Home Praktijkvoorbeeld Wat schoolbestuurders kunnen leren van een cyberburgemeester: “Openheid vergroot het risicobewustzijn”

Wat schoolbestuurders kunnen leren van een cyberburgemeester: “Openheid vergroot het risicobewustzijn”

25 september 2024

In mei 2023 werd de gemeente Meierijstad geconfronteerd met (digitale) CEO-fraude, waarbij een bedrag van €37.200 naar criminelen werd overgemaakt. Het incident was een wake-up call voor de gemeente en een bevestiging van de noodzaak van cyberveiligheid. Kees van Rooij, (cyber)Burgemeester van Meierijstad en Regionaal Beleidsadviseur Integrale Veiligheid Ronny van Gerven delen ervaringen, inzichten, en belangrijke lessen die voor schoolbestuurders van onschatbare waarde kunnen zijn.

Het cyberincident: een onvermijdelijke uitdaging 

Burgemeester van Rooij beschrijft hoe de gemeente Meierijstad zich al langere tijd bewust was van de dreiging van cyberincidenten. “Het was voor ons al helder dat het niet de vraag was óf we een keer geconfronteerd zouden worden met een cyberincident, maar wanneer,” legt hij uit. De gemeente werd uiteindelijk in mei 2023 slachtoffer van CEO-fraude, een veelvoorkomend type cybercriminaliteit waarbij criminelen zich voordoen als een hooggeplaatst persoon om geld over te laten maken naar frauduleuze rekeningen. “Op 11 mei werd €37.200 overgemaakt naar criminelen, en op 12 en 15 mei volgden pogingen met hogere bedragen,” vertelt Van Rooij. “Gelukkig vroeg een medewerker van de financiële afdeling de tweede keer om verificatie, waardoor de fraude werd ontdekt en verdere schade werd voorkomen.” 

Openheid is de beste verdediging 

In plaats van het incident stil te houden, besloot Van Rooij om openheid van zaken te geven. “De eerste reactie vanuit de directie en de portefeuillehouder was om er geen grote ophef over te maken, maar ik heb gezegd: ‘Nee, dat moeten we niet doen. We moeten het naar buiten brengen, ook als waarschuwing voor anderen,’” aldus Van Rooij. Deze keuze voor transparantie komt voort uit eerdere lessen die hij leerde als ‘cyberburgemeester’. “Mensen en bedrijven die de dupe worden van cyberincidenten schamen zich vaak, en de eerste menselijke reactie is: hoe kan ik dit klein houden? Maar juist door open te zijn, kun je voorkomen dat het probleem zich verder verspreidt,” legt hij uit. “Dit geldt niet alleen voor bedrijven en gemeenten, maar ook voor scholen. Doe aangifte en praat erover met elkaar.” 

Kees van Rooij is niet alleen burgemeester van Meierijstad, maar maakt ook deel uit van een landelijk netwerk van ‘cyberburgemeesters’ in Nederland. Dit informele collectief bestaat uit burgemeesters uit verschillende regio's en richt zich op het delen van kennis, ervaringen en het versterken van digitale veiligheid binnen gemeenten. Samen werken zij aan het vergroten van bewustzijn en weerbaarheid tegen cyberdreigingen, zowel binnen hun eigen gemeenten als op nationaal niveau. Het netwerk fungeert als een flexibele en effectieve samenwerkingsvorm, waarin burgemeesters gezamenlijk kunnen optreden en snel kunnen inspelen op nieuwe ontwikkelingen in het cyberdomein.  

Van Rooij benadrukt dat openheid niet alleen belangrijk is voor het herstelproces, maar ook voor het welzijn van medewerkers. “Er is niemand die zoveel buikpijn heeft gehad als de betreffende medewerker. Dit soort dingen kunnen gebeuren, en dan moeten we juist achter mensen gaan staan en zeggen: ‘Hoe kunnen we dit in de toekomst voorkomen?’”

Oproep: samenwerking is de sleutel tot weerbaarheid  

Ronny van Gerven, die regionaal aan integrale veiligheid werkt voor 32 gemeenten, ziet dat openheid steeds vaker de norm is, vooral bij gemeenten. “Gemeenten treden sneller naar buiten als ze worden geraakt door een cyberincident. Er is een groeiend besef dat openheid belangrijk is om het risicobewustzijn te vergroten,” zegt hij. 

Scholen moeten nieuwe samenwerkingsverbanden aangaan en niet bang zijn om hulp te vragen aan gemeenten en politie.

Ronny van Gerven Regionaal Beleidsadviseur Integrale Veiligheid

Van Gerven benadrukt ook het belang van samenwerking tussen scholen en gemeenten. “Scholen moeten nieuwe samenwerkingsverbanden aangaan en niet bang zijn om hulp te vragen aan gemeenten en politie. Alleen zo kunnen we onze scholen en leerlingen weerbaarder maken tegen digitale dreigingen,” stelt hij. 

