- Opinie
- |
- Informatiebeveiliging en privacy
- |
- po
- vo
Onderwijsinspectie: 'Digitale veiligheid is net zo belangrijk als fysieke en sociale veiligheid'
Hoeveel aandacht besteden schoolbesturen in hun jaarverslag aan digitale weerbaarheid en veiligheid? De Inspectie van het Onderwijs onderzocht dit voor de jaren 2021, 2022 en 2023 en bracht hierover het rapport Monitor digitale weerbaarheid en veiligheid uit. We spreken erover met Matthijs van den Berg, directeur Kennis bij de Onderwijsinspectie. “De aandacht voor digitale weerbaarheid en veiligheid neemt gestaag toe, een mooie trend.”
Door de redactie
Het onderwijs digitaliseert in vliegende vaart en dat brengt allerlei kansen maar ook risico’s met zich mee. Daarom is het essentieel dat ook besturen zich hiermee bezighouden, zegt Matthijs van den Berg, directeur Kennis bij de Inspectie van het Onderwijs. Daarbij is het verantwoorden in een jaarverslag geen doel op zich. “Voor ons is het een manier om te zien of een schoolbestuur de onderwerpen belangrijk genoeg vindt om erover te schrijven.”
Foto: Marieke Duijsters
Betekenisvol signaal
De Monitor digitale weerbaarheid en veiligheid laat zien dat schoolbesturen door de jaren heen steeds meer rapporteren. De Inspectie zal dit de komende jaren ook blijven monitoren. “Als je als school digitale weerbaarheid en veiligheid belangrijk vindt, hoort het ook in je verslaglegging terug te komen,” zegt Van den Berg. “Dat besturen steeds vaker rapporteren over digitale weerbaarheid en veiligheid op hun school, laat zien dat dit onderwerp voor ze leeft. Bovendien is het een betekenisvol signaal naar belanghebbenden als ouders en de Raad van Toezicht.”
Privacy versus cybersecurity
In 2021, 2022 en 2023 waren de po- en vo-besturen nog niet verplicht om te rapporteren. Van den Berg: “Door het toegenomen bewustzijn rond digitale weerbaarheid en veiligheid, hebben ze die stap al wel gezet. Wij verwachten dat nu de verplichting van kracht is, het percentage besturen dat dit doet verder zal stijgen.” Daarbij zijn er verschillen in meldingsbereidheid tussen basis- en middelbare scholen aan de ene en het vervolgonderwijs (mbo, ho en wo) aan de andere kant. Van den Berg: “Het primair, voortgezet en speciaal onderwijs is in de drie onderzochte jaren wat betreft rapportering nog niet zo ver als het vervolgonderwijs. Daarnaast schrijven deze besturen vaker over privacy-aangelegenheden en die in het vervolgonderwijs meer over cybersecurity.”
IBP vanaf nu in het jaarverslag
Vanaf verslagjaar 2024 moeten schoolbesturen in primair, voortgezet en speciaal onderwijs het thema informatiebeveiliging en privacy (IBP) in het jaarverslag opnemen. Om een beeld te krijgen van de huidige verantwoording heeft de inspectie de jaarverslagen van 2021, 2022 en 2023 onderzocht.
Hoe completer, hoe beter
Uit het rapport blijkt dus dat de onderwerpen waarover besturen rapporteren behoorlijk verschillen. Ook is er een verschil in hoe uitgebreid ze dit doen. Van den Berg. “En dan kun je zeggen: je mag blij zijn dát je het terugleest en het dus op de radar van een bestuur staat, maar liever zien we alle elementen van digitale veiligheid in het jaarverslag, zoals cybersecurity- en privacyaspecten en gedragscomponenten. Het liefst nog vergezeld van de genomen of te nemen maatregelen die het niveau van cybersecurity moeten verhogen. Hier geldt: hoe completer, hoe beter.”
Awarenesscampagnes
Het verantwoorden van digitale veiligheid en weerbaarheid draagt volgens de Onderwijsinspectie bij aan kwaliteitszorg. “Verantwoording is het sluitstuk van een professionele PDCA-cyclus, van interne tot en met externe verantwoording, en hoort onderdeel te zijn van je kwaliteit. We zien hiermee of het onderwerp bij besturen hoog op de agenda staat en of zij het belangrijk genoeg vinden om over te schrijven,” zegt Van den Berg. “Wij vinden het belangrijk dat scholen aan de voorkant zorgen dat de organisatie veilig en weerbaar is, bijvoorbeeld door middel van scholing van het personeel en awarenesscampagnes, maar bijvoorbeeld ook door aansluiting bij CERTs. Op het moment dat er incidenten plaatsvinden, ben je te laat.”
