Verhogen digitale veiligheid onderwijs en onderzoek
15 september 2022

Brief van de ministers van onderwijs, Robbert Dijkgraaf en Dennis Wiersma

Net voor de zomervakantie hebben de ministers van onderwijs, Robert Dijkgraaf en Dennis Wiersma een brief naar de 2e kamer gestuurd met als onderwerp het verhogen van digitale veiligheid onderwijs en onderzoek.

De ministers schrijven daarin dat digitalisering druk zet op onze publieke waarden, op principes als veiligheid en privacy. Steeds meer gegevens over leerlingen worden opgeslagen en uitgewisseld. Onderwijsinstellingen zijn in toenemende mate doelwit van cyberaanvallen.
Voor instellingen wordt het steeds moeilijker om de privacy van leerlingen te beschermen tegen digitale dreigingen. Daarom moet de digitale weerbaarheid bij alle scholen worden verhoogd. Zo moet elk bestuur vanaf 2023-2024 verplicht aandacht aan IBP in het jaarverslag besteden.

Privacy op School is blij met de aandacht van beide ministers voor dit belangrijke thema. Ook wij zien de noodzaak om de digitale weerbaarheid van scholen verder te verhogen en onderkennen de prioriteiten die vanuit de adviesgroep regie op ict zijn geformuleerd. We werken dagelijks aan alle genoemde punten in samenwerking met jullie schoolbestuur en zullen er voor onze besturen al in 2022-2023 voor zorgen dat een IBP-paragraaf voor het jaarverslag beschikbaar komt. Vanzelfsprekend zijn we erg benieuwd naar de verdere inhoud van het plan Veilig (digitaal onderwijs) en zullen met OCW en Kennisnet het gesprek gaan voeren, om daarmee onze dienstverlening hier optimaal op aan te sluiten.

Samenvatting

Een samenvatting van de brief van de ministers en het adviesrapport regie op ict vind je hieronder.

  • Gemeenschappelijke uitgangspunten:
      • Vrijblijvendheid is geen optie: het hele onderwijs moet stappen ondernemen om de digitale weerbaarheid te verhogen en de continuïteit en kwaliteit van het onderwijs te waarborgen.
      • Er moet zorgvuldig met persoonsgegevens van leerlingen en medewerkers worden omgegaan. Door de toenemende digitalisering wordt dit steeds moeilijker. Daarom gaat het ministerie het centraal uitvoeren van DPIA’s (Data Protection Impact Assessments) waar nodig, faciliteren.
      • Er wordt toegewerkt naar een gedeeld normenkader voor digitale veiligheid van de hele onderwijssector.
      • Er wordt verkend hoe de verantwoording en handhaving op digitale veiligheid verder ingericht kan worden.
  • Primair- en Voortgezet Onderwijs
    Er komt een integrale en overkoepelende aanpak waarbij alle aandacht is voor het identificeren van risico’s, het nemen van beschermende maatregelen, het detecteren van incidenten, het reageren op incidenten en het herstellen van de eventuele schade. Er wordt structureel € 6 miljoen geïnvesteerd in digitale veiligheid van het PO en VO. Er wordt gekozen voor een meer centrale regie waarbij gestuurd wordt op normen, ondersteuning, externe audits en sneller optreden.
    Specifiek gaat het hierbij om drie prioriteiten:

