Lessen uit de webinar Digitale veiligheid voor toezichthouders in het onderwijs

Het kan iedereen overkomen: een datalek of een hack waarbij persoonsgegevens in verkeerde handen vallen of systemen worden versleuteld. De gevolgen voor de organisatie, bestuurder, docent en leerling kunnen groot zijn. Welke rol speel je als Raad van Toezicht? Waar beginnen en eindigen je verantwoordelijkheden? En wat moet je doen als jouw organisatie te maken heeft met een hack of lek? Lees hier de wrap-up van de webinar Digitale Veiligheid voor toezichthouders in het onderwijs of kijk hier de video terug.

Digitale veiligheid blijft een actueel thema. Half april meldde NOS.nl dat bij een hack op schoolleverancier Iddink mogelijk gegevens van leerlingen, ouders en scholen waren buitgemaakt. Volgens de Autoriteit Persoonsgegevens zijn er in 2023 669 datalekken in het onderwijs gemeld. In de webinar was Jan Mensen (hoofd Financiën en Control bij OSG Hengelo) te gast. Het ict-systeem van de school waar hij werkt werd gehackt, waardoor gijzelsoftware kon worden geïnstalleerd en alle servers en gegevens onbereikbaar waren. In de webinar vertelde Jan hoe belangrijk het is om snel experts in te schakelen. Niet alleen op het gebied van beveiliging, maar ook op juridisch vlak. Er moest namelijk een melding gedaan worden bij de Autoriteit Persoonsgegevens en aangifte bij de politie. De Raad van Toezicht heeft tijdens en rondom zo'n situatie verschillende rollen, geeft Jan aan.

• Zorg dat het onderwerp, zoals ict-omgeving en IBP, op de agenda komt bij de RvT en dat je in gesprekken met bestuurders goed doorvraagt. 
• Breng in beeld op welke wijze de risico's gelimiteerd worden en vraag eventueel interne en externe experts om audits uit te voeren. 
• Zorg dat je ten tijde van een hack in nauw contact blijft met de bestuurder. Welke afwegingen worden gemaakt, welke stappen worden gezet? 

Bekijk hier de video over de hack.

Hoe ziet dat er in de praktijk uit? 

"100% veiligheid bestaat niet, maar als school heb je een plicht tot beveiliging. Daarnaast maakt de wet de bestuurder eindverantwoordelijk voor informatiebeveiliging", vertelde Pi Rogaar, senior adviseur cybersecurity bij Kennisnet. Een belangrijk onderscheid hierbij is het verschil tussen informatiebeveiliging (hackers buiten de deur houden) en privacy (goed en veilig omgaan met gegevens over personen; gegevensbescherming). Het Normenkader IBP Funderend Onderwijs beschrijft wat scholen moeten doen om informatiebeveiliging en privacy op orde te krijgen.

Pi gaf 4 tips voor Raden van Toezicht: 

• Maak iemand binnen je RvT verantwoordelijk voor toezicht op digitale veiligheid.
• Vraag om inzicht in de governance van cybersecurity, en sluit aan op de jaarcyclus van de school.
• Bespreek de belangrijkste risico's met de bestuurder, en hoe ze deze het hoofd bieden.
• Leveranciersmanagement is een belangrijke pijler voor digitale veiligheid in het primair en voortgezet onderwijs: vraag daar goed op door. 

Veilig en doordacht digitaliseren

De PO-Raad en de VO-raad zetten zich binnen het programma Digitaal Veilig Onderwijs gezamenlijk in voor bewustwording en professionalisering van bestuurders, schoolleiders en toezichthouders op het gebied van digitale veiligheid.

"Lang niet alle bestuurders en schoolleiders realiseren zich welke risico’s hun organisatie loopt", vertelde Hermien Jacobs, senior projectleider Veilig en Doordacht Digitaliseren bij de sectorraden. "Zo kan een hack, een datalek of een geval van fraude een grote impact hebben op de financiële positie, op de continuïteit van het onderwijs en op de (digitale) veiligheid van leerlingen en medewerkers. Informatiebeveiliging en privacy moeten daarom een integraal onderdeel zijn van het onderwijsbeleid en van de organisatie. Wij maken onze achterban bewust van het belang om digitalisering doorlopend op een veilige en doordachte manier aan te pakken."

Uit een rapport van adviesbureau Wielinq naar bewustwording rondom digitale veiligheid bij schoolbestuurders en schoolleiders kwam duidelijk naar voren dat ook Raden van Toezicht een belangrijke rol hebben inzake digitaal veilig onderwijs. 

Wat is jouw rol als RvT en welke vragen kun je stellen?  

Als RvT is het belangrijk dat je het onderwerp op de agenda zet en kritische vragen stelt. Vraag daarbij ook door als het antwoord niet concreet genoeg is.

