Waar staan schoolbesturen in het funderend onderwijs op het gebied van informatiebeveiliging? Zijn zij goed voorbereid op een mogelijke cyberaanval? Of moet er nog een tandje bij? In een onafhankelijk en representatief onderzoek onder 15 schoolbesturen (met samen 80.000 leerlingen) is gekeken waar zij staan ten opzichte van het Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs. Uit de resultaten blijkt dat – ondanks de verschillen tussen de besturen – nog geen enkel schoolbestuur volledig voldoet aan de normen en de verantwoordelijkheid voor digitaal veilig onderwijs. Besturen moeten daarom aan de slag om een digitaal weerbare en veilige schoolorganisatie te worden. Om hierbij te ondersteunen biedt het programma Digitaal Veilig Onderwijs handvatten en leidraden.
De nulmeting Normenkader IBP FO laat zien hoe schoolbesturen er nu voor staan en brengt de belangrijkste aandachtspunten in kaart op het gebied van informatiebeveiliging. Ook legt het de obstakels bloot die schoolbesturen ervaren bij het toepassen van het normenkader.
Resultaten nulmeting Normenkader IBP FO
Er was veel animo bij de 15 besturen om mee te doen aan het onderzoek. Schoolbesturen willen graag weten waar ze staan en dit ook zelf kunnen meten en benchmarken. Veel schoolbesturen zijn op de goede weg met informatiebeveiliging, maar er moet ook nog veel gebeuren om aan alle normen te voldoen.
Uit het onderzoek blijkt onder andere dat informatiebeveiliging afhankelijk is van een kleine groep mensen die er binnen een schoolbestuur verantwoordelijk voor is. Daardoor dringt de noodzaak ervan niet in alle lagen van de organisatie door. Bestuurders en onderwijspersoneel zijn zich lang niet altijd bewust van het belang van informatiebeveiliging en privacy.
Ook geeft het grootste deel van de besturen in het onderzoek aan dat er geen crisis- of herstelplannen zijn bij noodsituaties. Bij een groot incident zijn zij niet (goed) voorbereid en weten zij niet of scholen in dat soort situaties de normale werkzaamheden kunnen voortzetten. Vaak ontbreekt ook specifiek beleid voor toegangsbeveiliging in systemen en is er geen monitoring op toegangsrechten en gebruikers. Daardoor kunnen besturen niet proactief risico’s ontdekken en preventief incidenten voorkomen.
In de praktijk merken besturen ook dat de beleidsmatige eisen van scholen niet overeenkomen met wat leveranciers leveren. Scholen gaan dan vaak toch akkoord met de overeenkomsten van leveranciers, terwijl het belangrijk is dat zijzelf regie houden op hun inkoop.
Vier typen schoolbesturen
Voor het bepalen van de ondersteuningsbehoefte van schoolbesturen is een indeling gemaakt in type bestuur. Uit het onderzoek komen vier typen besturen naar voren en wat hen kan helpen:
- Koplopers (beleid en praktijk): Deze besturen hebben het beleid op orde en voldoende expertise om dit in de praktijk uit te voeren. Dit type bestuur voldoet nog niet aan alle normen van het Normenkader IBP FO, maar heeft wel de middelen in huis om de normen te behalen.
- Uitvoerders (praktijk zonder beleid): Deze besturen hebben voldoende IBP-experts in huis, maar onvoldoende draagkracht binnen de organisatie voor de uitvoering van het IBP-beleid. Dit type bestuur heeft behoefte aan ondersteuning bij het vergroten van de bewustwording bij medewerkers en onderwijspersoneel, zodat de verantwoordelijkheid voor IBP door de hele organisatie gevoeld wordt, in plaats van door een kleine groep mensen.
- Denkers (beleid zonder praktijk): Deze besturen denken na over beleid rond IBP, bijvoorbeeld na een cybersecurityaanval, maar hebben onvoldoende capaciteit om dit beleid uit te voeren. Dit type bestuur heeft behoefte aan externe expertise die zij kunnen inzetten en raadplegen, bijvoorbeeld in de vorm van best practices of een informatiepunt waar zij vragen aan kunnen stellen.