Een concreet voorbeeld van zo’n samenwerking is het HackShield-programma, een interventie gericht op het weerbaar maken van kinderen in de basisschoolleeftijd tegen cyberdreigingen. “HackShield is een game voor leerlingen van groep zeven en acht, die hen leert om zich te verdedigen tegen online gevaren. Via deze jongeren bereiken we ook hun ouders en docenten,” legt Van Gerven uit. 

Daarnaast vertelt hij over "Rebootcamps" die zijn opgezet voor jongeren in het voortgezet onderwijs, MBO en HBO. “Deze Rebootcamps zijn bedoeld voor slimme jongens en meisjes die mogelijk risicogedrag kunnen vertonen in de IT. We willen hen aan de goede kant houden door hen te informeren over de gevolgen van crimineel gedrag, zoals het uitvoeren van een DDoS-aanval. We werken hierbij samen met grote bedrijven zoals IBM, om te laten zien dat hun vaardigheden ook positief kunnen worden ingezet,” aldus Van Gerven. Ook draait er een pilot-project in Oost-Brabant samen met de politie en het onderwijs om handvatten te geven aan scholen om met digitale veiligheid aan de slag te gaan, gekoppeld aan de nieuwe kerndoelen ‘digitale geletterdheid’. 

Praktische adviezen voor schoolbestuurders 

Van Rooij en Van Gerven hebben verschillende adviezen voor schoolbestuurders. Ten eerste vinden zij dat digitale veiligheid een vast onderdeel zou moeten worden van het reguliere onderwijs. Scholen kunnen actief samenwerken met gemeenten en politie om hun leerlingen en personeel te beschermen tegen cyberdreigingen. 

Scholen moeten niet denken dat ze dit soort incidenten binnenskamers kunnen houden.

Kees van Rooij (cyber)Burgemeester van Meierijstad

Van Rooij benadrukt ook dat het belangrijk is om cyberveiligheid bespreekbaar te maken binnen de schoolgemeenschap. “Scholen moeten niet denken dat ze dit soort incidenten binnenskamers kunnen houden. Ouders en leerlingen zullen toch vroeg of laat horen wat er is gebeurd, en dan is het beter om transparant te zijn vanaf het begin,” zegt hij. "Zo voorkom je juist imagoschade." 

Van Gerven vult aan dat schoolbestuurders zich niet moeten laten afschrikken door de ogenschijnlijke complexiteit van digitale veiligheid. “Cyberveiligheid kan voelen als iets dat ver van je bed lijkt. Termen als ransomware, sexting of cyberpesten lijken ingewikkeld, maar in feite is het afpersing of pesten met een digitaal component. Het zijn vaak bekende problemen in een nieuw jasje, die we door openheid en samenwerking beter kunnen aanpakken,” stelt hij. “Nieuwe fenomenen vragen om een nieuwe aanpak en andere samenwerkingspartners dan de gebruikelijke”, aldus Van Gerven. 

Een ander belangrijk advies is om gebruik te maken van bestaande initiatieven en samenwerkingsverbanden. “Zo hebben wij in onze regio ook avonden voor ouderen georganiseerd, waarin zij leren over digitale veiligheid. Dit soort initiatieven kunnen ook voor scholen van waarde zijn, bijvoorbeeld door ouders en docenten samen te brengen om te leren over de gevaren van cybercriminaliteit,” zegt Van Rooij. 

 Belangrijkste lessen uit dit artikel: 

  • Maak digitale veiligheid een vast onderdeel van het onderwijs (dit is ook een onderdeel van de nieuwe kerndoelen ‘digitale geletterdheid’)  
  • Werk samen met gemeenten en politie om cyberdreigingen aan te pakken. 
  • Wees open over incidenten; transparantie helpt om problemen te voorkomen en van fouten te leren. 
  • Gebruik bestaande initiatieven, zoals HackShield of Rebootcamp, om leerlingen en docenten weerbaar te maken. 
  • Schrik niet terug voor de complexiteit van cyberveiligheid; het zijn vaak bekende problemen in een nieuw jasje. 
  • Bespreek digitale veiligheid proactief met ouders en de schoolgemeenschap. 

Normenkader Informatiebeveiliging en Privacy (Normenkader IBP) voor het onderwijs

Schoolbesturen hebben de verantwoordelijkheid om samen met schoolleiders en IBP’ers een digitaal veilige omgeving voor hun leerlingen en medewerkers te realiseren. In 2027 moeten alle schoolorganisaties in het primair en voortgezet onderwijs voldoen aan het Normenkader IBP en zal er vanuit het ministerie van OCW toezicht en handhaving plaatsvinden. 

Het Normenkader Informatiebeveiliging en Privacy helpt scholen om de digitale veiligheid te verhogen en beschrijft aan welke regels, principes en standaarden scholen moeten voldoen voor een digitaal veilige schoolomgeving. Het doel is dat alle leerlingen, ouders en medewerkers erop kunnen rekenen dat zij leren en werken in een digitaal veilige schoolomgeving en dat hun persoonsgegevens worden beschermd. 

Kijk op normenkaderibp.kennisnet.nl

Lees meer op de projectpagina Digitaal Veilig Onderwijs