5 adviezen van Montessori College voor implementatie Normenkader IBP

Implementatie Normenkader IBP is bestuurderstaak

De reden dat Sjef tijdig is gestart met de implementatie van het Normenkader IBP (Informatiebeveiliging en Privacy) is dat hij bij het lezen van het Bit by Bit document direct inzag dat dit een behoorlijke klus is. Sindsdien waarschuwt hij dan ook al voor het risico dat bestuurders dit niet in de gaten zullen hebben:

“De grootste uitdaging van het Normenkader IBP is echt op beleidsniveau aan de slag gaan. Het is uiteindelijk de verantwoordelijkheid van de bestuurder en daarmee een bestuurderstaak. Die moet zorgen dat het in orde komt en binnen de organisatie erop aanstuurt dit gezamenlijk op te pakken. Vorm een IBP-team, dus niet zomaar bij iemand binnen de school onderbrengen die ermee aan de slag moet. En de tweede grote uitdaging is hoe je het dan goed implementeert in de school en daarmee de veiligheid goed borgt.”

De periode voor en na Maastricht

Het Normenkader IBP is volgens Sjef opgesteld als reactie op het doemscenario dat zich op de Universiteit van Maastricht eind 2019 voltrok. Wekenlang was het netwerk lamgelegd als gevolg van een ransomware-aanval door hackers. Niemand kon meer bij zijn bestanden en het onderwijs lag stil. De continuïteit van het onderwijs was niet meer vanzelfsprekend. Om de kans op herhaling te verkleinen, is het Normenkader IBP ontwikkeld; eerst voor de universiteiten en het hoger onderwijs, nu ook voor het Funderend Onderwijs.

Het Normenkader IBP heeft volgens Sjef nog een andere belangrijke waarde. “Scholen die worden getroffen door bijvoorbeeld een hack-incident weten zich nog helemaal geen raad hoe ze om moeten gaan met zo’n incident. Dan krijg je namelijk het stilvallen van het onderwijs, het informeren van het team, leerlingen en ouders, een vragende pers, de keuze om het geld wel of niet betalen en de zoektocht naar hulp en de oplossing. Daarom moet je een plan hebben liggen voor wat je gaat doen wanneer ze binnen zijn (wat zeker ooit zal gebeuren) en dat processen door kunnen gaan. Het Normenkader IBP zorgt ervoor dat je dat plan hebt.”

Kentering in de hackwereld

Het besef bij scholen dat ze een gewild target voor cybercriminelen zijn, is volgens Sjef heel belangrijk. Hij legt uit dat de belevingswereld altijd is geweest dat cybercriminaliteit meer op banken is gericht, waar geld is te halen. “En bij ons is geen geld te halen. Maar tegenwoordig, wat scholen moeten beseffen, is dat persoonsgegevens geld opleveren, omdat ze die kunnen verkopen. Het vervolg is dat door de verkochte persoonsgegevens individuen geslachtofferd kunnen worden door spam of phishingmail. Daarom zijn scholen zo lucratief, want zij beschikken over de gegevens van vaak duizenden leerlingen, studenten, ouders en medewerkers.”

Normenkader IBP is als Bedrijfshulpverlening

Het Normenkader IBP is het op grote schaal inrichten van een ‘veilige’ ICT-infrastructuur. De kern is volgens Sjef “het opstellen en registreren van het beleid, implementeren in de onderwijs- en organisatieprocessen, scholing van doelgroepen en bewustwording van alle betrokkenen. Men mag ook absoluut niet vergeten dat dit een continu proces is dat het niet eindigt.” Zo vergelijkt hij het met Bedrijfshulpverlening (BHV).

Sjef legt uit dat je als school ook verplicht bent om een BHV-organisatie in te richten. “Je wordt als organisatie verplicht dat je veiligheid inbouwt. Dat is een continu proces van veiligheid beschrijven, plannen, trainen en evalueren, en herhalen. Wat je wanneer moet doen moet beschreven staan, bij iedereen bekend zijn en je moet het oefenen.”

Volgens Sjef heeft het Normenkader IBP dit enigszins ook in zich. “Het is een beleid opzetten, een organisatie opzetten en uitvoeren. ICT ontwikkelt zich alleen nog veel sneller, dus dan moet je wel jaarlijks of tweejaarlijks kijken of je plan klopt. En test het plan!”

Vijf adviezen voor implementatie van het Normenkader

Vooralsnog is de implementatie geen verplichting, want het is nog geen wet zoals de AVG. Maar 1 januari 2027 moet deze wel klaar zijn. Het ministerie van OCW is al bezig om het juridisch te gaan toetsen. Hoewel je het nog vooruit kunt schuiven, weet je dat het gaat komen. Daarom geeft Sjef vijf adviezen aan onderwijsinstellingen.

