Op maandagochtend ontvangt een schoolbestuurder een telefoontje van de directeur: het leerlingadministratiesysteem is offline gehaald na een verdachte inlog vanaf een buitenlands IP-adres. Ouders stellen vragen, medewerkers kunnen niet bij noodzakelijke gegevens en de pers heeft inmiddels lucht gekregen van het incident. Al snel blijkt dat niet één fout de oorzaak is, maar een opeenstapeling van onduidelijke afspraken, ontbrekend beleid en onvoldoende zicht op risico’s. Het lijkt een ver-van-je-bed scenario, maar in de huidige digitale wereld is er een realistische kans dat het zich voordoet.
Tijdspad Normenkader Informatiebeveiliging en Privacy (IBP)
Digitalisering is onmisbaar geworden voor goed onderwijs. Tegelijkertijd brengt zij nieuwe risico’s met zich mee: datalekken, cyberaanvallen en onzorgvuldig gebruik van persoonsgegevens kunnen grote gevolgen hebben voor leerlingen, medewerkers en de reputatie van de organisatie. Het Normenkader IBP verplicht scholen om eind 2027 een zelfevaluatie en plan te hebben gemaakt, waarbij de volledige implementatie van het IBP eind 2030 rond moet zijn.
Wat is het Normenkader IBP?
Het Normenkader IBP is een landelijk vastgesteld normenkader voor primair, voortgezet en speciaal onderwijs. Het biedt scholen handvatten om informatiebeveiliging en privacy te verankeren in hun organisatie. Er zijn 69 normen gedefinieerd voor informatiebeveiliging en 25 voor privacy. Deze kunnen worden geïmplementeerd door de scholen, waarbij diverse volwassenheidsniveaus worden onderkend. En daar waar het lijkt dat het Normenkader IBP enkel een IT-project is, raakt dit de gehele organisatie, zowel bestuur, beleid en operationele processen.
Bestuurlijke rol en verantwoording
Dat informatiebeveiliging en privacy ook de verantwoordelijkheid van de bestuurder zijn, blijkt uit het feit dat dit vanaf 2024 een verplicht onderdeel is van het jaarverslag. Bestuurders zijn eindverantwoordelijk en moeten kunnen aantonen dat risico’s worden beheerst. Dit vraagt om structurele aandacht voor dit onderwerp. Het Normenkader IBP wordt onderdeel van de bredere beleids- en planningscyclus van de schoolorganisatie, waarop periodiek wordt gerapporteerd naar het bestuur. Informatiebeveiliging en privacy is daarmee een belangrijk onderwerp aan de bestuurstafel.
Meer dan compliance
Hoewel het normenkader voortkomt uit wet- en regelgeving, gaat het verder dan alleen voldoen aan minimale eisen. Het draagt bij aan vertrouwen van ouders, leerlingen en medewerkers, aan een digitaal veilige schoolorganisatie en het verkleint de kans op incidenten met grote financiële of maatschappelijke impact. Door het normenkader actief te gebruiken, laten bestuurders zien dat digitale veiligheid een strategisch thema is en geen verplicht vinkje.
Meer weten?
Wilt u eens vrijblijvend geïnformeerd worden over wat het Normenkader IBP voor uw schoolorganisatie betekent? Of kunt u ondersteuning gebruiken bij het uitvoeren van de zelfevaluatie of het opstellen van het plan? Dan kan Govers daarbij ondersteunen. Onze specialisten hebben ervaring met het implementeren van vergelijkbare normenkaders op het gebied van informatiebeveiliging en privacy. Neem contact op met Rolijn van Vught (rolijn.vanvught@govers.nl) voor meer informatie