• Breng het gesprek op gang
  “Zijn jullie op de hoogte van de ontwikkelingen rond het Normenkader IBP Funderend Onderwijs? Hoe werken jullie daaraan? Hebben jullie de basismaatregelen bijvoorbeeld al op orde?”
• Vraag naar de governance
  “Hoe hebben jullie de verantwoordelijkheden voor IBP in de organisatie belegd? Hoe zorgen jullie ervoor dat het meer is dan alleen een ict-feestje, maar dat juist ook verantwoordelijken in andere afdelingen (P&O, financiën, onderwijs) hun rol vervullen?”
• Bespreek de wisselwerking tussen locaties en het bestuursbureau
  “Lukt het om centraal de regie te voeren op IBP-beleid? Stellen jullie beleid hiervoor inderdaad als bestuur vast, en hoe gaan de locaties daar dan mee om?”
• Informeer naar de prioritering
  “Welke dreigingen baren jullie de meeste zorgen? Hoe werkt dat door in de prioritering van jullie maatregelen? Baseren jullie dat ook op het Dreigingsbeeld Funderend Onderwijs?”
• Check hoe het beleid in de praktijk uitpakt
  “Hoe houden jullie intern toezicht op de naleving van IBP-beleid? Hoe staat die naleving ervoor? Wat zijn belangrijke hordes om die naleving te verbeteren?” (tip: nodig bij dit punt eventueel ook een interne verantwoordelijke of toezichthouder op dit vlak uit, zoals het hoofd informatiebeveiliging of de FG)
• Bevraag de plaats die IBP bij de aanschaf van ict-diensten speelt
  “Welk deel van de ict van de organisatie is ongeveer uitbesteed? Hoe zorgen jullie ervoor dat IBP bij de aanschaf van ict-diensten consequent en op tijd ter sprake komt? Hebben jullie met alle relevante leveranciers inderdaad verwerkersovereenkomsten afgesloten?”

Verder lezen over digitale veiligheid 

Over de risico’s

• Het Dreigingsbeeld Funderend Onderwijs is dé bron om hoog-over geïnformeerd te worden over relevante IBP-dreigingen en risico's in de sector.
• Het Sectorbeeld Onderwijs van de Autoriteit Persoonsgegevens laat zien hoe de privacytoezichthouder naar het onderwijs kijkt, en kan daarmee ook inzicht bieden in hun prioriteiten bij het toezicht.

En wat je als school kunt doen

• De overzichtspagina van het programma DVO biedt inzicht in het bestaande ondersteuningsaanbod voor schoolbesturen, zodat je als toezichthouder weet waar je organisatie bij kan aansluiten.
• Onderdeel van het programma DVO is het Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs. Het normenkader is een set van normen waaraan scholen hun maatregelen kunnen toetsen. Bij het normenkader zijn ook hulpmiddelen ter ondersteuning en komende tijd komen er nog meer hulpmiddelen. 
• De Aanpak IBP is bedoeld voor schoolbesturen zelf, om hulp en advies te vinden bij het inrichten van hun IBP.De basismaatregelen zijn hierbij een goede eerste stap.
• Op het gebied van privacy heeft de Autoriteit Persoonsgegevens een goede handreiking voor de RvT Daar staan veel nuttige voorbeeldvragen in. 

Trainingen voor toezichthouders

• Toezicht op ict en digitale transformatie
• Toezicht op digitalisering
• Toezicht op privacy en gegevensbescherming

Onbeantwoorde vragen 

Tot slot zijn tijdens de webinar nog enkele vragen gesteld die niet beantwoord konden worden vanwege de tijd.

• Komt er op basis van de richtlijn straks ook een certificeringsplicht ?
  • Het ministerie van OCW heeft aangegeven dat er ook toezicht en handhaving komt op de wettelijke verplichting van het normenkader. Hoe die er in de praktijk uit komt te zien, is nog niet bekend.
• Dienen genomen maatregelen door de bestuurder o.a. te worden beoordeeld / gecertificeerd, zodat borging aantoonbaar aanwezig is?
  • Dit is inderdaad onderdeel van het normenkader. Het komt aan bod in norm GO.05 (Onafhankelijke assurance).
• Is er nog wat meer te zeggen over het toekomstig normenkader van OCW?
  • Op dit moment is hier nog geen informatie over beschikbaar. 
• Hoe kunnen bestuurders de bewustwording rond digitale veiligheid bij hun werknemers verhogen? Zijn daar handleidingen voor?
  • Er zijn daarvoor veel verschillende producten beschikbaar. Een goed startpunt zijn de producten die SURF voor het hoger onderwijs heeft ontwikkeld. Er komen ook specifieke op het primair en voortgezet onderwijs gerichte producten, die zijn gepland voor december 2024.

Verder praten

Naar aanleiding van deze webinar bekijken wij samen met PO-Raad en VO-raad welke ondersteuningsmiddelen we verder kunnen ontwikkelen. Wil je hier met ons verder over praten? Meld je dan voor 17 mei bij bureau@vtoi-nvtk.nl en we nemen contact met je op. 

Kijk hier de webinar terug