Schoolbesturen voldoen nog niet aan gewenste niveau voor informatiebeveiliging
08 april 2024
Informatiebeveiliging nog niet voldoende
Het gemiddelde geconstateerde volwassenheidsniveau van de getoetste schoolbesturen is 1,9 op een schaal van 5, terwijl het gewenste niveau voor de implementatie van informatiebeveiliging 3 is. Er zijn behoorlijke verschillen, want de volwassenheid varieert van 1,5 tot 2,7. Het streven is dat alle schoolbesturen in 2027 niveau 3 hebben gehaald.
In het rapport 'Deep Dive' van SIVON staat de samenvatting van de resultaten van de veertien schoolbesturen en worden de aanbevelingen toegelicht.
Lees ook de ervaring van basisschool de Rank, die heeft meegedaan aan de assessment.
Succesfactoren voor schoolbesturen
In het rapport worden verschillende succesfactoren voor implementatie van informatiebeveiliging gegeven, zoals:
- Zorg voor commitment vanuit het schoolbestuur om informatiebeveiliging naar een hoger niveau te brengen.
- Maak gebruik van handreikingen / standaarden die voor de sector beschikbaar zijn (Aanpak IBP en via het Netwerk IBP).
- Bespreek het normenkader IBP FO intern. Het helpt informatiebeveiliging bespreekbaar te maken bij schoolbesturen en inzicht te krijgen in de kwaliteit van informatiebeveiliging.
- Ondersteunende diensten als IT, Facilitair, HR en Inkoop zijn bovenschools georganiseerd of de IT is volledig uitbesteed aan een IT-partner die ISO27001 gecertificeerd is.
Ondersteuningsaanbod
De Deep Dive assessments zijn onderdeel van het programma Digitaal Veilig Onderwijs. Met dit programma bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.
Vanuit het programma Digitaal Veilig Onderwijs is een divers ondersteuningsaanbod beschikbaar om scholen te helpen om digitaal veiliger te worden, zoals de Dienst Verwerkersovereenkomsten, de toetsen op verwerkersovereenkomsten, Data Protection Impact Assessments (DPIA’s) en het Netwerk Informatiebeveiliging en Privacy (IBP).
De PO-Raad en VO-raad hebben recentelijk de handreiking voor het bestuursverslag geüpdatet, omdat IBP vanaf het jaarverslag over 2024 een plek moet krijgen in het jaarverslag.