Schoolbesturen voldoen nog niet aan gewenste niveau voor informatiebeveiliging

08 april 2024

In 2023 heeft SIVON veertien schoolbesturen binnen het primair en voortgezet onderwijs getoetst op informatiebeveiliging via een ‘Deep Dive’ assessment. De basis van dit assessment was het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Aan de hand van de 69 normen voor informatiebeveiliging uit het normenkader is getoetst in hoeverre de schoolbesturen hieraan voldoen.

Informatiebeveiliging nog niet voldoende 

Het gemiddelde geconstateerde volwassenheidsniveau van de getoetste schoolbesturen is 1,9 op een schaal van 5, terwijl het gewenste niveau voor de implementatie van informatiebeveiliging 3 is. Er zijn behoorlijke verschillen, want de volwassenheid varieert van 1,5 tot 2,7. Het streven is dat alle schoolbesturen in 2027 niveau 3 hebben gehaald. 

In het rapport 'Deep Dive' van SIVON staat de samenvatting van de resultaten van de veertien schoolbesturen en worden de aanbevelingen toegelicht.

Lees ook de ervaring van basisschool de Rank, die heeft meegedaan aan de assessment.

Succesfactoren voor schoolbesturen

In het rapport worden verschillende succesfactoren voor implementatie van informatiebeveiliging gegeven, zoals:

  • Zorg voor commitment vanuit het schoolbestuur om informatiebeveiliging naar een hoger niveau te brengen. 
  • Maak gebruik van handreikingen / standaarden die voor de sector beschikbaar zijn (Aanpak IBP en via het Netwerk IBP).
  • Bespreek het normenkader IBP FO intern. Het helpt informatiebeveiliging bespreekbaar te maken bij schoolbesturen en inzicht te krijgen in de kwaliteit van informatiebeveiliging.
  • Ondersteunende diensten als IT, Facilitair, HR en Inkoop zijn bovenschools georganiseerd of de IT is volledig uitbesteed aan een IT-partner die ISO27001 gecertificeerd is.


Ondersteuningsaanbod

De Deep Dive assessments zijn onderdeel van het programma Digitaal Veilig Onderwijs. Met dit programma bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.

Vanuit het programma Digitaal Veilig Onderwijs is een divers ondersteuningsaanbod beschikbaar om scholen te helpen om digitaal veiliger te worden, zoals de Dienst Verwerkersovereenkomsten, de toetsen op verwerkersovereenkomsten, Data Protection Impact Assessments (DPIA’s) en het Netwerk Informatiebeveiliging en Privacy (IBP).

De PO-Raad en VO-raad hebben recentelijk de handreiking voor het bestuursverslag geüpdatet, omdat IBP vanaf het jaarverslag over 2024 een plek moet krijgen in het jaarverslag.