Alles over het normenkader en een sterk IBP-beleid

Wat wordt er van je schoolbestuur verwacht?

Het normenkader is een middel dat helpt bij het toewerken naar digitaal veilig onderwijs. Door de beveiligingsrisico’s te reduceren, verhoog je stap voor stap het volwassenheidsniveau van je schoolbestuur. Eind 2027 moet ieder schoolbestuur voldoen aan tenminste volwassenheidsniveau 3. Dit betekent dat jullie alle risico’s op het gebied van informatiebeveiliging en privacy in kaart hebben gebracht en maatregelen hebben genomen om deze risico’s acceptabel te maken. In totaal zijn er 5 niveaus.

Start met deze belangrijke technische basismaatregelen

We adviseren je om in ieder geval vast aan de slag te gaan met de onderstaande technische basismaatregelen. Let op: met deze maatregelen ben je al goed op weg, maar onthoud dat er nog meer maatregelen zijn die je moet nemen.

• Richt de Microsoft 365-tenant veilig in. Binnenkort volgt een handleiding met tips voor een veilige inrichting.
• Controleer op regelmatige basis (jaarlijks) de veiligheid en alle rollen en rechten binnen jullie omgeving. 
  Tip: tijdens de Microsoft 365 APK loopt onze ervaren consultant de Microsoft 365-omgeving helemaal na en krijgen jullie uitgebreid advies.
• Stel multifactorauthenticatie (MFA) in. 
  Tip: wanneer jullie Entra ID (voorheen Azure AD) gebruiken als Single Sign-On naar diensten zoals ParnasSys en AFAS, is MFA daar direct ingeregeld.
• Voer een sterk wachtwoordbeleid in.
• Regel een goede back-up.

Wat kun je van APS IT-diensten verwachten?

Onze bijdrage aan het normenkader en het verhogen van de digitale weerbaarheid van scholen richt zich vooral op bepaalde technische maatregelen en het regelen van de juiste contracten met leveranciers. Wij helpen niet bij het opstellen van een IBP-beleid, daar moet je als schoolbestuur zelf de regie voor nemen. De experts van Privacy op School kunnen hier wel bij ondersteunen. We brengen je graag met hen in contact!

Ook nemen wij deel aan het IBP-platform: een samenwerking met leveranciers en het programma Digitaal Veilig Onderwijs om scholen zo goed mogelijk ondersteunen bij het normenkader IBP.

Wat wij als APS IT-diensten verder bieden:

• een uitgebreid licentieportfolio dat je in staat stelt veilige, technische maatregelen te nemen;
• ondersteuning bij het maken van de juiste licentiekeuze van onze ervaren schooladviseurs;
• verwerkersovereenkomsten die wij vergelijken met de modelovereenkomst van het Privacyconvenant en die van de Europese Commissie uit 2021: we bieden in onze webwinkel alleen leveranciers aan met een verwerkersovereenkomst die naar onze mening voldoet aan de eisen.
• ondersteuning bij een implementatie van veel van onze licenties, zodat je zeker weet dat de omgeving veilig wordt ingericht en uitgerold (denk aan Microsoft 365, Zivver, iBabs, LastPass en Adobe);
• een APK op de gehele Microsoft 365-omgeving waarbij onze experts controleren of alle beveiligingsinstellingen goed staan en advies geven ter verbetering;
• overeenkomsten met partijen zoals Holm Security en Cloud Life die helpen jullie hele infrastructuur te analyseren en beveiligen;
• overeenkomst met Exclaimer: een veilige oplossing voor centraal beheer van e-mailhandtekeningen, waarbij het ook mogelijk is om disclaimers te plaatsen in de handtekeningen.
• trainingen voor beheerders over veilig beheren en een Masterclass over het normenkader;
• overeenkomsten met partijen die technische nulmetingen doen op je ICT-omgeving en adviezen geven ter verbetering;
• voorlichting via nieuwsbrieven, LinkedIn, informatiebijeenkomsten en webinars over veilig gebruik van de technologie die we verkopen;
• handvatten voor BIC’ers om een IBP-beleid te ontwikkelen in hun praktijk via ons BIC-netwerk.

Meer over IBP en het normenkader

ICT is onmisbaar geworden in het onderwijs. Voor de continuïteit van jullie onderwijs en de bedrijfsvoering is het cruciaal dat de ICT altijd op orde is en weerbaar tegen dreigingen. Daarom ben je als schoolbestuur verantwoordelijk voor een goed informatiebeveiligings- en privacybeleid (IBP-beleid). Het doel van zo’n IBP-beleid is om de:

• continuïteit van het onderwijs te waarborgen. De data moet altijd beschikbaar en toegankelijk zijn, bijvoorbeeld na een cyberaanval, storing of natuurramp.
• integriteit van (leerling)data te waarborgen. De data moet altijd kloppen, denk aan persoonlijke cijfers, salarissen en zorggegevens. 
• vertrouwelijkheid van gegevens te waarborgen. De data mag alleen beschikbaar zijn voor de mensen die daar toegang tot hebben.

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs  is bedoeld om schoolbesturen te helpen met het versterken van hun IBP-beleid en het verbeteren van de bescherming van persoonsgegevens. In dit normenkader staan technische en organisatorische maatregelen die ook jullie moeten opstellen én implementeren. Allemaal om de weerbaarheid tegen dreigingen te verhogen!

Het normenkader bestaat nu uit 69 normen voor informatiebeveiliging. Later worden daar de normen voor privacy aan toegevoegd.

Het is belangrijk dat bestuurders zich écht bewust zijn van hun verantwoordelijkheid voor dit normenkader en een goed IBP-beleid. De accountant zal ernaar vragen of er kan een auditor langskomen voor controle. Denk daarom goed na over jullie aanpak en bepaal hierbij ook de rol van de bovenschoolse ICT’er.