Ga vandaag nog aan de slag met het normenkader voor veilig digitaal onderwijs
In 2027 moeten scholen voldoen aan stap 3 van het normenkader IB(P). Een set regels die de overheid aan scholen voorschrijft als toetsingskader om ervoor te zorgen dat de informatiebeveiliging en uiteindelijk de privacy voor de sector onderwijs straks goed geregeld wordt. Rob Tesselaar, eigenaar van Check Security & Check Privacy, deed vroeg mee aan de bekendmaking van het normenkader en is betrokken bij het privacygedeelte ervan, wat in januari een update krijgt. Omdat Rob zich ook zal ontfermen over de implementatie van het normenkader voor diverse scholen of stichtingen, laten we hem aan het woord over waarom het normenkader meer is dan een checklist.
Normenkader IB wordt later pas normenkader IBP
Rob zegt er allereerst grote moeite mee te hebben dat men het overal al heeft over normenkader IBP, waar IB staat voor Informatiebeveiliging, en P voor Privacy. Zo benadrukt hij: “Het is op dit moment nog ‘normenkader IB’, want ‘P’ is nu nog niet af, laat staan officieel gepubliceerd. Straks wordt het ‘IBP’. Dit heeft er alles mee te maken dat de normen komen uit het MBO en het HBO, vanuit SURF. Men was hier simpelweg nog niet klaar mee op het moment dat het normenkader IB wel af was.”
Hij vervolgt: “Er zijn tientallen normen op dit moment die voor het MBO, HBO en WO al gelden en die waarschijnlijk ook van toepassing gaan zijn voor het funderend onderwijs. Als denktank hebben wij al onze feedback hierop gegeven en bij Kennisnet neergelegd. Die zijn er nu mee bezig om ervoor te zorgen dat alles ook op een correcte wijze vertaald wordt naar de juiste communicatie. Het zal denk ik eind januari zijn eer dat dat klaar is. En dan ligt er nog een uitdaging, want waar het normenkader IB vier niveaus heeft, krijgt het normenkader P er waarschijnlijk vijf. Dit heeft dus extra zorg nodig om alles bij elkaar aan te laten sluiten.”
Een traject naar informatiebeveiliging & privacy
Rob is blij dat het normenkader IBP er komt, maar is kritisch op de wijze waarop Kennisnet het normenkader loslaat op onderwijsinstellingen. Een aanpak als ‘Dit is het, ga er maar mee aan de slag, succes’, is in zijn ogen niet duidelijk gecommuniceerd of verantwoord gepresenteerd. Het schaadt volgens Rob de implementatie in z’n geheel, “omdat het geen oog heeft voor de actuele staat van een school.”
Om ervoor te zorgen dat scholen begrijpen wat er staat en wat er moet gebeuren, pleit Rob ervoor om het normenkader als een traject te zien, waarbij scholen stappen moeten zetten om deze goed te doorlopen:
“Allereerst moet je weten waar je staat. Hiervoor doen we een scan (lees: nulmeting) om te kijken wat je wel en niet in huis hebt ten aanzien van alle hoofdstukken uit het normenkader. Vervolgens maken we op basis hiervan een blauwdruk die we verdelen over de jaren tot aan 2027.
Het is vrij abstract, want eigenlijk is die nulmeting pas het vertrekpunt, aangezien dan pas het plan ontstaat van hoe je het aan gaat pakken. Iemand kan in infrastructuur namelijk wel heel sterk zijn, maar andere processen helemaal niet op orde hebben. Bijvoorbeeld dat je niet weet wat je moet doen in bepaalde situaties. Of nog erger, je rollen en rechten zijn niet op orde ten aanzien van je informatiestromen.”
