Het normenkader voor informatiebeveiliging en privacy is een onevenredig zware last voor kleine scholen. Henk van de Hoef van Privacy op School pleit voor een aanpak op maat.
Het Normenkader IBP is in 2023 opgesteld en gelanceerd om de veiligheid en privacy op scholen te verbeteren. Daarvoor zijn maar liefst 94 normen geformuleerd, 69 voor informatiebeveiliging en 25 voor privacy.
Ieder schoolbestuur moet al deze normen apart beoordelen en een plan van aanpak opstellen om in 2027 tenminste op niveau drie te komen. Dat geldt voor alle 7.000 scholen in het basis- en middelbaar onderwijs. Voor de grote schoolbesturen maar ook voor de zogenoemde éénpitters, waaronder ook de hele kleine dorpsschooltjes met rond de honderd leerlingen.
Henk van de Hoef, directeur van Privacy op School, ziet dagelijks hoeveel hoofdbrekers dit oplevert. “Een leerkracht op een basisschool die is doorgegroeid naar directeur en zelf nog twee dagen per week voor de klas staat, gaat hier simpelweg de tijd niet voor vinden.”
Op weg naar volwassenheidsniveau 3
De normen van het IBP zijn onderverdeeld in vijf volwassenheidsniveaus. Alle scholen in het funderend onderwijs moeten in 2027 volwassenheidsniveau 3 bereikt hebben. Van de Hoef ziet in de praktijk dat met name kleine scholen nog onvoldoende stappen in deze richting gezet hebben. “Het normenkader is zo’n enorme uitdaging, dat ze er voorlopig maar niet aan beginnen.”
Lees ook: Normenkader IBP vernieuwd
Normenkader IBP verdelen in hapklare brokken
Hij pleit ervoor de berg in ‘hapklare brokken’ aan te bieden. “Er zijn wel stappenplannen en groeipaden, maar die gaan voor kleine scholen het verschil niet maken.” Van de 94 normen is er een aantal die voor alle scholen prioriteit zouden moeten hebben. Een van de belangrijkste thema’s is goed risicomanagement. Scholen moeten systematisch vastleggen waar de grootste risico’s liggen en hoe deze worden beheerst.
Basisvoorwaarde voor informatieveiligheid
Een concreet voorbeeld is het proces rondom uitdiensttreding. Het komt nog te vaak voor dat medewerkers die uit dienst zijn niet direct uit de schoolsystemen worden verwijderd. Daardoor kunnen zij soms nog jarenlang toegang houden tot leerlinggegevens. Het wegnemen van dit soort risico’s is een basisvoorwaarde voor informatieveiligheid.
Een ander voorbeeld is het implementeren van tweefactor authenticatie (2FA). Die wordt nog lang niet altijd door iedereen gebruikt. “De veiligheid vergroten lukt niet als je de voordeur wagenwijd openzet. Die voordeur moet ook bij kleine scholen gesloten zijn.”
Lees ook: Privacy: vijf goede voornemens voor het nieuwe schooljaar
Hele jaar op de agenda
Nu worden scholen slechts één keer per jaar aan het normenkader herinnerd, vaak via de accountant die er iets over wil opnemen in het jaarverslag. “En dat terwijl privacy en beveiliging het hele jaar hoog op de agenda moeten staan.”
