Het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (Normenkader IBP FO) wordt in meerdere fasen ingevoerd: vanaf 2027 moeten schoolbesturen een nulmeting uit laten voeren of een zelfevaluatie doen en een plan ontwikkelen om uiterlijk in 2030 tenminste volwassenheidsniveau 3 te bereiken.
Het doel van het Normenkader IBP FO: de digitale veiligheid van scholen verhogen en persoonlijke gegevens van leerlingen, ouders en medewerkers beter beschermen. De deels door het onderwijs opgestelde normen bieden heldere voorbeeldmaatregelen om de digitale veiligheid te verhogen. Lees hier alles dat je moet weten over het Normenkader IBP, van inhoud tot achtergrond, doel en tijdspad.
Wat is het Normenkader IBP?
Het Normenkader IBP is onderdeel van het programma Digitaal Veilig Onderwijs. Binnen dit programma werken het ministerie van onderwijs, cultuur en wetenschap, Kennisnet, SIVON, de PO-Raad en de VO-raad samen om digitaal veilig werken in het onderwijs te bevorderen. Het normenkader is grofweg onder te verdelen in drie onderdelen waarvan de weerbaarheid op orde moet zijn: techniek, organisatie en menselijk handelen. Het IBP bestaat om precies te zijn uit 69 normen voor informatiebeveiliging en 25 normen voor privacy. Het Normenkader IBP is dankzij de concrete richtlijnen en normen een handige leidraad om de digitale veiligheid te verbeteren.
Waarom het IBP?
Onderwijsorganisaties zijn steeds kwetsbaarder voor cybercriminaliteit. Het aantal aanvallen in het basis- en voortgezet onderwijs is de laatste jaren toegenomen. Meer scholen werden dan ook slachtoffer van cybercriminaliteit zoals phishing, malware, dDos-aanvallen en ransomware. inloggegevens werden buitgemaakt en het onderwijs werd verstoord. Aan de andere kant is duidelijk dat veel scholen hun cyberweerbaarheid niet op niveau hebben en zelfs al worstelen met de basismaatregelen. Met de concrete normen van het IBP kan een school op alle digitale risico’s sturen.
Nog een reden om met de IBP aan de slag te gaan: je laat als schoolbestuur zien dat je de veiligheid van leerlingen serieus neemt. Persoonsgegevens van medewerkers, leerlingen en andere betrokkenen worden dankzij het IBP beschermd volgens de strenge normen van de AVG.
Wat de onderwijssector zo kwetsbaar maakt voor cyberincidenten
Scholen denken geen doelwit te zijn
In de sector overheerst ten onrechte nog de gedachte dat scholen geen interessant doelwit zijn.
Sterke afhankelijkheid ICT
Scholen zijn sterk afhankelijk van ICT en die afhankelijkheid neemt alleen maar toe. De consequenties van een cyberincident zijn daardoor aanzienlijk. Denk aan verstoring van communicatie, systemen en lessen.
Veel gevoelige gegevens
Scholen werken met veel persoonlijke gegevens zoals medische data, adresgegevens, beelden en leerlingvolgsystemen. Bovendien zijn dit gegevens van een kwestbare doelgroep: minderjarigen. Gegevens die absoluut niet in verkeerde handen mogen vallen.
Afhankelijkheid externe leveranciers
Het onderwijs is afhankelijk van externe leveranciers, waar zij beperkte controle over hebben. Zodra er bij een leverancier sprake is van een incident, kan dat een directe impact hebben op de continuïteit van het onderwijs.
Beperkte kennis en capaciteit
Bij scholen is de capaciteit en kennis beperkt wat betreft cyberveiligheid. Terwijl bovenstaande factoren júist vragen om adequate veiligheidsmaatregelen.
Tijdspad Normenkader IBP
Het voldoen aan het normenkader kun je als school gefaseerd aanpakken. Houd daarbij rekening met de deadlines vanuit de overheid. In 2027 en in 2030 dienen schoolbesturen bepaalde doelen te hebben bereikt:
- Vanaf 2027: GAP-analyse moet zijn uitgevoerd en een plan van aanpak moet zijn opgesteld.
- Uiterlijk 2030: scholen moeten aan de normen voldoen volgens volwassenheidsniveau 3.
Meer over compliance en de juiste maatregelen lees je in onze volgende blog over dit onderwerp: Normenkader IBP compliance: tips voor scholen. In deze blog gaan we onder andere in op wat het volwassenheidsniveau inhoudt en op wat je als schoolbestuur of CISO kunt doen om compliant te zijn.