De noodzaak van adequaat handelen bij een incident
Met stap 3 van het normenkader als stip op de horizon zijn we er nog niet. Rob is benieuwd wat het niveau moet zijn wanneer ‘Privacy’ erbij komt. Het vertrekpunt is daar anders, wat het voor scholen moeilijk maakt om helder te krijgen wat de deliverables van bedrijven zijn. Dit gaat verder dan pakketjes, stappenplannen en een checklist binnen een bepaald aantal uren en budget. Achter de set regels van het normenkader zit volgens Rob ook een bepaald begrip waar de school van op de hoogte moet zijn. Ter voorbeeld haalt Rob een incidentenproces aan:
“Een incidentenproces begint bij de gebruiker. Op het moment dat die een phishing mail krijgt en hier niet goed op reageert, dan heb je automatisch een lek te pakken. Op zo’n moment moet je als gebruiker en organisatie weten hoe je moet handelen en wat je precies moet doen om de juiste stappen te zetten. Dus hoe goed is je organisatie georganiseerd, zodat je adequaat kunt optreden? Dit is een proces waar scholen echt wel noodzaak in moeten zien.”
Het belangrijkste is dat kinderen veilig naar school kunnen
Volgens Rob is het grootste belang achter het normenkader “dat we met z’n allen werk moeten maken van veilig onderwijs. Kinderen moeten veilig onderwijs krijgen. Dat is niet alleen zorgen dat de voordeur dicht zit, maar ook de achterdeur. En dat je met z’n allen een veilig gevoel hebt. Dat de leerling de juiste dingen aangereikt krijgt en dat de omgeving van de leerling zeker weet dat die leerling veilig onderwijs kan krijgen.”
Aandacht voor het digitale aspect mag hier niet ontbreken. Daarom dienen bestuursleden van onderwijsinstellingen naar Rob’s expertise speciaal aandacht te hebben voor de risico’s. “Risico’s ten aanzien van de reputatie van de school. Risico’s ten aanzien van grote sommen geld die naar cyberpiraten gaan, dus niet naar het onderwijs. De Cryptojacking case van SLBdiensten is hier een recent voorbeeld van. Ook hier krijgen alle scholen de vragen voorgelegd: Waar is wie verantwoordelijk voor? En hoe kunnen ze die risico’s vooral mitigeren?”, aldus Rob.
Volgens Rob loopt er gewoon een ander soort mens in het onderwijs rondt, “die zich vooral met onderwijzen bezig wil houden. Wat alleen maar goed is, maar om ervoor te zorgen dat dit in het digitale tijdperk veilig gebeurd, moeten scholen onderwijs ICT-professionals in hun kracht zetten, en tegelijkertijd ook de regie behouden. Daar wringt het vaak nog wel.”
Scholen moeten ontwikkeling zorg en gemeenten volgen
Sinds 25 mei 2018 zijn scholen in aanraking gekomen met de AVG. Vragen als ‘wat mag ik wel, ‘wat mag ik niet’ en ‘hoe ziet het er dan uit’ vatten destijds de onzekerheid. Volgens Rob was het voor scholen lastig om te interpreteren of ze het wel goed deden. Hoewel dit een bepaalde mate van awareness creëerde, ontbrak het aan de volgende stap in de ontwikkeling van scholen ten aanzien van informatiebeveiliging. Dit laat volgens Rob ten wensen over:
“Als je dan wel de juiste stappen in de zorg maakt, of binnen de gemeentes, dan zou het onderwijs op een gegeven moment ook moeten volgen. Maar als ik zie hoe sommige basisscholen vandaag de dag beveiligd zijn, dat kan echt beter. Om in onderwijstermen te spreken, als het gaat om het huidige beveiligingsniveau, dan zit het onderwijs nu in groep 3 of 4. En het moet uiteindelijk richting HBO om op het gewenste niveau te acteren. Het onderwijs dient dus echt nog wel in volwassenheid te groeien. En dan bedoel ik door de hele sector heen. Dat duurt echt jaren. Daarom moet je als school echt nu beginnen, en niet morgen. Gewoon nu.”
Dienstverlening SLBdiensten Normenkader IBP
Voldoen aan het Normenkader IBP voor digitale veiligheid en privacy in het onderwijs is geen simpele opgave. Waar begin je als onderwijsinstelling en welke stappen moet je zetten? SLBdiensten biedt de juiste ondersteuning dankzij onze kennis van onderwijs en Informatiebeveiliging en Privacy en de kennis en tooling van onze partners.