Doorgaan naar hoofdinhoud
Kennisnet-logo-25-jaar
  • Opinie
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo

‘Scholen denken onterecht dat ze niet interessant zijn voor hackers'

Organisaties digitaal veilig en weerbaar maken: dat is de missie van cyberexpert Ismael Ahmidout. We spraken hem over het Normenkader IBP en de veranderingen die scholen nodig hebben om hun digitale veiligheid te verbeteren. "Er valt nog veel te winnen en daar kun je vandaag mee beginnen, ook als je geen ICT-expert bent."

Logo Kennisnet

Door de redactie

22 juni 2026
7 minuten lezen

“Ik heb mensen ten einde raad gezien door de gevolgen van een cyberaanval voor hun organisatie. Dat is een ervaring die ik niet snel ga vergeten,” zegt Ismael Ahmidout. Als cyberexpert, ethisch hacker en incident handler maakte hij van dichtbij cyberaanvallen en crisissituaties mee. Hij gaf jarenlang leiding aan cybersecurityteams in de financiële sector, een van de zwaarst gereguleerde sectoren als het om digitale veiligheid gaat, en helpt nu kleine en grote opdrachtgevers om digitaal weerbaar te worden. Op het aanstaande congres OnderwijsInzicht Focus over het Normenkader IBP is hij keynote-spreker. Daar laat hij zien hoe hackers te werk gaan en waarom bewustzijn rond cyberveiligheid juist voor scholen zo belangrijk is.

Niet interessant voor hackers?

“Ik woon in Amsterdam en heb bij een aantal scholen de jaarverslagen bekeken,” zegt Ahmidout. “Alle scholen moeten gaan voldoen aan de normen uit het Normenkader IBP. Sommige scholen rapporteren er al over, bij andere zie ik dat nog niet terug. Ik denk dat scholen, ondanks enkele bekende verhalen van hacks, vaak nog de indruk hebben dat ze niet echt interessant zijn voor hackers. Wat ik ook hoor: ‘Het is toch al jaren goed gegaan.’ Maar dat betekent niet dat je het al die jaren ook echt goed hebt gedaan. Dat is een verschil!”

Ismael Ahmidout tijdens OnderwijsInzicht Focus

Tijdens ‘OnderwijsInzicht Focus: doorpakken met Normenkader IBP’ op 2 oktober laat Ahmidout zien hoe hackers te werk gaan en waarom cybersecurity zo belangrijk is. Na zijn keynote is er ruime keuze uit workshops die ingaan op IBP-onderwerpen, zoals bewustzijn creëren, een roadmap opstellen of omgaan met privacyrisico’s.
Meer info en aanmelden voor OnderwijsInzicht Focus

Digitale veiligheid op scholen kan beter

“Schoolbesturen gaan er wellicht van uit dat de cyberveiligheid wel op orde is, of dat het zo’n vaart niet zal lopen. Voor een aantal scholen zal dit zeker kloppen, maar ga ervan uit dat er nog veel te verbeteren valt. Ook ouders verwachten van een school dat alles rond privacygevoelige gegevens goed geregeld is. Uit het sectorbeeld dat onlangs verscheen, blijkt dat het niveau van digitale veiligheid laag is. Dan denk ik: hier is werk aan de winkel.”

“De impact van een veiligheidsincident is enorm. Bij een datalek zijn leerlingen, ouders én docenten gedupeerd, en de organisatie als geheel. De potentiële reputatieschade voor je organisatie is groot.”

“Dat de dreiging toeneemt, blijkt ook uit het Dreigingsbeeld Cybersecurity 2025: het aantal cyberaanvallen in het primair en voortgezet onderwijs is sinds 2023 gestegen, met phishing, malware en ransomware als veelvoorkomende vormen.”

Volwassenheidsniveau digitaal veilige schoolomgeving

In 2025 is een eerste sectorbrede verkenning gedaan om te onderzoeken in hoeverre scholen in het po en vo voldoen aan het Normenkader IBP. Uit deze verkenning komt een beeld naar voren: het gemiddelde volwassenheidsniveau op scholen is 1,7 op een schaal van 1 tot 5. Eind 2029 moeten ze minimaal het volwassenheidsniveau 3 uit het normenkader hebben bereikt.

Bekijk de sectorverkenning 'IBP in beeld'


Digitale veiligheid vraagt om gedragsverandering

“Voorheen hoefden scholen zich minder bezig te houden met security-eisen en de rapportage daarover. Dat is dus een grote verandering voor een schoolbestuur. En er is een rol weggelegd voor bijna iedereen in de organisatie. Het is geen puur ICT-verhaal, het gaat ook om gedragsverandering bij mensen en het aanpassen en implementeren van processen.”

“Als medewerkers al tien jaar werken zoals ze werken, kun je niet verwachten dat dat ineens verandert. Je moet de noodzaak duidelijk maken en draagvlak creëren. Er is een Normenkader IBP, en ja, daar moet iedereen zich aan gaan houden. Maar dat betekent niet dat het vanzelf gebeurt. Het is niet genoeg als een bestuurder zegt: dit wordt het nieuwe proces, zo werken we nu. Je moet echt aandacht geven aan die gedragsverandering. En het management moet het goede voorbeeld geven. Als de leiding niet meedoet en de boodschap niet uitdraagt, doet dat afbreuk aan de hele transitie.”

