Werken aan digitaal veilig onderwijs: gebruik het Groeipad bij het Normenkader IBP en de voorbeelddocumenten 

Het Normenkader Informatiebeveiliging en Privacy (IBP) is voor schoolbesturen in het primair en voortgezet onderwijs het startpunt voor digitaal veilig onderwijs. Scholen die hiermee aan de slag gaan, kunnen het ondersteuningsaanbod in het Groeipad gebruiken.

Het Normenkader IBP bestaat uit normen voor informatiebeveiliging en privacy. Deze normen geven inzicht in de maatregelen die nodig zijn om je school zo goed mogelijke te beschermen tegen digitale dreigingen en privacyrisico’s. Het Groeipad helpt je om logisch, gestructureerd en overzichtelijk manier met de normen aan de slag te gaan.

Stapsgewijs werken aan digitale veiligheid met Groeipad

Het Groeipad bestaat uit vijf fases met verschillende deelprojecten. In elk deelproject zijn normen gebundeld die bij elkaar horen en die je tegelijkertijd uitvoert. Binnen elk deelproject vind je een stapsgewijze aanpak en voorbeelddocumenten om aan de normen te werken die bij het deelproject horen.

De deelprojecten volgen elkaar logisch op: de resultaten van het ene deelproject vormen de input voor het volgende. Door het Groeipad te volgen en aan de slag te gaan met de deelprojecten, werk je gestructureerde aan digitaal veilig onderwijs.

Fase 1 van het Groeipad

In fase 1 van het Groeipad leg je de basis. Je scherpt de randvoorwaarden aan die nodig zijn om aan de normen uit het Normenkader IBP te voldoen. Zonder de resultaten uit deze fase kun je niet verder werken aan de deelprojecten in de volgende fases. In deze fase ga je bijvoorbeeld aan de slag met beleid en strategie bepalen voor IBP, je stelt een roadmap op en je zorgt voor een overzicht van je systemen en hardware.

Fase 2 van het Groeipad

In fase 2 richt je je op deelprojecten die de grootste risico’s afdekken en je school direct beter beschermen. Je brengt de risico’s voor jouw school in kaart, zorgt ervoor je dat je een proces hebt om met incidenten en datalekken om te gaan en je gaat aan de slag met het verantwoord uitwisselen van persoonsgegevens. 

Fase 3 van het Groeipad

In fase 3 breid je de maatregelen uit die je in fase 2 hebt genomen. Net als in fase 2 speelt risicoafweging hier een belangrijke rol: normen die de grootste risico’s afdekken krijgen prioriteit. In deze fase ga je bijvoorbeeld aan de slag met het bewaren en vernietigen van gegevens, het opsporen en beperken van kwetsbaarheden en het beveiligen van werkplekken en mobiele apparaten.  

Fase 4 van het Groeipad

De belangrijkste informatiebeveiligings- en privacyrisico’s zijn via de deelprojecten in voorgaande fases afgedekt. In deze fase ga je verder verfijnen om het digitaal veilig werken en leren nog beter te verankeren in je organisatie. Zo werk je aan het uitvoeren van logging en monitoring, geautomatiseerde besluitvorming verantwoorden gebruiken en privacy by design en privacy by default toepassen.

Fase 5 van het Groeipad

In de laatste fase van het Groeipad zet je de puntjes op de i. De belangrijkste onderdelen voor digitaal veilig onderwijs zijn op orde en de focus ligt op optimalisatie. Je verbetert maatregelen en processen waar nodig en laat door middel van onafhankelijke toetsing onderzoeken of je processen nog voldoen. 

Iedereen digitaal veilig in 2030

In november 2025 riep demissionair staatssecretaris Koen Becking schoolbesturen in het po en vo op om aan de slag te gaan met digitaal veilig onderwijs. Het realiseren van een digitaal veilige schoolomgeving vraagt direct actie.

Vanaf 1 januari 2027 moet je als schoolbestuur via een zelfevaluatie inzicht hebben in je positie ten opzichte van het Normenkader IBP. Ook moet er dan een plan liggen om volwassenheidsniveau 3 op alle normen te bereiken. Uiterlijk per 1 januari 2030 moeten alle scholen op alle normen voldoen aan dit niveau. Gezien de urgentie geldt: hoe eerder je een digitaal veilige omgeving realiseert, hoe beter.

Weten waar je staat? Start met een zelfevaluatie

Heb je nog geen zicht op waar je staat ten opzichte van het Normenkader IBP? Begin dan met een zelfevaluatie. Dat kan op verschillende manieren. Bijvoorbeeld via GRC-tooling (software die organisaties helpt bij het beheren van hun governance, risico’s en compliance-activiteiten), een nulmeting of ‘assessment’ van een marktpartij of een andere methode. Of je kunt de Kennisnet-tool Zelfevaluatie Normenkader IBP gebruiken. Deze gratis tool helpt je laagdrempelig te bepalen waar je staat ten opzichte van het Normenkader IBP. Let op: de tool is geen vervanging voor GRC-tooling. Gebruik je al een GRC-tool of andere methode voor de zelfevaluatie? Dan ben je goed op weg en kun je dit blijven gebruiken. Er is meer dan één manier om een zelfevaluatie te doen. 

Wegwijs in het Normenkader IBP

Speciaal voor kleine schoolbesturen en éénpitters organiseert SIVON de 5-daagse ‘Wegwijs in het Normenkader IBP’. Voor kleine schoolbesturen en éénpitters is het vaak lastig om tijd vrij te maken voor informatiebeveiliging en privacy op school. Deze 5-daagse helpt je hierbij. Na het volgen ervan heeft jouw schoolbestuur een stevige basis voor het IBP-beleid.

Programma Digitaal Veilig Onderwijs

De deelprojecten bij het Groeipad maken deel uit van het ondersteuningsaanbod van het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het Normenkader IBP. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.