Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs
Het beschermen van persoonlijke gegevens is in het onderwijs van cruciaal belang. Deze sector heeft tenslotte te maken met een minderjarige doelgroep. Leerlingen, maar ook oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More en medewerkers vertrouwen hun gegevens toe aan onderwijsinstellingen. Doordachte gegevensverwerking én goede gegevensbeveiliging vallen onder de verantwoordelijkheid van schoolbesturen en hun medewerkers. Het Normenkader Informatiebeveiliging en PrivacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More voor het Funderend Onderwijs (IBP FO) is bedoeld om schoolbestuurders, schoolleiders en IBP’ers te helpen met het versterken van hun informatiebeveiliging en verbeteren van de bescherming van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More.
Veel schoolbesturen zijn bezig met het organiseren van privacy en informatiebeveiliging binnen hun organisaties. Maar wat is goed of veilig genoeg? Hoe weet je dat je niets vergeet? En hoe kun je het aanpakken? In het Normenkader IBP FO beantwoorden we deze vragen eenduidig en passend voor het volledige funderend onderwijs.
Wat is een normenkader?
Een normenkader is een set van normen die beschrijven of je een bepaald thema of onderwerp op de juiste manier beheerst. Het is hierbij belangrijk dat de mate van beheersing objectief getoetst kan worden.
Opzet van het Normenkader IBP FO
Het Normenkader IBP FO bestaat momenteel uit 69 normen voor informatiebeveiliging. Later worden daar normen voor privacy aan toegevoegd. Deze normen geven een schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More inzicht in de maatregelen die nodig zijn voor een zo goed mogelijke bescherming tegen digitale dreigingen als datalekken en cyberaanvallen. Het normenkader bestaat uit een aantal onderdelen:
- Beschrijving van de normen: elke norm is voorzien van een korte toelichting, onder de noemer ‘Waarom doen we dit?’ Zo maken we duidelijk waarop schoolbesturen moeten letten op het gebied van informatiebeveiliging en privacy om de continuïteit, kwaliteit en veiligheid van hun onderwijs te borgen.
- Toetsingskader: het toetsingskader bevat diverse punten die met elkaar het minimumniveau vormen waar we als gehele sector en dus ook als individuele schoolorganisaties naartoe werken. Dit niveau is de ondergrens, hier moet elke schoolorganisatie in 2027 aan voldoen.
- Voorbeeldmaatregelen: voorgestelde activiteiten en toepassingen waarmee je als schoolbestuur aan het minimumniveau van de norm kunt voldoen.
Voldoen aan het normenkader
Met de voorbeeldmaatregelen adviseren we je hoe je aan de normen in het normenkader kunt voldoen. Op dit moment is het normenkader nog niet juridisch geborgd. Naar verwachting is in 2027 wel het geval. Dan moet je aan alle normen voldoen. Het schoolbestuur draagt voor alle zaken in het normenkader de eindverantwoordelijkheid. Dus ook voor de keuze van een leverancier die al aan de norm voldoet of die op een afgesproken termijn aan de norm zal voldoen.
Toetsingskaders
Voldoen aan het normenkader is niet van vandaag op morgen geregeld. Daarom is er per norm een aantal stappen vastgesteld, de toetsingskaders. Zo kun je stapsgewijs toewerken naar digitaal veilig onderwijs. Wanneer je aan het laatste punt voldoet, heb je de norm bereikt en voldoe je aan het minimumniveau. Alle normen bij elkaar vormen het normenkader waarop je getoetst wordt. Door processen goed in te richten, is het beschermen van persoonsgegevens of het reageren op securityincidenten geen toevalligheid meer. Het stelt besturen in staat mee te bewegen met nieuwe dreigingen en altijd de juiste maatregelen te nemen. Ook wanneer een nieuwe ict-leverancier in beeld komt of personeel wisselt of tijdelijk niet beschikbaar is.
Informeren van betrokkenen
Vooral bestuurders, schoolleiders en IBP’ers gaan met het normenkader aan de slag. Deze laatste groep moet inhoudelijk goed geïnformeerd zijn over de normen, om zo uitvoering te kunnen geven aan de voorbeeldmaatregelen. Vervolgens zullen overige medewerkers vooral bij toepassing te maken krijgen met de effecten van de (voorbeeld)maatregelen. Zij hoeven het normenkader niet zelf te kennen.
