Digitaal veilig onderwijs volgens het normenkader. Hoe regel ik dat?
In april lanceerde het ministerie van OC&W in samenwerking met Kennisnet, de po- en vo-raad en SIVON het plan digitaal veilig onderwijs waarin het normenkader een centrale rol speelt. Als Heutink ICT zijn we erg blij met deze plannen en gestelde kaders omdat ze een landelijke standaard zetten. We beseffen ons ook dat de oproep aan het onderwijs om verantwoordelijkheid te nemen op gebied van digitaal veilig onderwijs best complex is. En ook al ligt de daadwerkelijke deadline om te voldoen aan het normenkader pas in 2027; het is slim om nu al stappen te zetten. De beveiligingsrisico's worden namelijk niet minder is onze verwachting.
Stappen zetten in Privacy & Security
Wij hebben in de afgelopen jaren zelf al de nodige stappen gezet in onze dienstverlening rond privacy en security. En we helpen je graag het normenkader te implementeren. Op deze pagina geven we continu updates over dit complexe onderwerp. Robert en Jade leggen je in deze video alvast uit wat onze plannen zijn.
Relevante links
Blijf op de hoogte van het normenkader
Laat je e-mailadres achter en ontvang een notificatie als we iets nieuws te melden hebben over het plan digitaal veilig onderwijs en het normenkader.
Het normenkader & plan digitaal veilig onderwijs
Het normenkader is de basis als het gaat om digitaal veilig onderwijs maar is dus onderdeel van een groter plan. Als Heutink ICT zien we de volgende belangrijke thema’s waar we zelf, met onze klanten of met de brancheverenigingen aan de slag moeten.
-
Het normenkader geeft duidelijkheid
Het normenkader bevat beschrijvende normen, onderverdeeld in 15 domeinen voor informatiebeveiliging en een domein voor privacy (nog in ontwikkeling), die met elkaar samenhangende normen bevatten. Het normenkader is een levend document, steeds gebaseerd op de nieuwste kennis en ontwikkelingen, en bevat zowel technische-, organisatorische- als beleidsmatige normen. De voorgeschreven normen hebben een verplichtend karakter vanaf 2027 en moeten dan dus geïmplementeerd zijn.
-
Werken aan bewustwording, vaardigheden en professionalisering
Dit is in het komende schooljaar al geen vrijblijvendheid meer. Het ministerie van OC&W schrijft namelijk voor dat Informatiebeveiliging en privacy (IBP) een verplicht onderdeel is van het jaarverslag per 2023/ 2024. Realiseer je daarbij dat digitale veiligheid de verantwoordelijkheid is van de gehele school. Want je kunt in technische zin veel inrichten, je zult als school zelf ook stappen moeten zetten op gebied van professionalisering, bewustwording en vaardigheden. Want het is meestal niet de techniek waar het mis gaat maar juist het menselijk handelen en de gevolgen daarvan.
-
Borgen van incidentmanagement
Wie monitort je omgeving? En als er een incident dreigt, wie komt er dan in actie? Een juiste afstemming van verantwoordelijkheden met je ICT-leverancier is hier van belang. Want daar klop je waarschijnlijk het eerst aan. Dat betekent dat er (aanvullende) diensten ontwikkelt worden rondom identificatie, detectie en mitigatie van dreigingen. In het streven naar een digitaal veilige infrastructuur vallen regelmatig de termen Cyber Emergency Response Team (CERT) en Security Operations Centre (SOC). Dergelijke diensten zijn relatief duur en staan mede daarom in het onderwijs nog in de kinderschoenen.
-
Centrale toetsing & monitoring
Normen, kaders en richtlijnen zijn mooi. En dragen bij aan een veilige digitale omgeving die we allemaal na zouden moeten streven. Maar ze moeten ook getoetst worden. Helemaal als ze een verplichtend karakter krijgen. Dergelijke DPIA’s op de omgeving van de school en/of de IT-leverancier moeten worden ontwikkeld. Dit initiatief ligt logischerwijs bij de overheid om zo de objectiviteit te waarborgen. Deze toetsingsinstanties kunnen ook toezien op bijvoorbeeld een Meldingsplicht Cyberincidenten om zo de gevaren in de branche inzichtelijk te krijgen en te leren van incidenten.
Onze rol als Heutink ICT
We zijn blij met het plan digitaal veilig onderwijs en het daaruit voortvloeiende normenkader. Hiermee wordt een landelijke norm gesteld. Gelukkig kunnen we al veel normen afvinken, omdat onze standaarden (o.a. ISO 27001 normering, ROSA frameworks, etc.) al jaren erg hoog liggen. Daar waar er nog iets ontbreekt of waar de school zelf aan de slag moet staan we voor jullie klaar. We gaan er alles aan doen om het onderwijs te helpen. Onder andere met praktische scans, adviezen, diensten en oplossingen van onszelf en/of derden. Deze zijn niet alleen gericht op de techniek, maar ook op organisatie, beleid en de mens. Het Plan Digitaal Veilig Onderwijs richt zich met name ook daarop.
Aanpassingen Security & Privacy aanbod
Op dit moment zijn we als Heutink ICT druk bezig om alle regels uit het 94 pagina’s tellende normenkader langs onze oplossingen te leggen. Daarbij kijken we ook naar onze eigen maatstaven. Liefst 17 projecten zijn gestart om aansluiting te vinden bij het normenkader of daar zelfs een aanvulling op te bieden. Van nieuwe diensten en oplossingen tot DPIA’s op onze netwerken en praktische scans voor jullie als school of stichting.
Investeren in experts
Omdat we dit onderwerp serieus nemen hebben naast alle projecten en verbeteringen ook geïnvesteerd in specifieke expertise:
- Diverse technische collega’s worden opgeleid in specifieke privacy & security oplossingen
- We hebben Privacy & Security Consultant aangenomen voor advies en begeleidingstrajecten.
- Enkele van onze onderwijsconsulenten zijn opgeleid als Functionaris Gegevensbescherming (FG) en kunnen die rol op stichtingsniveau vervullen.
Samen gaan we jullie helpen met digitaal veilig onderwijs
"Security heeft net zoveel met gezond verstand als met techniek te maken"
- Jade Rosink - Privacy & Security Consultant
Wat staat jou te doen als school of stichting?
Allereerst is het normenkader pas een verplichting in 2027. Echter. De incidenten op gebied van privacy en security in de maatschappij maar zeer zeker ook in het onderwijs nemen snel toe. Het is dus verstandig om het komende schooljaar al te starten met de eerste twee stappen:
Stap 1
Stel als school of stichting je je visie en ambitie op gebied van Privacy & Security op. En bepaal hoe snel je dat geïmplementeerd wilt hebben.
Stap 2
Toets het normenkader aan je huidige situatie en visie en bepaal op basis daarvan de hiaten. Wij kunnen je hierbij helpen. Veel van de gestelde normen hebben we namelijk al in beeld.
Stap 3
Stel een implementatieplan op voor een veilige, toekomstbestendige ICT-omgeving. Dat mag een meerjarenplan zijn dat toewerkt naar 2027 of zelfs verder. Het normenkader definieert 4 verschillende ambitie niveau’s waarvan het laagste in 2027 de norm is.
Continu aandacht voor Privacy & Security
Wij helpen besturen in het funderend onderwijs (po en vo) privacy en security vraagstukken vanuit een helder beleidskader te beantwoorden. Benieuwd wat wij hierin voor jou kunnen betekenen?