsoleerd onderwerp is, maar verweven is met de algehele strategie van een onderwijsinstelling. Carmelcollege heeft laten zien hoe belangrijk het is om dit onderwerp serieus te nemen en om hierin te investeren, zowel in tijd als in middelen. De samenwerking tussen de RvT en het Bestuur is daarbij cruciaal.
"Uiteindelijk is het onze gezamenlijke verantwoordelijkheid om ervoor te zorgen dat we onze leerlingen en medewerkers een veilige omgeving bieden," concludeert Meindersma. "En dat vraagt om voortdurende aandacht en een nauwe samenwerking tussen alle betrokken partijen. We zijn er nog niet, maar we zijn goed op weg. En dat is de enige manier om ervoor te zorgen dat we klaar zijn voor de digitale uitdagingen van de toekomst."