Gedragsmatige interventies
De hoeveelheid gedragsmatige interventies waarover wordt gerapporteerd is beperkt, ziet Van den Berg in de Monitor digitale weerbaarheid en veiligheid. “Terwijl die gedragskant minstens zo belangrijk is. Denk aan zaken als: wie is er verantwoordelijk, hoe zorg je voor bewustwording, hoe voor training. Veel incidenten hebben een interne oorzaak: mensen laten spullen liggen, er worden mails naar verkeerde personen gestuurd. En als er door zo’n verkeerd verstuurde mail een datalek ontstaat en een hele organisatie komt stil te liggen, is het cruciaal om daarop voorbereid te zijn. Heb je wanneer alles stilvalt bijvoorbeeld nog ergens een lijst met alle telefoonnummers?”
Verantwoording is het sluitstuk van een professionele PDCA-cyclus en hoort onderdeel te zijn van je kwaliteit.
Autoriteit Persoonsgegevens
Ook ziet Van den Berg in het rapport terug dat maar weinig besturen een incident rapporteren bij de Autoriteit Persoonsgegevens. “Besturen zijn wellicht bang dat dit het imago van de school zal schaden en van invloed zal zijn op het aantal nieuwe leerlingen dat zich aanmeldt. Die angst lijkt echter ongegrond; scholen die in openheid en transparantie hun lessen delen, hebben daar geen nadelige effecten van ondervonden. Door transparant te zijn, kun je met elkaar de stap vooruit maken. Je laat anderen zien: het is niet gek dat zoiets gebeurt. Daarbij schaad je het vertrouwen eerder door zaken onder de pet te houden dan door ze te delen en goed uit te leggen.”
Borg de digitale veiligheid
Schoolbesturen in het po en vo die informatiebeveiliging en privacy (IBP) nog niet hebben opgenomen in hun jaarverslag, adviseert Van den Berg het onderwerp serieus te nemen. “Het is niet meer te verantwoorden dat je op allerlei terreinen beleid voert en je verantwoordt, maar op dit cruciale terrein niet. Het is inmiddels duidelijk dat digitalisering in het onderwijs naast allerlei kansen ook dreigingen met zich meebrengt. Die kant moet je als school op orde brengen, of, als kleine organisatie: op orde laten brengen. Als je je als schoolbestuur verantwoordelijk voelt voor de fysieke en sociale veiligheid op je school, is het net zo logisch dat je de digitale veiligheid borgt. Het is allemaal even belangrijk.”
Normenkader IBP
Van den Berg vindt het dan ook belangrijk dat de het ministerie van OCW, de PO-Raad, VO-raad en Kennisnet recent een gezamenlijke oproep aan scholen hebben gedaan om te sturen op digitale veiligheid. Ook vindt hij het een goede ontwikkeling dat scholen stapsgewijs toewerken naar digitaal veilig onderwijs aan de hand van het Normenkader IBP. “Weten waar je staat begint met een zelfevaluatie. Door die toe te passen, kunnen scholen afstrepen wat ze al op orde hebben en wat ze nog te doen staat. Dat is absoluut een goede eerste stap. Het deel informatiebeveiliging van het normenkader is nog niet wettelijk verankerd, maar wel belangrijk om de digitale veiligheid op orde te brengen.”
Opvallende resultaten uit de analyse
In de analyse van de Monitor digitale weerbaarheid en veiligheid springt een aantal zaken in het oog, zowel in algemeen opzicht als per sector:
Algemeen
- Door de bank genomen rapporteren de besturen relatief weinig over gedragsmaatregelen die de kans op incidenten kunnen voorkomen.
- Ook geldt in alle sectoren dat kleinere besturen minder vaak rapporteren dan grotere.
- Digitale dreigingen noemen de besturen daarbij maar mondjesmaat; van de incidenten die zij wel vermelden, ligt de oorzaak meestal intern.
Verschillen tussen sectoren
- Per sector verschilt het zwaartepunt in de verslaglegging: in het funderend onderwijs ligt de focus vooral op privacy, in het mbo en het hoger onderwijs op cybersecurity.
- Een ander verschil tussen de sectoren, is dat waar de besturen in het mbo en het hoger onderwijs vooroplopen in hun verantwoording over digitale veiligheid en weerbaarheid, het primair en voortgezet onderwijs hierin achterblijven.