Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om schoolomgevingen digitaal veilig te maken.
Het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad werken binnen het programma Digitaal Veilig Onderwijs nauw samen om je te ondersteunen bij het op orde brengen van een digitaal veilige schoolomgeving. Het doel is dat jouw organisatie de digitale veiligheid binnen vier jaar (vóór eind 2027) op orde heeft. Wil je weten hoe SIVON jouw schoolbestuur kan helpen? Lees verder.
We weten wat goed is voor jouw schoolbestuur
SIVON begrijpt dat het soms moeilijk kan zijn om te beoordelen of het aanbod van een leverancier daadwerkelijk bijdraagt aan het normenkader en of het aangebodene ook echt een aantal normen uit het normenkader dekt. Twijfel je over het aanbod dat je hebt ontvangen of over een dienst van een leverancier? Leden van SIVON kunnen contact opnemen met SIVON door een mail te sturen naar info@sivon.nl. Wij kijken dan samen met jou naar het aanbod dat je hebt ontvangen of naar de desbetreffende dienst.
Quick Scan
Met de Quick Scan krijg je advies van SIVON over wat de stand van zaken is binnen je bestuur op de vier thema’s uit het 4-in-balans-model van Kennisnet. Ook wordt er gekeken hoe het implementeren van het Normenkader IBP FO bij jouw schoolbestuur is geregeld en welke quick wins daar te halen zijn.
Veilig Internet vangt al je DDoS-aanvallen af
DDoS-aanvallen komen veelvuldig voor op scholen met alle gevolgen van dien. Denk aan lesuitval, cijfers die niet meer beschikbaar zijn of de website die eruit ligt. Met Veilig Internet worden alle DDoS-aanvallen die op scholen afkomen van tevoren afgevangen. Een school merkt niet dat er een DDoS-aanval heeft plaatsgevonden waardoor iedereen binnen de school zich bezig kan houden met waar ze voor staan: het bieden van kwalitatief goed onderwijs.
De leveranciers van het Network as a Service voldoen aan het normenkader
Voor Network as a Service heeft SIVON met meerdere leveranciers een raamovereenkomst afgesloten. Een van de vereisten in het aanbestedingsproces van deze leveranciers was dat ze aan het normenkader voldoen.
In Network as a Service kan SIVON de security baseline van haar producten opschroeven. Scholen kunnen dit (op eigen risico en goed geïnformeerd) terugschroeven. Denk hierbij aan een firewall.
Deze dienst sluit aan op norm 11.11 Network security uit het Normenkader IBP FO.
Wij voeren de DPIA’s voor jou uit
SIVON voert generieke centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. Het voordeel van deze werkwijze is dat leveranciers niet zelf betrokken hoeven te zijn bij de honderden DPIA’s die schoolbesturen uitvoeren, en schoolbesturen niet zelf het juridisch en technisch onderzoek tot in detail hoeven uit te voeren. Doordat schoolbesturen zelf geen DPIA hoeven af te nemen, besparen ze veel tijd.
Met de schoolspecifieke DPIA sluit je aan op de normen 3.2, 3.3, 9.1, 9.3, 9.5 en 15.3.
Toetsen verwerkersovereenkomsten wordt landelijk opgepakt
Elk schoolbestuur is verantwoordelijk om – wanneer zij een overeenkomst aangaat met een leverancier voor een product of dienst waarbij persoonsgegevens worden verwerkt – een verwerkersovereenkomst af te sluiten dan wel te controleren op juistheid en volledigheid. De leverancier moet per schoolbestuur reageren op de eventuele feedback van het schoolbestuur. Om schoolbesturen én leveranciers te ontlasten, pakt SIVON dit landelijk op. De verantwoordelijkheid voor het controleren en het juist afsluiten van een verwerkersovereenkomst blijft wel bij het schoolbestuur liggen.
Het toetsen van verwerkersovereenkomsten sluit aan bij 9.1, 9.3 en 15.3.
GRC-tooling helpt met het vastleggen van compliance aan privacy-eisen
Om scholen te helpen de IBP-documentatie inzichtelijk en actueel te houden, kan gebruik worden gemaakt van software (clouddiensten) van leveranciers. Deze leveranciers helpen je om op een overzichtelijke manier aan de verantwoordingsplicht te voldoen. Dit zijn de zogenaamde Governance, Risk en Compliance tools, ofwel GRC-tooling. We hebben van een groot aantal leveranciers op een rijtje gezet welke dienstverlening zij kunnen bieden.
Deze tooling voldoet aan alle normen. Deze tooling helpt met het vastleggen van compliance aan privacy-eisen.
De Deep Dive draagt bij aan de centrale dienstverlening voor het onderwijs
In het project Deep Dive toetst SIVON op dit moment de huidige IBP-status van vijftien onderwijsinstellingen binnen het primair en voortgezet onderwijs. Aan de hand van deze resultaten, stelt SIVON samen met het schoolbestuur een verbeterplan op. De bevindingen uit het project en de bijbehorende verbeterplannen zorgen ervoor dat we centrale dienstverlening kunnen aanbieden die relevant zijn voor de schoolbesturen.
De Deep Dive sluit aan bij 1.3, 1.5 en 10.1
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.
