Funderend onderwijs voldoet nog niet aan normen voor digitaal veilig onderwijs

Geen enkel schoolbestuur in het funderend onderwijs voldoet nog volledig aan de normen voor digitaal veilig onderwijs. Dat blijkt uit de Nulmeting Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs. Het onderzoek vond plaats onder 15 schoolbesturen met samen 80.000 leerlingen. De VO-raad vindt het belangrijk dat besturen aan de slag gaan om een digitaal weerbare en veilige schoolorganisatie te worden.

Resultaten

Uit het onderzoek komen vijf aandachtspunten naar voren waarvoor besturen maatregelen kunnen nemen:

• Afhankelijkheid van een kleine groep medewerkers.
• Bewustwording.
• Plannen voor crisis- of noodsituaties voor grote incidenten en het testen met het terugzetten van back-ups.
• Monitoring en logging.
• Leveranciersmanagement.
• Vier typen schoolbesturen

Voor het bepalen van de ondersteuningsbehoefte van schoolbesturen is een indeling gemaakt in typen besturen. Uit het onderzoek komen vier typen naar voren en wat hen kan helpen:

• Koplopers (beleid en praktijk) Ze hebben het beleid op orde en voldoende expertise om dit in de praktijk uit te voeren. Ze voldoen nog niet aan alle normen van het Normenkader IBP FO, maar heeft wel de middelen in huis om de normen te behalen.
• Uitvoerders (praktijk zonder beleid) Ze hebben voldoende IBP-experts in huis, maar onvoldoende draagkracht binnen de organisatie voor de uitvoering van het IBP-beleid. Ze hebben behoefte aan ondersteuning bij het vergroten van de bewustwording bij medewerkers en onderwijspersoneel, zodat de verantwoordelijkheid voor IBP door de hele organisatie gevoeld wordt, in plaats van door een kleine groep mensen.
• Denkers (beleid zonder praktijk) Ze denken na over beleid rond IBP, bijvoorbeeld na een cybersecurityaanval, maar hebben onvoldoende capaciteit om dit beleid uit te voeren. Ze hebben behoefte aan capaciteit, dat kan zijn in de vorm van externe capaciteit inhuren, leren van best practices of vragen stellen aan een informatiepunt.
• Achterblijvers (geen beleid en geen praktijk) Bij hen ontbreken beleid en uitvoering. Zij vrezen dat aandacht voor IBP ten koste gaat van aandacht voor het reguliere onderwijs. Ze hebben baat bij bewustwording van het belang van IBP, want ook voor hen is het belangrijk dat informatiebeveiliging op orde is. Daarnaast helpt het bieden van kennis en expertise, zodat zij aan de slag kunnen.

Obstakels

Het onderzoek noemt drie obstakels waar schoolbesturen tegenaan lopen bij de implementatie van het Normenkader IBP FO:

• Gebrek aan bewustzijn over IBP bij schoolbesturen en onderwijspersoneel.
• Onvoldoende kennis en expertise van IBP binnen het bestuur.
• Te weinig capaciteit voor informatiebeveiliging.

Volgens Ingrid de Bonth van de VO-raad verdient digitale veiligheid doorlopend aandacht van schoolbesturen. Het programma Digitaal Veilig Onderwijs, waarin het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad samenwerken, biedt daarvoor handvatten, leidraden en een passend ondersteuningsaanbod.

Bron: VO-raad