Neem contact op of bel

058 20 300 23

Normenkader Informatiebeveiliging en Privacy voor het onderwijs (IBP): dit moet je weten

Het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (Normenkader IBP FO) wordt in meerdere fasen ingevoerd: vanaf 2027 moeten schoolbesturen een nulmeting uit laten voeren of een zelfevaluatie doen en een plan ontwikkelen om uiterlijk in 2030 tenminste volwassenheidsniveau 3 te bereiken.

Het doel van het Normenkader IBP FO: de digitale veiligheid van scholen verhogen en persoonlijke gegevens van leerlingen, ouders en medewerkers beter beschermen. De deels door het onderwijs opgestelde normen bieden heldere voorbeeldmaatregelen om de digitale veiligheid te verhogen. Lees hier alles dat je moet weten over het Normenkader IBP, van inhoud tot achtergrond, doel en tijdspad.

Wat is het Normenkader IBP?

Het Normenkader IBP is onderdeel van het programma Digitaal Veilig Onderwijs. Binnen dit programma werken het ministerie van onderwijs, cultuur en wetenschap, Kennisnet, SIVON, de PO-Raad en de VO-raad samen om digitaal veilig werken in het onderwijs te bevorderen. Het normenkader is grofweg onder te verdelen in drie onderdelen waarvan de weerbaarheid op orde moet zijn: techniek, organisatie en menselijk handelen. Het IBP bestaat om precies te zijn uit 69 normen voor informatiebeveiliging en 25 normen voor privacy. Het Normenkader IBP is dankzij de concrete richtlijnen en normen een handige leidraad om de digitale veiligheid te verbeteren.

Waarom het IBP?

Onderwijsorganisaties zijn steeds kwetsbaarder voor cybercriminaliteit. Het aantal aanvallen in het basis- en voortgezet onderwijs is de laatste jaren toegenomen. Meer scholen werden dan ook slachtoffer van cybercriminaliteit zoals phishing, malware, dDos-aanvallen en ransomware. inloggegevens werden buitgemaakt en het onderwijs werd verstoord. Aan de andere kant is duidelijk dat veel scholen hun cyberweerbaarheid niet op niveau hebben en zelfs al worstelen met de basismaatregelen. Met de concrete normen van het IBP kan een school op alle digitale risico’s sturen.
Nog een reden om met de IBP aan de slag te gaan: je laat als schoolbestuur zien dat je de veiligheid van leerlingen serieus neemt. Persoonsgegevens van medewerkers, leerlingen en andere betrokkenen worden dankzij het IBP beschermd volgens de strenge normen van de AVG.

Wat de onderwijssector zo kwetsbaar maakt voor cyberincidenten

Scholen denken geen doelwit te zijn

In de sector overheerst ten onrechte nog de gedachte dat scholen geen interessant doelwit zijn.

Grote afhankelijkheid ict

Scholen zijn sterk afhankelijk van ICT en die afhankelijkheid neemt alleen maar toe. De consequenties van een cyberincident zijn daardoor aanzienlijk. Denk aan verstoring van communicatie, systemen en lessen.

Veel gevoelige gegevens

Scholen werken met veel persoonlijke gegevens zoals medische data, adresgegevens, beelden en leerlingvolgsystemen. Bovendien zijn dit gegevens van een kwestbare doelgroep: minderjarigen. Gegevens die absoluut niet in verkeerde handen mogen vallen.

Afhankelijkheid externe leveranciers

Het onderwijs is afhankelijk van externe leveranciers, waar zij beperkte controle over hebben. Zodra er bij een leverancier sprake is van een incident, kan dat een directe impact hebben op de continuïteit van het onderwijs.

Beperkte kennis en capaciteit

Bij scholen is de capaciteit en kennis beperkt wat betreft cyberveiligheid. Terwijl bovenstaande factoren júist vragen om adequate veiligheidsmaatregelen.

Deadlines voor schoolbesturen vanuit het Normenkader IBP: 2027 en 2030

Scholen hebben vanaf 2025 vijf jaar de tijd gekregen om aan de bijna 100 normen te voldoen op ten minste volwassenheidsniveau 3. Dit is drie jaar langer dan de initiatiefnemer, het ministerie van Onderwijs, Cultuur en Wetenschap, voor ogen had. Van de staatssecretaris hebben schoolbesturen extra tijd gekregen omdat zij “nog veel te doen hebben en nog niet op alle normen voldoen aan het streefniveau”.
Er zijn twee momenten of deadlines waarop schoolbesturen bepaalde doelen moeten hebben bereikt:

  • Vanaf 2027: Scholen dienen te weten waar ze staan en hebben een evaluatie uitgevoerd om dit inzichtelijk te maken. Daarnaast moet er een concreet plan van aanpak zijn opgesteld om tenminste volwassenheidsniveau 3 te bereiken voor de gestelde deadline.
  • 2030: Scholen dienen daadwerkelijk aan de normen te voldoen op ten minste volwassenheidsniveau 3.