Zorgen voor een digitaal veilige school, dat vraagt bewustzijn van iedereen. Van bestuurder tot docent, van concierge tot HR-medewerker

Mens, proces, techniek

“Voor goede cybersecurity hangt alles met elkaar samen; het gaat om het totaal aan veiligheidsmaatregelen. Je kunt dat opdelen in drie categorieën: de mens, het proces en de techniek.”

“Een voorbeeld van de mens-kant: werken aan je awareness is enorm belangrijk. Welke gevaren kun je als medewerker tegenkomen zonder dat je je ervan bewust bent? Phishingmails bijvoorbeeld, hoe herken je ze? Vroeger zeiden we: ‘voorzichtig met mails als je de afzender niet vertrouwt.’ Maar je moet áltijd voorzichtig zijn, want ook bij een vertrouwde leverancier kan een lek zitten.”

“Bij een incident is ook je proces enorm belangrijk. Wat moet er op dat moment gebeuren? Waar meld je het? Welke afspraken heb ik met die partij gemaakt over gegevens, en houdt die partij zich daaraan? Zijn je procedures en processen op orde, dan kun je snel handelen en veel leed voorkomen.”

“De techniek, ten slotte, gaat om de basismaatregelen die telkens terugkomen. Zorg dat meervoudige authenticatie aanstaat, houd je software en systemen up-to-date en deel je netwerk verstandig in. Maak back-ups, maar test ook regelmatig of je daar het systeem écht mee kunt herstellen. Juist bij een ransomware-aanval is dat het verschil tussen een vervelende dag en een ramp.”

“Pas als mens, proces en techniek op elkaar aansluiten, ben je echt weerbaar.”

Verschillende hackers, verschillende motieven

Ahmidout onderscheidt verschillende typen hackers:

  • Criminelen die gegevens stelen of systemen gijzelen met ransomware om financieel voordeel te behalen.
  • Hacktivisten die vanuit ideologische of politieke overtuigingen websites verstoren of aanpassen om aandacht te vragen voor een bepaalde boodschap.
  • Statelijke actoren, zoals overheden of door staten gesteunde groepen, die andere landen bespioneren of saboteren via cyberaanvallen.
  • Opportunistische hackers die actief op zoek gaan naar kwetsbare systemen en daar proberen binnen te dringen waar de beveiliging tekortschiet.

Niet alles hoeft ineens

“Er komt veel bij kijken om je digitale veiligheid op orde te krijgen, maar laat je daardoor niet ontmoedigen. Zet kleine, werkbare stappen, maar zét ze wel. Je hoeft niet alles in één jaar voor elkaar te hebben. Begin met een plan en een roadmap: wie is waarvoor verantwoordelijk, waar willen we heen en welk pad bewandelen we? Het bestuur is eindverantwoordelijk, maar in de uitvoering moeten alle taken goed belegd zijn. Iedereen moet zijn rol kennen. Want cyberveiligheid gaat echt niet alleen over ICT, het is een schoolbreed vraagstuk.”

Informatie en awareness rond cybersecurity

“Het zou mooi zijn als scholen informatieavonden over cybersecurity en cyberweerbaarheid organiseren voor ouders en leerlingen. Daar krijgen ze informatie en kunnen ze hun vragen stellen. Het is een mooie manier om het onderwerp zichtbaar te maken; ik kan het iedere school aanraden.”

“Zorg wel dat je het echt interessant maakt. Ga bijvoorbeeld in op een concreet geval van phishing en hoe je daarmee bent omgegaan. Of op de online wereld waarin jongeren leven, een kwetsbare doelgroep. Ze trappen in nepwebsites en worden via nepaccounts op TikTok en Instagram benaderd voor criminele activiteiten. En al komt maar een deel van de ouders, dan geef je toch een signaal af: mijn school vindt dit blijkbaar belangrijk. Ook dat draagt bij aan de awareness.”

Meer over digitaal veilige scholen

Normenkader IBP en Groeipad

Hoe zorg je ervoor dat jouw leerlingen en medewerkers veilig blijven leren en werken? Breng stap voor stap de digitale veiligheid van je school op orde. Gebruik hiervoor de tools uit het Normenkader IBP en bijbehorende Groeipad.
Naar Normenkader IBP en het Groeipad

OnderwijsInzicht Focus

Het congres ‘OnderwijsInzicht Focus: doorpakken met het Normenkader IBP’ op 2 oktober is een dag vol inspiratie, praktijkvoorbeelden, tools en bruikbare tips over het normenkader. Voor alle bestuurders, schoolleiders, ict’ers en andere uit het funderend onderwijs die een bijdrage leveren aan een digitaal veilige school.
Meer info en aanmelden voor OnderwijsInzicht

Programma DVO

Het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad werken nauw samen om het onderwijs te ondersteunen bij het op orde brengen van die digitaal veilige schoolomgeving. Dat doen zij in het programma Digitaal Veilig Onderwijs.
Ga naar Digitaal Veilig Onderwijs

De onderwerpen waarover wij publiceren

Artificial intelligence Beleid en organisatie Digitale geletterdheid Ethiek Informatiebeveiliging en privacy Informatiemanagement Leermiddelen Professionalisering leraar Technologische innovatie