Nulmeting Normenkader IBP: waar staat het funderend onderwijs met informatiebeveiliging?

11 september 2023

Waar staan schoolbesturen in het funderend onderwijs op het gebied van informatiebeveiliging? Zijn zij goed voorbereid op een mogelijke cyberaanval? Of moet er nog een tandje bij? In een onderzoek onder 15 schoolbesturen (met samen 80.000 leerlingen) is gekeken waar zij staan ten opzichte van het 'Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs' (Normenkader IBP FO). Uit de resultaten blijkt dat – ondanks de verschillen tussen de besturen – nog geen enkel schoolbestuur volledig voldoet aan de normen voor digitaal veilig onderwijs. Daarom is het belangrijk dat besturen aan de slag gaan om een digitaal weerbare en veilige schoolorganisatie te worden. Om hierbij te ondersteunen biedt het programma Digitaal Veilig Onderwijs handvatten en leidraden.

De nulmeting Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs laat zien hoe schoolbesturen er nu voor staan en brengt de belangrijkste aandachtspunten in kaart op het gebied van informatiebeveiliging. Ook legt het de obstakels bloot die schoolbesturen ervaren bij het toepassen van het normenkader. 


Resultaten nulmeting Normenkader IBP FO 

Er was veel animo bij de 15 besturen om mee te doen aan het onderzoek. Schoolbesturen willen graag weten waar ze staan en dit ook zelf kunnen meten en benchmarken. Veel schoolbesturen zijn op de goede weg met informatiebeveiliging, maar er moet ook nog veel gebeuren om aan alle normen te voldoen.

Uit het onderzoek blijkt dat er vijf belangrijke aandachtspunten zijn waarvoor besturen maatregelen kunnen nemen (nulmeting Normenkader IBP FO, p. 35):

  • Afhankelijkheid van een kleine groep medewerkers (domein 4 van het Normenkader IBP FO)
  • Bewustwording (domein 1 en 4)
  • Plannen voor crisis- of noodsituaties voor grote incidenten en het testen met het terugzetten van back-ups (domein 14)
  • Monitoring en logging (domein 11 en specifiek 11.4)
  • Leveranciersmanagement (domein 15)
     

Uit het onderzoek blijkt onder andere dat informatiebeveiliging afhankelijk is van een kleine groep medewerkers die er binnen een schoolbestuur verantwoordelijk voor is. Daardoor dringt de noodzaak ervan niet in alle lagen van de organisatie door. Bestuurders en onderwijspersoneel zijn zich lang niet altijd bewust van het belang van informatiebeveiliging en privacy. 

Ook geeft het grootste deel van de besturen in het onderzoek aan dat er geen crisis- of herstelplannen zijn bij noodsituaties. Bij een groot incident zijn zij niet (goed) voorbereid en weten zij niet of scholen in dat soort situaties de normale werkzaamheden kunnen voortzetten. 

In de praktijk merken besturen ook dat de beleidsmatige eisen van scholen niet overeenkomen met wat leveranciers leveren. Scholen gaan dan vaak toch akkoord met de overeenkomsten van leveranciers, terwijl het belangrijk is dat zijzelf regie houden op hun inkoop.

Vier typen schoolbesturen

Voor het bepalen van de ondersteuningsbehoefte van schoolbesturen is een indeling gemaakt in typen besturen. Uit het onderzoek komen vier typen naar voren en wat hen kan helpen:

  1. Koplopers (beleid en praktijk): Deze besturen hebben het beleid op orde en voldoende expertise om dit in de praktijk uit te voeren. Dit type bestuur voldoet nog niet aan alle normen van het Normenkader IBP FO, maar heeft wel de middelen in huis om de normen te behalen. 
  2. Uitvoerders (praktijk zonder beleid): Deze besturen hebben voldoende IBP-experts in huis, maar onvoldoende draagkracht binnen de organisatie voor de uitvoering van het IBP-beleid. Dit type bestuur heeft behoefte aan ondersteuning bij het vergroten van de bewustwording bij medewerkers en onderwijspersoneel, zodat de verantwoordelijkheid voor IBP door de hele organisatie gevoeld wordt, in plaats van door een kleine groep mensen.  
  3. Denkers (beleid zonder praktijk): Deze besturen denken na over beleid rond IBP, bijvoorbeeld na een cybersecurityaanval, maar hebben onvoldoende capaciteit om dit beleid uit te voeren. Dit type bestuur heeft behoefte aan capaciteit, dat kan zijn in de vorm van externe capaciteit inhuren, leren van best practices of vragen stellen aan een informatiepunt.
  4. Achterblijvers (geen beleid en geen praktijk): Bij deze besturen ontbreken beleid en uitvoering. Zij vrezen dat aandacht voor IBP ten koste gaat van aandacht voor het reguliere onderwijs. Dit type bestuur heeft baat bij bewustwording van het belang van IBP, want ook voor hen is het belangrijk dat informatiebeveiliging op orde is. Daarnaast helpt het bieden van kennis en expertise, zodat zij aan de slag kunnen.
     