1. Ga nu beginnen aan de implementatie

Hoewel scholen ICT-kennis hebben opgebouwd en beschikken over de technische ondersteuning om hiermee aan de slag te gaan, is dit geen kwestie van ICT-kennis alleen. “Het gaat erom dat je ermee aan de slag gaat. Maak niet dezelfde fout als bij het AVG. Toen deze verplicht werd gesteld, moest je het ook voor een bepaalde datum rond hebben. Maar als je een week van tevoren begint, ben je te laat.” Daarom: “Ga nu beginnen, want 3 jaar lijkt veel, maar is zo om als je elke keer iets moet doen.

2. Gebruik de templates en wat je al hebt

Het overzicht voor implementatie staat al beschreven op Digitaal Veilig Onderwijs, want Kennisnet en SIVON hebben op hun website al veel informatie verzameld. Dit voorbeeldmateriaal dient als een soort template dat je volgens Sjef gewoon kunt herschrijven of aanvullen naar jouw schoolsituatie.

Daarbij kun je ook gebruik maken van alles wat je al hebt: “Sommige zaken heb je al eerder omschreven, zoals bijvoorbeeld informatiebeleid, wachtwoordbeleid en andere technische zaken. Gebruik dit dan ook, want dan ben je eerder klaar. En overleg/deel met andere scholen. Iedereen zit in hetzelfde schuitje namelijk.”

3. Maak de impact van cybercriminaliteit zichtbaar

Sjef pleit ervoor dat je je schoolleiding en bestuur informeert over het Normenkader IBP en de impact dat het heeft. Laat vanuit de praktijk in de school zien waar de impact ligt. “Bijvoorbeeld door middel van een pentest aantonen dat er een gat in je veiligheid zit. Daarmee maak je het bestuur alert.”

Ook docenten moeten volgens Sjef mee: “In het kader van het Normenkader IBP moeten zij – en leerlingen - zich bewust worden van de risico’s van digitaal werken. Zij moeten bijvoorbeeld weten dat een hack kan ontstaan doordat je op een linkje klikt in een phishingmail. Door hen hierover te informeren en tegen te wapenen (met bijvoorbeeld een training ‘Zo herken je een phishingmail’) verklein je de kans dat er een lek ontstaat. Het zijn vaak kleine handelingen die grote impact kunnen hebben.

4. Verander je mindset

Dat de ICT-wereld sneller verandert dan de onderwijsomgeving is een gegeven waar onderwijsinstellingen op in hebben te spelen. Zeker nu met ontwikkelingen rondom cloud en AI vormt dit een continu proces. “Die raken ook altijd de school en de veiligheid op locatie. Dit soort ontwikkelingen moet je niet zien als een gevaar, maar een kans om je door te ontwikkelen. Onderzoek wat het kan betekenen voor je school en speel hierop in.”

Ook het mobielverbod in de klas is een voorbeeld van hoe zoekende we zijn naar hoe om te gaan met nieuwe technologie. De smartphone uit de klas halen heeft namelijk weer impact op het gebruik van MFA en daarmee de veiligheid. Sjef benadrukt daarom “dat je in discussie moet blijven over ontwikkelingen.” Zo ziet hij dat met het Normenkader IBP ook. Dat blijft in ontwikkeling aan de hand van de vernieuwingen op ICT-gebied. “Dat is geen gevaar, want je weet hoe het is.”

5. Omarm verandering

In plaats van door alle ontwikkelingen steeds te denken dat je continu achter de feiten aanloopt opteert Sjef voor een meer optimistische benadering: “Wat zijn die feiten? En als je ermee aan de slag gaat, welke impact heeft dit? Discussieer dan met de teams, met de directie, met de leerlingen in de school welke impact het heeft. Wat betekent het voor onze organisatie en het onderwijs? Dan kun je altijd een standpunt innemen.”

Hij pleit tot slot voor het omarmen van verandering, de enige constante in het onderwijs en de wereld. Want techniek blijft zich door ontwikkelen. “Er komt altijd wel iets op je af. Kijk maar naar ChatGPT. Twee jaar geleden waren alle universiteiten hotel de botel over hoe hiermee om te gaan. Ga je je hiertegen bewapenen of het omarmen? Dat is een keuze die je hebt te maken voor goed onderwijs. En veiligheid is een voorwaarde. Hierbij kan het Normenkader IBP je helpen.”