Normenkader moet veiligheid leerlingen ook online garanderen

Frits Hoekstra is voorzitter van de regiegroep ICT, een groep van bestuurders uit het primair en voortgezet onderwijs, die samen nadenken over alles wat met ICT te maken heeft. Zij fungeren nu ook als klankbord voor het Programma Digitaal Veilig Onderwijs. “Wij inventariseren wat er nodig is om het digitaal onderwijs zo veilig mogelijk te maken. Weten medewerkers bijvoorbeeld genoeg over wat er achter de programma’s zit? Zijn ze zich bewust van risico’s rond privacy? Niet alleen de kansen en mogelijkheden, maar ook de risico’s en bedreigingen. Daarover hebben we een advies geschreven dat onder meer ingaat op informatiebeveiliging en privacy.”

Afspraken

Het normenkader heeft als doel om met elkaar af te spreken wat de scholen in het primair en voortgezet onderwijs minimaal moeten organiseren om te kunnen groeien naar een veilige omgeving. “Als scholen dat hebben georganiseerd, hebben ze gedaan wat ze konden. Ook dan lopen ze nog steeds het risico om gehackt te worden, maar dan is er in ieder geval ook goede achtervang geregeld. Het programma moet er bovendien voor zorgen dat iedereen in het onderwijs weet wat hij moet doen.”

Grootste risico’s

Wat zijn dan de grootste risico’s die scholen lopen? Allereerst betreft het de privacy van de leerlingen en medewerkers die gevaar loopt vanwege hacks en ransomware. Bovendien moeten medewerkers zich bewust zijn van de noodzaak om zorgvuldig met gegevens om te gaan. “Zet je je laptop op stand-by als je de klas uitloopt? Open je je laptop iedere keer met een wachtwoord? Laat je wel eens een adreslijst op je bureau slingeren? Klik je wel eens op een verkeerde link? Het risico van het aanklikken van een verkeerde link is dat het onderwijs stil komt te liggen,” legt Frits uit.

Een potentieel gevaar kan ook uit onverwachte hoek komen: “Kinderen krijgen veel lesmateriaal digitaal aangeboden. Een voordeel is dat dit lesmateriaal adaptief is. Het nadeel is alle artificiële intelligentie die erachter zit: weet je wel wat er achter dat programma gebeurt?” Het grootste gevaar komt volgens Frits toch uit de hoek van de hackers: “Bij een DDos-aanval stuurt een hacker zoveel informatie tegelijk richting je netwerk, dat alles dichtslibt en je het internet niet meer kunt gebruiken. Of de hacker die een gat in je beveiliging ontdekt, ransomware op je computer achterlaat en zo het systeem van je organisatie dichtzet. Vervolgens vragen ze je een bedrag te betalen, om die blokkade op te heffen. Daarbij zijn er over een paar jaar vast risico’s die we nu nog niet kunnen bedenken.”

ICT brandweer

Het normenkader bevat zowel technische als beleidsuitspraken, bijvoorbeeld afspraken over de omgang met ICT en over manieren om de bewustwording bij medewerkers over de risico’s van ICT te vergroten. Bovendien bevat het normenkader informatie over het aanstellen van een Computer Emergency Response Team (CERT), een gespecialiseerd team van ICT-professionals, dat snel kan ingrijpen bij een beveiligingsincident op een computer of in het netwerk. Op het moment dat er iets gebeurt, moet je die 24/7 kunnen bellen. Zij zorgen dat hackers niet bij de gegevens kunnen en krijgen het systeem weer up-and-running. “Een CERT is een soort brandweer: die voorkomt dat de brand niet groter wordt. Maar zelf blijf je verantwoordelijk voor het ophangen van de rookmelders en aangeven van de vluchtroutes.”

Sectorbrede aanpak

Het Programma Digitaal Veilig Onderwijs wordt wel bewust vanuit de hele sector opgepakt. “Uitgevers kunnen vaak meer informatie uit een systeem halen dan ze zelf doorhebben. Hen daarop wijzen kan alleen gezamenlijk, als sector. Ook met Google hebben we afspraken gemaakt als sector, bijvoorbeeld over de privacy van leerlingen. Dat had een stichting individueel nooit kunnen doen.”

De overheid heeft inmiddels 6 miljoen euro geïnvesteerd in het Programma Digitaal Veilig Onderwijs. Voor het samenstellen van het normenkader is en wordt overlegd met de PO- en VO-raad en de sector zelf. Ook wordt gebruik gemaakt van kennis van gemeenten, universiteiten, hbo’s en mbo’s. Zo fungeren ICT-coördinatoren en IBP-medewerkers als klankbord. Frits: “Gemeentes hebben gezamenlijk al een heel traject achter de rug en een normenkader opgesteld. Zij hebben ook onderling afspraken gemaakt over de CERT, ofwel de ‘brandweer’.”

Oplevering eerste versie normenkader

Momenteel is de eerste versie van het normenkader gepubliceerd en zal het in de algemene ledenvergaderingen van de stichtingen en sectorraden op de agenda komen. Het programma helpt bestuurders en leidinggevenden ook met de implementatie, het uitvoeren van een nulmeting en in kaart brengen van de kosten. Dit traject zal in het schooljaar 2023/2024 plaatsvinden, waarna er in 2025 wetgeving zal komen. “Bestuurders moeten zich realiseren dat het een speerpunt is: ze moeten het nu al op de agenda zetten en de bewustwording op gang brengen. Klik geen linkjes aan, gebruik je computer niet zonder wachtwoord of denk aan multifactor authenticatie.”

De zes miljoen euro is alleen voor de ontwikkeling van het normenkader en bewustwording; daarna is er naar onze mening nog budget nodig om het plan uit te voeren. “ICT is ooit de scholen binnengekomen, waarbij nooit is bedacht dat de beveiliging ervan ook geld kost. Dat besef is er nu wel.”