“Vrijblijvendheid is geen optie als het gaat om digitale weerbaarheid en privacy. Het hele onderwijs en alle betrokken partijen moeten stappen nemen om de digitale weerbaarheid in de hele sector te verhogen, en om de continuïteit en kwaliteit van het onderwijs en onderzoek te waarborgen.” dat is één van de gemeenschappelijke uitgangspunten die het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) hanteert voor de gehele onderwijs en -onderzoekssector. Dat schrijven de ministers OCW in hun brief van 14 juli 2022 over het verhogen van de digitale veiligheid binnen het onderwijs.
Natuurlijk is het belangrijk om digitaal weerbaar te zijn en de continuïteit en kwaliteit van het onderwijs te waarborgen. Ook onderwijsorganisaties begrijpen dat door toenemende digitalisering principes als veiligheid en privacy onder druk komen te staan. Er worden steeds meer gegevens over leerlingen en studenten opgeslagen en uitgewisseld en onderwijsinstellingen zijn in toenemende mate doelwit van cyberaanvallen. Hierdoor wordt het voor organisaties steeds moeilijker om de privacy van leerlingen en studenten te beschermen tegen digitale dreigingen. Gegevens over leerlingen en studenten kunnen op straat komen te liggen en de continuïteit van het onderwijs kan in gevaar komen wanneer systemen niet meer benaderbaar zijn. De digitale weerbaarheid moet daarom bij alle instellingen worden verhoogd naar een niveau dat aantoonbaar veiligheid biedt. Dit blijkt ook uit adviezen van de Autoriteit Persoonsgegevens, het Rathenau Instituut en de Inspectie van het Onderwijs. Maar wat betekent dat nu precies en hoe weet je of jouw organisatie voldoende weerbaar is tegen cyberaanvallen?
Richtlijnen passende maatregelen AVG
Om bovenstaande vragen te beantwoorden kijken we eerst naar wat de Algemene verordening gegevensbescherming (AVG) hierover vermeldt. De AVG (Art. 5, lid1 f en lid 2) vereist dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen neemt ter bescherming van de privacy en beveiliging van persoonsgegevens, zodat de integriteit en vertrouwelijkheid gewaarborgd zijn. Bovendien moet de verwerkingsverantwoordelijke kunnen aantonen dat zij aan deze eisen voldoet (“verantwoordingsplicht”).
Wat precies onder passende technische en organisatorische maatregelen wordt verstaan, staat niet in de AVG, er staat wel dat gebruik gemaakt kan worden van (inter)nationale erkende standaardnormen (zoals ISO 27001/2). Het is niet vreemd dat er geen specifieke normen zijn benoemd want de cyberrisico’s van vandaag verschillen met die van morgen en ze zijn ook niet (in dezelfde mate) van toepassing op iedere organisatie of sector. Mede hierom stimuleert de Autoriteit Persoonsgegevens brancheorganisaties om ‘eigen’ kaders op te stellen voor hun achterban over passende informatiebeveiligings- en privacy-normen.
Eén norm voor de gehele onderwijssector
Binnen het onderwijs bestaan verschillende sectoren, variërend van primair tot hoger onderwijs. Deze sectoren worden op het gebied van IBP ondersteund door verschillende organisaties (SURF, MBO Digitaal, SIVON en Kennisnet). Het niveau van cyberweerbaarheid en de ondersteuning op gebied van IBP verschilt dus tussen de sectoren en scholen. Tot voor kort bestond er geen eenduidige beveiligingsnorm voor het onderwijs. De initiatieven vanuit het ministerie van OCW en de komst van het Normenkader IBP, gebaseerd op de ISO27002-normen, hebben hier verandering in gebracht.
Het programma Digitaal Veilig Onderwijs
Het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) heeft samen met Kennisnet, SIVON, de PO-Raad en de VO-raad het programma Digitaal Veilig Onderwijs opgesteld. Het doel van dit programma is een digitaal veilige leer- en werkomgeving voor iedere leerling en medewerker binnen de sector. Het programma gaat uit van een gefaseerde aanpak. Met activiteiten, producten en diensten worden onderwijsorganisaties in vier jaar (2023 – 2027) ondersteund in het nemen van de juiste stappen in een logische volgorde. Eén van de eerste initiatieven uit het programma is het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO).
Het Normenkader IBP FO
Het Normenkader IBP FO beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel voor onderwijsorganisaties om te bepalen of zij passende technische en organisatorische maatregelen hebben genomen en voldoende weerbaar zijn tegen cyberaanvallen. Door een nulmeting uit te (laten) voeren krijgt de organisatie in beeld waar ze staat ten opzichte van het kader en waar nog aandacht aan gegeven moet worden.
Momenteel bestaat het Normenkader IBP FO alleen nog uit deel 1, dat zich richt op informatiebeveiliging. Deel 2 over Privacy wordt eind 2023 verwacht. Verder ontbreken er nog uitwerkingen (voorbeeld documenten) voor de voorgestelde voorbeeldmaatregelen.
Weet waar je staat!
Dat het programma Digitaal Veilig Onderwijs vier jaar loopt of dat het Normenkader IBP nog niet compleet is betekent niet dat onderwijsorganisaties nog niet hoeven te beginnen. Integendeel, vaak hebben onderwijsorganisaties IBP nog niet aantoonbaar op orde of weten niet of dat zo is. Dat brengt risico’s met zich mee waar men niet op zit te wachten. Het is dus aan te raden om aan de hand van het Normenkader IBP FO deel 1 in beeld te brengen waar je als onderwijsorganisatie staat. Het nemen van eventuele maatregelen is dan stap 2 maar het niet weten is een risico dat je niet zou moeten willen nemen!
Hulp nodig?
Privacy op School ondersteunt onderwijsorganisaties bij het uitvoeren van een nulmeting op het Normenkader IBP FO en bij het nemen van eventuele vervolgstappen. Neem contact met ons op via info@privacyopschool.nl