Het normenkader is ook door samenwerkingsverbanden te gebruiken. Samenwerkingsverbanden zijn evenzeer verantwoordelijk voor een goede omgang met persoonsgegevens en voor een stabiele dienstverlening. Door allemaal gebruik te maken van hetzelfde normenkader zorgen we voor uniformiteit in de sector.
Informeren van leveranciers
LeveranciersAanbieders van ict- of leermiddelen. More krijgen te maken met de effecten van het normenkader. Onderdeel hiervan is het managen van leveranciers in de ketenDe samenwerking in de onderwijsketen: van brancheorganisatie van educatieve uitgevers en softwareleveranciers tot koepelorganisaties van scholen. More. Bij het omschrijven van de (voorbeeld)maatregelen proberen we zoveel mogelijk onderscheid te maken tussen interne en (externe) uitbestede ict. Wanneer je voorbeeldmaatregelen uit het normenkader wilt toepassen, merken leveranciers dit. Bijvoorbeeld omdat je nieuwe eisen stelt of bepaalde vragen voor hen hebt. Het kan dan helpen om de context uit te leggen waarin je deze eisen en vragen stelt. Het normenkader kan je hierbij helpen. Zo maken ook leveranciers veilig digitaal onderwijs mogelijk. SIVON toetst of leveranciers de juiste maatregelen nemen.
Totstandkoming en beheer
Het Normenkader IBP FO is gebaseerd op het NBA-model, waar het normenkader van het mbo ook op gebaseerd is. De normen en het toetsingskader zijn een zoveel mogelijk letterlijke vertaling van het Engelstalige NBA-kader. De voorbeeldmaatregelen zijn toegespitst op de praktijk in het funderend onderwijs. Het Normenkader IBP FO is ontwikkeld in samenwerking met het onderwijs zelf en op initiatief van het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad. In een werkgroep van het Netwerk IBP hebben scholen input vanuit de praktijk voor voorbeeldmaatregelen aangeleverd en begrippen uit het normenkader geduid voor het onderwijs.
Het toetsingskader is gebaseerd op het huidige cyberdreigingsbeeld en het inzicht dat het primair en voortgezet onderwijs hier proactief op moeten acteren. Kennisnet geeft praktisch uitvoering aan de totstandkoming, doorontwikkeling en het beheer van het normenkader.
Hulp en ondersteuning
Omdat we begrijpen dat voldoen aan het normenkader de nodige inspanningen vraagt, zorgen we voor voldoende hulp en ondersteuning bij dit proces. Die ondersteuning varieert van voorbeelddocumenten voor beleid tot gezamenlijk leveranciersmanagement, en van documenten voor leraren met uitleg over veilig gedrag tot technische diensten voor veilige internetverbindingen en het veilig uitwisselen van persoonsgegevens. Om digitaal veilig onderwijs te kunnen bieden, zijn doordachte gegevensverwerking én goede gegevensbeveiliging van groot belang. Met het programma Digitaal Veilig Onderwijs (DVO) bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. De komende vier jaar bieden de samenwerkende partijen de schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Zo kunnen schoolbesturen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit. Op deze manier kun je voor het einde van 2027 het minimumniveau behalen.
Aan de slag
Ga je aan de slag met het Normenkader IBP FO, maar weet je niet waar je moet starten? Begin dan met de 11 basismaatregelen. Met deze basismaatregelen zet je eerste concrete stappen om jouw school digitaal veiliger te maken. Elk van deze maatregelen vermindert hoge veiligheidsrisico’s en digitale incidenten.
Bij iedere maatregel krijg je meer informatie over hoe je de maatregel treft en zie je aan welke normen je werkt. Voor sommige maatregelen ga je dus zelf aan de slag in je eigen school en voor andere ga je in gesprek met je leveranciers.
Met deze maatregelen breng je de basis op orde en zet je eerste stappen op enkele normen uit het normenkader. Daarna kun je aan de slag met het wegnemen van de andere risico’s. Het grote aantal normen is zo een stuk hanteerbaarder. In 2024 volgt een Groeipad, die als wegwijzer dient door het volledige normenkader.
Bekijk de 11 basismaatregelen om je informatiebeveiliging te verhogen, of download de pdf.
Vragen
Stel jouw vragen via IBP@kennisnet.nl. Op basis van de vragen die binnenkomen zorgen Kennisnet, SIVON, de PO-Raad en VO-raad voor nieuwe informatie in de vorm van bijvoorbeeld tekstuele uitleg of webinars.
