Home Thema's Beveiliging en privacy Digitale veiligheid in onderwijs niet outsourcen
Beveiliging en privacy

Digitale veiligheid in onderwijs niet outsourcen

Digitale veiligheid in onderwijs niet outsourcen
Achtergrond

Bij digitale veiligheid in het onderwijs moet iedereen op bestuurs- en schoolleidersniveau zich verantwoordelijk voelen. Verantwoordelijkheid kun je niet outsourcen. Dat vindt Bas Buitendijk, ICT-strateegleider en teamleader ICT bij de vereniging OMO die in Noord-Brabant ruim 60 scholen heeft.

Bug in 2021 als wake-up call

OMO startte in 2017 met digitale veiligheid toen de vereniging voor haar scholen glasvezel liet aanleggen en daarvoor ging samenwerken met SIVON, de ICT-coöperatie van schoolbesturen in het po en vo. OMO dacht goed bezig te zijn, totdat een bug in systemen in december 2021 de kwetsbaarheid blootlegde. Het bleek lastig om meteen de ICT-verantwoordelijken van alle scholen te bereiken. Bovendien was er gespecialiseerde kennis nodig om de bug op te sporen. OMO kon niet direct op de situatie inspelen, omdat de aanpak van informatiebeveiliging vooral technisch en operationeel georiënteerd was en er beperkte aandacht voor de mens- en organisatiekant was. Buitendijk legt uit waarom dit laatste belangrijk is: “Bij een crisis heb je vooral verantwoordelijkheidsbesef en korte lijnen nodig.”

Intensiveringsprogramma informatiebeveiliging opstellen

Naar aanleiding van deze inzichten nam het OMO-bestuur het initiatief voor een intensiveringsprogramma informatiebeveiliging. Doel was vooral om het veiligheidsrisico zo klein mogelijk te maken. Verder ging het om snel en adequaat reageren als er iets gebeurt. Buitendijk stelde het intensiveringsprogramma op met vijf speerpunten op basis waarvan inzicht en kennis ontwikkeld ging worden:

  • Een verantwoordingsproces opstellen.
  • Risicoanalyses maken.
  • Kwetsbaarhedenscans uitvoeren.
  • Bewustzijn creëren.
  • Introductie van een kader met daarin normen voor informatiebeveiliging en privacy.
Organisatie bij proces betrekken

De volgende stap was om de organisatie bij het proces te betrekken. Dat was niet eenvoudig. Directeuren hadden er weinig kennis van, ze zagen niet meteen wat het intensiveringsprogramma informatiebeveiliging opleverde en konden zich moeilijk voorstellen dat ze een aantrekkelijk doelwit waren. Buitendijk vertelde hen vervolgens onder meer over de waarde van data van leerlingen voor bedrijven en de consequenties van een hack: de digitale middelen liggen stil, het onderwijs ligt stil, de voortgang van het leerproces bij leerlingen loopt vertraging op.

Scholen willen nu wel geholpen worden

Inmiddels is de situatie veranderd. Scholen willen graag geholpen worden. Rector Heere van het Merletcollege, een van de OMO-scholen, zag in april 2024 waarom het belangrijk is om op bestuursniveau een ICT-team te hebben met de juiste expertise en capaciteit. Na een hack bij een leermiddelenleverancier nam het ICT-team meteen het initiatief inclusief eenduidige communicatie richting leerlingen en ouders.

Werkgroepen per speerpunt

Om de OMO-scholen bij de vijf speerpunten van het intensiveringsprogramma te betrekken, zijn per punt werkgroepen van een aantal scholen georganiseerd. Samen ontwikkelden ze kennis en materialen voor zichzelf en voor de andere scholen. Bovendien werd er externe kennis bij gehaald.

Om de medewerkers bij het onderwerp digitale veiligheid te betrekken, heeft OMO eerst vrijblijvend vanuit het bestuur een aantal zaken aangeboden. Een voorbeeld daarvan is een platform waar ze konden oefenen in het omgaan met phishing.

OMO liet de scholen ook een zelfevaluatie doen. Daardoor kregen scholen inzicht in hoe hun school er voorstond op het gebied van digitale veiligheid: de scholen ontdekten wat hun sterke kanten waren en waar ze nog aan moesten werken. Op basis van de zelfevaluatie konden scholen ambities voor verbetering formuleren en taken binnen de school benoemen.

Leidinggevenden moeten digitale veiligheid belangrijk vinden

Buitendijk vindt dat je de verantwoordelijkheid voor digitale veiligheid niet kunt outsourcen. Bestuurders, rectoren en directeuren moeten het belangrijk vinden en zich willen verdiepen in ICT en informatiebeveiliging. Het ICT-team op zijn beurt beschikt over lijntjes naar landelijke organisaties en blijft daardoor op de hoogte van belangrijke ontwikkelingen. Buitendijk merkt dat de ICT-mensen van de verschillende scholen elkaar inmiddels makkelijker weten te vinden. “De relatie is hechter geworden. Is er weer een crisis, dan is de communicatie sneller te organiseren dan voorheen.”

De aanpak van OMO is niet voor alle besturen haalbaar, zegt Buitendijk. Er zijn wel alternatieven. Zo kunnen eenpitters terecht bij  SIVON  of bij een CERT, een gespecialiseerd team van ICT-professionals.

Het belang van restricties

Schoolleiders zoals Heere vinden het belangrijk om binnen de school aan te kaarten welke ruimte docenten hebben bij het gebruik van hun laptop. Restricties zijn nodig, maar er moet wel een goede balans zijn tussen restricties en creativiteit en inbreng van docenten en tussen centrale aansturing en autonomie. Daarom moet het waarom van regels worden uitgelegd en moet ervoor gezorgd worden dat er voldoende urgentie gevoeld wordt op alle plekken in de organisatie.

Bron: VO-raad.

Delen:

Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct

Trending topics
Smartphonebeleid vo-scholen op orde, praktijk loopt achter
DUO verwijdert enquête na datalek