- Achterblijvers (geen beleid en geen praktijk): Bij deze besturen ontbreken beleid en uitvoering. Zij vrezen dat aandacht voor IBP ten koste gaat van aandacht voor het reguliere onderwijs. Dit type bestuur heeft baat bij bewustwording van het belang van IBP, want ook voor hen is het belangrijk dat informatiebeveiliging op orde is. Daarnaast helpt het bieden van kennis en expertise, zodat zij aan de slag kunnen.
De onderzoekers hebben voor het bepalen van de ondersteuningsbehoefte van schoolbesturen een indeling gemaakt in vier typen besturen. Deze indeling kan niet gemaakt worden op basis van de omvang of sector van een schoolbestuur, omdat schoolbesturen met dezelfde omvang of uit dezelfde sector van elkaar kunnen verschillen op het gebied van informatiebeveiliging. Deze indeling helpt het programma Digitaal Veilig Onderwijs bij het ontwikkelen van het juiste ondersteuningsaanbod voor besturen.
Obstakels: bewustzijn, expertise en capaciteit
Het onderzoek benadrukt drie obstakels en uitdagingen waar schoolbesturen tegenaan lopen bij het toepassen van de normen uit het normenkader:
- gebrek aan bewustzijn over IBP bij schoolbesturen en onderwijspersoneel
- onvoldoende kennis en expertise van IBP binnen het bestuur
- te weinig capaciteit voor informatiebeveiliging
Het laat dan ook duidelijk de urgentie zien aan schoolbesturen om dit onderwerp serieus te nemen en om de basis op orde te brengen.
Ondersteuning bij IBP: ga zelf aan de slag
Door bewustzijn, kennis en capaciteit te vergroten, kunnen schoolbesturen stap voor stap aan de slag met informatiebeveiliging en kan de privacy van leerlingen en medewerkers worden beschermd.
Om besturen te helpen bij een digitaal veilige schoolorganisatie, biedt het programma Digitaal Veilig Onderwijs handvatten, leidraden en passend ondersteuningsaanbod.
- Het Normenkader IBP FO is een belangrijk hulpmiddel om uw schoolbestuur digitaal veilig te maken. Het beschrijft de normen voor een informatieveilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Zo helpt het Normenkader scholen om aan de normen te voldoen.
- De Dienst Verwerkersovereenkomst van Kennisnet is een beveiligde omgeving voor schoolbesturen waar leveranciers en schoolbesturen verwerkersovereenkomsten met elkaar afsluiten en beheren.
- In het Netwerk IBP worden alle kennis, ervaringen, informatie en documenten op het gebied van IBP gebundeld en gedeeld.
Bekijk het volledige ondersteuningsaanbod via de website www.digitaalveiligonderwijs.nl.
Uit het onderzoek komen ook aanbevelingen naar voren voor het bieden van aanvullend ondersteuningsaanbod. Daar gaat het programma Digitaal Veilig Onderwijs mee aan de slag. Op die manier bundelen we gezamenlijk onze krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken.
Over het onderzoek
De nulmeting Normenkader IBP FO is tussen maart en april 2023 uitgevoerd door onafhankelijk onderzoeksbureau Dialogic in opdracht van het programma Digitaal Veilig Onderwijs. Met een landelijke steekproef is een representatieve groep van 15 schoolbesturen (met samen in totaal 80.000 leerlingen) geselecteerd uit het primair en voortgezet onderwijs, van verschillende groottes en verspreid over het land. De schoolbesturen hebben een uitgebreide vragenlijst ingevuld en zijn geïnterviewd.
Over het programma Digitaal Veilig Onderwijs
Om digitaal veilig onderwijs te kunnen bieden, zijn doordachte gegevensverwerking én goede gegevensbeveiliging van groot belang. Met het programma Digitaal Veilig Onderwijs bundelen het Ministerie van Onderwijs, Cultuur en Wetenschap, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen en leveranciers heldere leidraden en een concreet ondersteuningsaanbod. Zo kunnen zij voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.
Ga naar digitaalveiligonderwijs.nl.