Meer over compliance en de juiste maatregelen lees je in het stuk hieronder. In deze blog gaan we onder andere in op wat het volwassenheidsniveau inhoudt en op wat je als schoolbestuur of CISO kunt doen om compliant te zijn.

Stapsgewijs naar IBP compliance: de 5 volwassenheidsniveaus

Ook al geeft het Normenkader IBP concrete handvatten voor het afdekken van cyberrisico’s, als schoolbestuur zul je zelf stapsgewijs passende maatregelen moeten vormgeven. Binnen het Normenkader IBP worden er vijf volwassenheidsniveaus gehanteerd. Op het laagste niveau (1, Ad hoc) ontbreekt een gestructureerde aanpak en zijn de maatregelen vooral reactief. Op het hoogste niveau (5, Continu verbeteren) is de aanpak op het gebied van informatiebeveiliging en privacy proactief, verloopt gestructureerd en aandacht voor de onderwerpen maken deel uit van de strategie. In 2030 worden scholen geacht ten minste volwassenheidsniveau 3 bereikt te hebben.

Normenkader IBP compliance: tips voor scholen

Als schoolbestuur of CISO zul je ongetwijfeld één prangende vraag hebben: hoe gaan we voldoen aan de gestelde eisen? Wat kun je als bestuur(der) of CISO doen om IBP-compliance te bereiken? Hieronder gaan we daarop in.

1. Pak het zo snel mogelijk op

Als het goed is, heb je als school al de nodige maatregelen op het gebied van informatiebeveiliging en privacy genomen die bijdragen aan het voldoen aan de IBP-normen. De IBP-normen die op privacy slaan, herken je bijvoorbeeld gelijk van de AVG. Bekijk waar in het geval van jouw organisatie de quick wins liggen; welke maatregelen zorgen makkelijk voor een verbeterde digitale weerbaarheid? Verkijk je niet op de eis om aan het normenkader te voldoen op volwassenheidsniveau 3. Maak een realistisch tijdspad en werk in fases toe naar concrete tussendoelen.

2. Organisatiebrede aanpak

IBP compliance bereik je als schoolbestuur door het een onderdeel van de bedrijfsvoering te maken. IBP en cyberrisico’s zouden letterlijk een agendapunt moeten zijn voor het bestuur, en dus niet volledig op het bordje moeten liggen bij de ICT-dienstverlener. Zet niet enkel in op maatregelen om het gewenste niveau te behalen, maar zorg ervoor dat de borging ervan ook een duidelijke positie krijgt.

3. Vastleggen van rollen en verantwoordelijkheden

Leg eigenaarschap vast. Voor elke norm van het normenkader zou duidelijk moeten zijn wie verantwoordelijkheid draagt voor de uitvoering, wie de eindverantwoordelijkheid draagt en wie er zorg draagt voor de controle.

Hulp nodig bij het voldoen aan het IBP en het cyberweerbaar maken van jouw onderwijsorganisatie? Integripro is implementatiepartner als het gaat om het normenkader. We helpen scholen daarbij ook om dit te borgen in hun organisatie, zodat ze 𝗖𝗼𝗻𝘁𝗶𝗻𝘂. 𝗖𝘆𝗯𝗲𝗿𝘄𝗲𝗲𝗿𝗯𝗮𝗮𝗿. blijven.

Kom gerust met ons in contact: 058 20 300 23

Meer informatie of interesse?

Heeft u interesse in cyber security training of heeft u vragen? Neem dan contact met ons op en dan vinden wij samen met u een oplossing op maat.

Maak vrijblijvend kennis
of    Vraag meer informatie aan

Contact.

Wij zijn gevestigd in Leeuwarden in het bedrijfsverzamelgebouw van Mica (Media innovatie campus).

Op de hoogte blijven van de belangrijkste cyberontwikkelingen en een inkijkje krijgen in onze aanpak?

Meld je hier aan voor onze Cyberflits