      • Een verplicht normenkader voor scholen met extra toezicht en externe audits daarop. Het uitgangspunt voor dit kader is het bestaande normenkader van SURF. Begin 2023 zal een nulmeting worden uitgevoerd voor de hele sector. Daarmee wordt in kaart gebracht waar elk schoolbestuur staat ten opzichte van de norm. Scholen moeten hier mee aan de slag en worden daarbij ondersteund.
      • Bewustwording en professionalisering: elk bestuur is vanaf 23-24 verplicht in het jaarverslag aandacht te besteden aan IBP. Daarnaast ondersteunt het ministerie de professionalisering van personeel, onder andere met bewustwordingscampagnes, een centraal scholingsaanbod en cybercrisisoefeningen.
      • Ondersteuning op orde: er komt een CERT (Computer Emergency Response Team, een soort ‘digitale brandweer.’) voor het PO en VO. Zodra die operationeel is komt er ook een meldplicht voor cyberincidenten. Er wordt gebouwd aan een veilige digitale infrastructuur, waarbij zo goed mogelijk wordt aangesloten op de behoeften van het onderwijs. Ook zal inspiratie opgedaan worden bij andere sectoren. Aandacht voor privacy in het onderwijs is een structureel thema. Daarom zullen DPIA’s op de digitale producten die het meest in het onderwijs gebruikt worden, structureel uitgevoerd blijven worden. De overheid kan deze verantwoordelijkheid niet overnemen, maar kan scholen wel ondersteunen bij de uitvoering daarvan. Ook wordt verder nagedacht over een veilige digitale infrastructuur voor alle scholen met snel en betrouwbaar internet en realtime dreigingsdetectie.

Adviesrapport Regie op ICT

Op verzoek van de PO-Raad, VO-Raad, SIVON en Kennisnet boog de adviesgroep Regie op ICT zich over een aantal vragen die betrekking hebben op technologische ontwikkelingen, privacy management en informatiebeveiliging. De adviezen van de adviesgroep richten zich aan de PO-Raad en de VO-Raad. Echter kunnen schoolbesturen deze opgave niet alleen oppakken. Op sectoraal niveau dienen strenge minimale standaarden en ontwikkelingslijnen te worden vastgesteld. Extra ondersteuning is daarbij nodig.

Het lijdt geen twijfel: op dit moment is de digitale veiligheid van leerlingen onvoldoende gegarandeerd. Onderzoek laat zien dat onderwijsinstellingen over de hele linie digitaal kwetsbaar zijn. ‘Gratis’ bestaat hierbij niet: bij ICT betaal je met geld óf met gegevens. Op dit moment staat de deur voor datalekken en privacy schendingen wijd open en neemt het aantal incidenten toe.

Om aan de gedeelde verantwoordelijkheid te voldoen, moet er gelijktijdig en in nauwe samenhang op drie niveaus gewerkt worden: dat van de rijksoverheid, de schoolbesturen en de onderwijssectoren.

Wat hebben besturen te doen?

Het is aan de besturen om ervoor te zorgen dat zij in eigen huis de basis op orde hebben: dat ze het maximale doen om zich tegen cybercrime te weren, dat zij de privacy van medewerkers en leerlingen borgen, dat medewerkers het belang van digitale veiligheid inzien en dat zij weten wat dit betekent voor hun handelen. Het doordacht en veilig inzetten van digitalisering mag niet verworden tot het afvinken van een checklist. Het stimuleren van gesprekken over ICT-gebruik in de praktijk is in alle gevallen een bestuurlijke verantwoordelijkheid. Regie op ICT gaat uiteindelijk om bewustwording en gedrag van betrokkenen in alle lagen van de organisatie.

Wat heeft de sector te doen?

Er dienen afspraken gemaakt te worden over wat besturen minimaal noodzakelijk achten om het funderend onderwijs digitaal veilig te maken. Deze dienen vastgelegd te worden als minimale standaarden. Daarnaast moeten ontwikkelingslijnen worden vastgesteld om de veiligheid verder te vergroten, toegang tot digitaal leermateriaal te garanderen en digitaal te kunnen toetsen. Een ‘witte lijst’ met betrouwbare partners die weten wat er in het onderwijs speelt, zou daarbij handig zijn.

Wat heeft de overheid te doen?

De overheid kan besturen ondersteunen door te zorgen voor overkoepelen beleid dat past bij de actuele digitale werkelijkheid in scholen. Een zekere sturing op het bereiken van minimale standaarden is daarbij noodzakelijk. Aanvullende eisen dienen gepaard te gaan met extra middelen.

Bronnen:
Zie hier het kamerstuk van de ministers.
Zie hier het adviesrapport Regie op ICT