De onderzoekers hebben voor het bepalen van de ondersteuningsbehoefte van schoolbesturen een indeling gemaakt in vier typen besturen. Deze indeling kan niet gemaakt worden op basis van de omvang of sector van een schoolbestuur, omdat schoolbesturen met dezelfde omvang of uit dezelfde sector van elkaar kunnen verschillen op het gebied van informatiebeveiliging. Deze indeling helpt het programma Digitaal Veilig Onderwijs bij het ontwikkelen van het juiste ondersteuningsaanbod voor besturen.

 

Obstakels

Uit de onderzoeksresultaten blijkt dat schoolbesturen nog niet voldoen aan het gewenste niveau voor informatiebeveiliging. De drie belangrijkste obstakels en uitdagingen waar schoolbesturen tegenaan lopen bij de implementatie van het normenkader zijn: 

  • gebrek aan bewustzijn over IBP bij schoolbesturen en onderwijspersoneel;
  • onvoldoende kennis en expertise van IBP binnen het bestuur;
  • te weinig capaciteit voor informatiebeveiliging.
     

Het onderzoek laat dan ook duidelijk de urgentie zien aan schoolbesturen om dit onderwerp serieus te nemen en om de basis op orde te brengen. “Schoolbestuurders zijn eindverantwoordelijk voor digitalisering, en dus ook voor informatiebeveiliging. Het is belangrijk dat zij zich dat realiseren”, zegt Ingrid de Bonth van de VO-raad. “Onze sector digitaliseert en dat geeft enorme kansen, maar ook forse risico’s. Digitale veiligheid verdient doorlopend aandacht van schoolbesturen. Alleen zo bewaak je de continuïteit van het onderwijs. En je hoeft echt niet meteen aan de doemscenario’s met ransomware te denken; ook een handige leerling die een schoolsysteem hackt en daarmee een toetsweek ontregelt, brengt het primaire proces in de problemen. Herkenbare situaties, waarmee we als sector goed willen leren omgaan. Vanuit het programma Digitaal Veilig Onderwijs worden schoolbesturen daarbij ondersteund met een normenkader, handreikingen, het toetsen van leveranciers en in de komende tijd met nieuwe voorzieningen als een CERT.’’

Ondersteuning bij IBP: ga zelf aan de slag

Door bewustzijn, kennis en capaciteit te vergroten, kunnen schoolbesturen stap voor stap aan de slag met informatiebeveiliging en kan de privacy van leerlingen en medewerkers worden beschermd. Om besturen te helpen bij een digitaal veilige schoolorganisatie, biedt het programma Digitaal Veilig Onderwijs handvatten, leidraden en passend ondersteuningsaanbod. 

  • Het Normenkader IBP FO is een belangrijk hulpmiddel om uw schoolbestuur digitaal veilig te maken. Het beschrijft de normen voor een informatieveilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Zo helpt het Normenkader scholen om aan de normen te voldoen. 
  • De Dienst Verwerkersovereenkomst van Kennisnet is een beveiligde omgeving voor schoolbesturen waar leveranciers en schoolbesturen verwerkersovereenkomsten met elkaar afsluiten en beheren.
  • In het Netwerk IBP worden alle kennis, ervaringen, informatie en documenten op het gebied van IBP gebundeld en gedeeld.

Uit het onderzoek komen ook aanbevelingen naar voren voor het bieden van aanvullend ondersteuningsaanbod. Daar gaat het programma Digitaal Veilig Onderwijs mee aan de slag. Op die manier bundelen we gezamenlijk onze krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. 
 

Over het onderzoek
De nulmeting Normenkader IBP FO is tussen maart en april 2023 uitgevoerd door onafhankelijk onderzoeksbureau Dialogic in opdracht van het programma Digitaal Veilig Onderwijs. Met een landelijke steekproef is een representatieve groep van 15 schoolbesturen (met samen in totaal 80.000 leerlingen) geselecteerd uit het primair en voortgezet onderwijs, van verschillende groottes en verspreid over het land. De schoolbesturen hebben een uitgebreide vragenlijst ingevuld en zijn geïnterviewd. 

 

Over het programma Digitaal Veilig Onderwijs
Om digitaal veilig onderwijs te kunnen bieden, zijn doordachte gegevensverwerking én goede gegevensbeveiliging van groot belang. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen en leveranciers heldere leidraden en een concreet ondersteuningsaanbod. Zo kunnen zij voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.