Lessen uit de webinar Digitale veiligheid voor toezichthouders in het onderwijs
26-04-2024
Het kan iedereen overkomen: een datalek of een hack waarbij persoonsgegevens in verkeerde handen vallen of systemen worden versleuteld. De gevolgen voor de organisatie, bestuurder, docent en leerling kunnen groot zijn. Welke rol speel je als Raad van Toezicht? Waar beginnen en eindigen je verantwoordelijkheden? En wat moet je doen als jouw organisatie te maken heeft met een hack of lek? Lees hier de wrap-up van de webinar Digitale Veiligheid voor toezichthouders in het onderwijs of kijk hier de video terug. Digitale veiligheid blijft een actueel thema. Half april meldde NOS.nl dat bij een hack op schoolleverancier Iddink mogelijk gegevens van leerlingen, ouders en scholen waren buitgemaakt. Volgens de Autoriteit Persoonsgegevens zijn er in 2023 669 datalekken in het onderwijs gemeld. In de webinar was Jan Mensen (hoofd Financiën en Control bij OSG Hengelo) te gast. Het ict-systeem van de school waar hij werkt werd gehackt, waardoor gijzelsoftware kon worden geïnstalleerd en alle servers en gegevens onbereikbaar waren. In de webinar vertelde Jan hoe belangrijk het is om snel experts in te schakelen. Niet alleen op het gebied van beveiliging, maar ook op juridisch vlak. Er moest namelijk een melding gedaan worden bij de Autoriteit Persoonsgegevens en aangifte bij de politie. De Raad van Toezicht heeft tijdens en rondom zo'n situatie verschillende rollen, geeft Jan aan. Bekijk hier de video over de hack. "100% veiligheid bestaat niet, maar als school heb je een plicht tot beveiliging. Daarnaast maakt de wet de bestuurder eindverantwoordelijk voor informatiebeveiliging", vertelde Pi Rogaar, senior adviseur cybersecurity bij Kennisnet. Een belangrijk onderscheid hierbij is het verschil tussen informatiebeveiliging (hackers buiten de deur houden) en privacy (goed en veilig omgaan met gegevens over personen; gegevensbescherming). Het Normenkader IBP Funderend Onderwijs beschrijft wat scholen moeten doen om informatiebeveiliging en privacy op orde te krijgen. De PO-Raad en de VO-raad zetten zich binnen het programma Digitaal Veilig Onderwijs gezamenlijk in voor bewustwording en professionalisering van bestuurders, schoolleiders en toezichthouders op het gebied van digitale veiligheid. "Lang niet alle bestuurders en schoolleiders realiseren zich welke risico’s hun organisatie loopt", vertelde Hermien Jacobs, senior projectleider Veilig en Doordacht Digitaliseren bij de sectorraden. "Zo kan een hack, een datalek of een geval van fraude een grote impact hebben op de financiële positie, op de continuïteit van het onderwijs en op de (digitale) veiligheid van leerlingen en medewerkers. Informatiebeveiliging en privacy moeten daarom een integraal onderdeel zijn van het onderwijsbeleid en van de organisatie. Wij maken onze achterban bewust van het belang om digitalisering doorlopend op een veilige en doordachte manier aan te pakken." Uit een rapport van adviesbureau Wielinq naar bewustwording rondom digitale veiligheid bij schoolbestuurders en schoolleiders kwam duidelijk naar voren dat ook Raden van Toezicht een belangrijke rol hebben inzake digitaal veilig onderwijs. Als RvT is het belangrijk dat je het onderwerp op de agenda zet en kritische vragen stelt. Vraag daarbij ook door als het antwoord niet concreet genoeg is. Over de risico’s En wat je als school kunt doen Trainingen voor toezichthouders Tot slot zijn tijdens de webinar nog enkele vragen gesteld die niet beantwoord konden worden vanwege de tijd. Hoe ziet dat er in de praktijk uit?
Pi gaf 4 tips voor Raden van Toezicht:
Veilig en doordacht digitaliseren
Wat is jouw rol als RvT en welke vragen kun je stellen?
“Zijn jullie op de hoogte van de ontwikkelingen rond het Normenkader IBP Funderend Onderwijs? Hoe werken jullie daaraan? Hebben jullie de basismaatregelen bijvoorbeeld al op orde?”
“Hoe hebben jullie de verantwoordelijkheden voor IBP in de organisatie belegd? Hoe zorgen jullie ervoor dat het meer is dan alleen een ict-feestje, maar dat juist ook verantwoordelijken in andere afdelingen (P&O, financiën, onderwijs) hun rol vervullen?”
“Lukt het om centraal de regie te voeren op IBP-beleid? Stellen jullie beleid hiervoor inderdaad als bestuur vast, en hoe gaan de locaties daar dan mee om?”
“Welke dreigingen baren jullie de meeste zorgen? Hoe werkt dat door in de prioritering van jullie maatregelen? Baseren jullie dat ook op het Dreigingsbeeld Funderend Onderwijs?”
“Hoe houden jullie intern toezicht op de naleving van IBP-beleid? Hoe staat die naleving ervoor? Wat zijn belangrijke hordes om die naleving te verbeteren?” (tip: nodig bij dit punt eventueel ook een interne verantwoordelijke of toezichthouder op dit vlak uit, zoals het hoofd informatiebeveiliging of de FG)
“Welk deel van de ict van de organisatie is ongeveer uitbesteed? Hoe zorgen jullie ervoor dat IBP bij de aanschaf van ict-diensten consequent en op tijd ter sprake komt? Hebben jullie met alle relevante leveranciers inderdaad verwerkersovereenkomsten afgesloten?”Verder lezen over digitale veiligheid
Onbeantwoorde vragen
Kijk hier de webinar terug