Alles over het normenkader en een sterk IBP-beleid

Wat wordt er van je schoolbestuur verwacht?

Het normenkader is een middel dat helpt bij het gestructureerd toewerken naar digitaal veilig onderwijs. Door de beveiligingsrisico’s te reduceren, verhoog je stap voor stap het volwassenheidsniveau van je schoolbestuur. Eind 2027 moet ieder schoolbestuur voldoen aan tenminste volwassenheidsniveau 3. Dit betekent dat jullie alle risico’s op het gebied van informatiebeveiliging en privacy in kaart hebben gebracht en maatregelen hebben genomen om deze risico’s acceptabel te maken. In totaal zijn er 5 niveaus.

Start met deze belangrijke basismaatregelen

We adviseren je om in ieder geval vast aan de slag te gaan met de onderstaande (technische) basismaatregelen. Let op: met deze maatregelen ben je al goed op weg, maar onthoud dat er nog meer maatregelen zijn die je moet nemen.

• Richt de Microsoft 365-tenant veilig in. Binnenkort volgt een handleiding met tips voor een veilige inrichting.
• Controleer op regelmatige basis (jaarlijks) de veiligheid en alle rollen en rechten binnen jullie omgeving. 
  Tip: tijdens de Microsoft 365 APK loopt onze ervaren consultant de Microsoft 365-omgeving helemaal na en krijgen jullie uitgebreid advies.
• Stel multifactorauthenticatie (MFA) in. 
  Tip: wanneer jullie Entra ID (voorheen Azure AD) gebruiken als Single Sign-On naar diensten zoals ParnasSys en AFAS, is MFA daar direct ingeregeld.
• Voer een sterk wachtwoordbeleid in, bijvoorbeeld met een wachtwoordmanager zoals LastPass.
• Regel een goede back-up.

Wat kun je van APS IT-diensten verwachten?

Onze bijdrage aan het normenkader en het verhogen van de digitale weerbaarheid van scholen richt zich vooral op bepaalde technische maatregelen en het regelen van de juiste contracten met leveranciers. Wij helpen niet bij het opstellen van een IBP-beleid, daar moet je als schoolbestuur zelf de regie voor nemen. De experts van Privacy op School kunnen hier wel bij ondersteunen. We brengen je graag met hen in contact! Bekijk en download ook deze handige checklist voor het normenkader van Privacy op School.

Ook nemen wij deel aan het IBP-platform: een samenwerking met leveranciers en het programma Digitaal Veilig Onderwijs om scholen zo goed mogelijk ondersteunen bij het normenkader IBP.

Wat wij als APS IT-diensten verder bieden:

• een uitgebreid licentieportfolio dat je in staat stelt veilige, technische maatregelen te nemen;
• ondersteuning bij het maken van de juiste licentiekeuze van onze ervaren schooladviseurs;
• verwerkersovereenkomsten die wij vergelijken met de modelovereenkomst van het Privacyconvenant en die van de Europese Commissie uit 2021: we bieden in onze webwinkel alleen leveranciers aan met een verwerkersovereenkomst die naar onze mening voldoet aan de eisen.
• ondersteuning bij een implementatie van veel van onze licenties, zodat je zeker weet dat de omgeving veilig wordt ingericht en uitgerold (denk aan Microsoft 365, Zivver, iBabs, LastPass en Adobe);
• een APK op de gehele Microsoft 365-omgeving waarbij onze experts controleren of alle beveiligingsinstellingen goed staan en advies geven ter verbetering;
• overeenkomsten met partijen zoals Holm Security en Cloud Life die helpen jullie hele infrastructuur te analyseren en beveiligen;
• overeenkomst met YourSafetynet: een tool waarmee jullie projectmatig aan de slag kunnen gaan met het normenkader en waarin jullie documentatie zoals verwerkingsafspraken, inzageverzoeken en (beleids)documenten veilig kunnen opslaan en beheren;
• overeenkomst met Exclaimer: een veilige oplossing voor centraal beheer van e-mailhandtekeningen, waarbij het ook mogelijk is om disclaimers te plaatsen in de handtekeningen.
• trainingen voor beheerders over veilig beheren en een Masterclass over het normenkader;
• overeenkomsten met partijen die technische nulmetingen doen op je ICT-omgeving en adviezen geven ter verbetering;
• voorlichting via nieuwsbrieven, LinkedIn, informatiebijeenkomsten en webinars over veilig gebruik van de technologie die we verkopen;
• handvatten voor BIC’ers om een IBP-beleid te ontwikkelen in hun praktijk via ons BIC-netwerk.

Het normenkader IBP en accountants

Accountants maken onderscheid tussen bedrijfsrisico’s (risico dat de organisatie strategische doelstellingen niet haalt en/of financiële schade leidt) en risico’s voor de jaarrekening (risico dat de jaarrekening een materiële fout bevat). Het niet op orde hebben van de beveiliging wordt gezien als een bedrijfsrisico, omdat goede beveiliging belangrijk is voor het voortbestaan van de stichting.

Accountants houden vanuit hun natuurlijke adviesfunctie over dit onderwerp met name interviews met hun klanten. Voor applicaties die direct hebben invloed op de jaarrekening (het financieel systeem, salarissysteem enzovoort) hebben zij een verdergaande verantwoordelijkheid, omdat uit deze systemen transacties voortkomen die tot de jaarrekening leiden. 

De gesprekken met accountants (bijvoorbeeld met de FG’er) rondom het normenkader IBP gaan vooral over de mate waarin stichtingen compliant zijn aan de gestelde informatiebeveiliging- en privacynormen. Vanuit deze gesprekken vormt de accountant een beeld van hoe privacy aandacht krijgt binnen het schoolbestuur en of dat voldoende is. Eventueel vragen zij hier extra aandacht voor in hun rapportages aan het bestuur en toezichthoudend orgaan. Volgens accountants begint het meestal met het in beeld brengen van huidige situatie (een nulmeting). Er wordt dus ook gevraagd aan de FG’er of deze nulmeting heeft plaatsgevonden.

Meer over IBP en het normenkader

ICT is onmisbaar geworden in het onderwijs. Voor de continuïteit van jullie onderwijs en de bedrijfsvoering is het cruciaal dat de ICT altijd op orde is en weerbaar tegen dreigingen. Daarom ben je als schoolbestuur verantwoordelijk voor een goed informatiebeveiligings- en privacybeleid (IBP-beleid). Het doel van zo’n IBP-beleid is om de:

• continuïteit van het onderwijs te waarborgen. De data moet altijd beschikbaar en toegankelijk zijn, bijvoorbeeld na een cyberaanval, storing of natuurramp.
• integriteit van (leerling)data te waarborgen. De data moet altijd kloppen, denk aan persoonlijke cijfers, salarissen en zorggegevens. 
• vertrouwelijkheid van gegevens te waarborgen. De data mag alleen beschikbaar zijn voor de mensen die daar toegang tot hebben.

Het Normenkader Informatiebeveiliging en Privacy is bedoeld om schoolbesturen te helpen met het versterken van hun IBP-beleid en het verbeteren van de bescherming van persoonsgegevens. In dit normenkader staan technische en organisatorische maatregelen die jullie moeten opstellen én implementeren. Allemaal om de weerbaarheid tegen dreigingen te verhogen!

Het is belangrijk dat bestuurders zich écht bewust zijn van hun verantwoordelijkheid voor dit normenkader en een goed IBP-beleid. De toezichthouder zal ernaar vragen of er kan een auditor langskomen voor controle. Denk daarom goed na over jullie aanpak en bepaal hierbij ook de rol van de bovenschoolse ICT’er.