Wat gaat het normenkader IBP voor mijn schoolbestuur betekenen?
De minister heeft in juli vorig jaar een normenkader aangekondigd voor het PO en VO. De minister maakt zich namelijk zorgen om de stijging van aanvallen door cybercriminelen in het onderwijs en vindt dat schoolbesturen zich weerbaarder moeten maken. Basisscholen en middelbare scholen moeten daarom voldoen aan een baseline, een minimum niveau van maatregelen op het gebied van informatiebeveiliging én privacy. In het MBO en Hoger onderwijs wordt al langer gewerkt met een dergelijk normenkader. In dit artikel lees je meer over het normenkader voor PO en VO en wat dit gaat betekenen voor scholen.
Eerste versie
In april is het normenkader IBP voor het funderend onderwijs gepubliceerd. Het gaat om een eerste versie die na de zomer zal worden vastgesteld. Ook moeten er nog normen voor privacy worden toegevoegd. Het normenkader zal naar verwachting grote impact hebben op schoolbesturen, met name de kleinere schoolbesturen. Het gebruik van het kader is niet vrijblijvend. In 2027 wordt een juridische borging in de wet verwacht. Per norm is een aantal stappen vastgesteld, de toetsingskaders. Zo kun je stapsgewijs toewerken naar digitaal veilig onderwijs.
Is zo’n normenkader dan echt nodig?
Het antwoord is kortgezegd: Ja, dit is nodig. Het aantal incidenten en datalekken neemt ook in het onderwijs alleen maar toe. De Autoriteit Persoonsgegevens nam de afgelopen jaren een stijging van maar liefst 88% in cyberincidenten waar. Wij merken dit ook in de incidenten die op scholen plaatsvinden en bij ons gemeld worden. Het is niet de vraag of je school gehackt wordt, maar wanneer. Met een normenkader wordt duidelijk wat er van een school verwacht wordt ten aanzien van maatregelen op het gebied van informatiebeveiliging en privacy. Dit is ook een veelgehoorde vraag van schoolbesturen. Waar moet ik aan voldoen? Met een normenkader geef je binnen een sector concrete invulling aan de beveiligingseisen die er vanuit de AVG worden gesteld.
Tijdslijn en ondersteuning
Er zijn gelukkig al veel schoolbesturen die IBP heel serieus nemen, je hoeft met het normenkader dus ook niet van nul af aan te beginnen. Wel betekent het voor scholen die nog weinig gedaan hebben, dat er werk aan de winkel is. In online informatiebijeenkomsten die zijn georganiseerd door Kennisnet, is aangegeven dat schoolbesturen 4,5 jaar de tijd krijgen om te voldoen aan het normenkader. Daarnaast zal er ook een ondersteuningsaanbod voor scholen worden ontwikkeld.
Systematiek
Vanuit Privacy op School werken we al met normenkaders die aansluiten op die van het MBO en Hoger onderwijs. Onze verwachting is dan ook dat het nieuwe normenkader IBP voor het PO en VO goed zal aansluiten bij onze systematiek. Wij zullen het normenkader, zodra dit is gepubliceerd en vastgesteld ook gaan opnemen in onze dienstverlening. Dit betekent dat wij het kader zullen gaan meenemen in onze audits, al dan niet als onderdeel van onze dienst FG as-a-service. N.B. De verwachting is dat het normenkader pas na de zomer voorzien zal worden van het privacy onderdeel en daarna kan worden vastgesteld .
Een veilige school
Gelet op de conceptversies van het normenkader die nu rondgaan, denken we dat een aantal beveiligingsmaatregelen in samenwerking met de ICT-leveranciers opgepakt zullen moeten gaan worden. Wij spelen hierin graag een bemiddelende en adviserende rol. Als het gaat om andere onderdelen, kunt u een beroep doen op uw Privacy of Security Officer of als u die niet heeft Privacy op School vragen om ondersteuning.
Samen zorgen wij voor een veilige school!
Meer informatie
Kijk voor meer informatie op website digitaal veilig onderwijs