Achter de schermen

Normenkader moet veiligheid leerlingen ook online garanderen

Wat is ervoor nodig om het onderwijs zo veilig mogelijk te maken voor leerlingen, ook in de digitale wereld? Daarvoor dient het Programma Digitaal Veilig Onderwijs, dat door de PO-raad en VO-raad is aangevraagd bij het ministerie van OCW. Het doel is het opstellen van een normenkader dat aangeeft wat je minimaal moet doen om veilig digitaal onderwijs te realiseren.

Frits Hoekstra is voorzitter van de regiegroep ICT, een groep van bestuurders uit het primair en voortgezet onderwijs, die samen nadenken over alles wat met ICT te maken heeft. Zij fungeren nu ook als klankbord voor het Programma Digitaal Veilig Onderwijs. “Wij inventariseren wat er nodig is om het digitaal  onderwijs zo veilig mogelijk te maken. Weten medewerkers bijvoorbeeld genoeg over wat er achter de programma’s zit? Zijn ze zich bewust van risico’s rond privacy? Niet alleen de kansen en mogelijkheden, maar ook de risico’s en bedreigingen. Daarover hebben we een advies geschreven dat onder meer ingaat op informatiebeveiliging en privacy.”

Afspraken

Het normenkader heeft als doel om met elkaar af te spreken wat de scholen in het primair en voortgezet onderwijs minimaal moeten organiseren om te kunnen groeien naar een veilige omgeving. “Als scholen dat hebben georganiseerd, hebben ze gedaan wat ze konden. Ook dan lopen ze nog steeds het risico om gehackt te worden, maar dan is er in ieder geval ook goede achtervang geregeld. Het programma moet er bovendien voor zorgen dat iedereen in het onderwijs weet wat hij moet doen.”

Grootste risico’s

Wat zijn dan de grootste risico’s die scholen lopen? Allereerst betreft het de privacy van de leerlingen en medewerkers die gevaar loopt vanwege hacks en ransomware. Bovendien moeten medewerkers zich bewust zijn van de noodzaak om zorgvuldig met gegevens om te gaan. “Zet je je laptop op stand-by als je de klas uitloopt? Open je je laptop iedere keer met een wachtwoord? Laat je wel eens een adreslijst op je bureau slingeren? Klik je wel eens op een verkeerde link? Het risico van het aanklikken van een verkeerde link is dat het onderwijs stil komt te liggen,” legt Frits uit.

Een potentieel gevaar kan ook uit onverwachte hoek komen: “Kinderen krijgen veel lesmateriaal digitaal aangeboden. Een voordeel is dat dit lesmateriaal adaptief is. Het nadeel is alle artificiële intelligentie die erachter zit: weet je wel wat er achter dat programma gebeurt?” Het grootste gevaar komt volgens Frits toch uit de hoek van de hackers: “Bij een DDos-aanval stuurt een hacker zoveel informatie tegelijk richting je netwerk, dat alles dichtslibt en je het internet niet meer kunt gebruiken. Of de hacker die een gat in je beveiliging ontdekt, ransomware op je computer achterlaat en zo het systeem van je organisatie dichtzet. Vervolgens vragen ze je een bedrag te betalen, om die blokkade op te heffen. Daarbij zijn er over een paar jaar vast risico’s die we nu nog niet kunnen bedenken.”

ICT brandweer

Het normenkader zal zowel technische als beleidsuitspraken bevatten, bijvoorbeeld afspraken over de omgang met ICT en over manieren om de bewustwording bij medewerkers over de risico’s van ICT te vergroten. Bovendien zal het normenkader informatie bevatten over het aanstellen van een Computer Emergency Response Team (CERT), een gespecialiseerd team van ICT-professionals, dat snel kan ingrijpen bij een beveiligingsincident op een computer of in het netwerk. Op het moment dat er iets gebeurt, moet je die 24/7 kunnen bellen. Zij zorgen dat hackers niet bij de gegevens kunnen en krijgen het systeem weer up-and-running. “Een CERT is een soort brandweer: die voorkomt dat de brand niet groter wordt. Maar zelf blijf je verantwoordelijk voor het ophangen van de rookmelders en aangeven van de vluchtroutes..”

Sectorbrede aanpak

Het Programma Digitaal Veilig Onderwijs wordt wel bewust vanuit de hele sector opgepakt. “Uitgevers kunnen vaak meer informatie uit een systeem halen dan ze zelf doorhebben. Hen daarop wijzen kan alleen gezamenlijk, als sector. Ook met Google hebben we afspraken gemaakt als sector, bijvoorbeeld over de privacy van leerlingen. Dat had een stichting individueel nooit kunnen doen.”

De overheid heeft inmiddels 6 miljoen euro geïnvesteerd in het Programma Digitaal Veilig Onderwijs. Voor het samenstellen van het normenkader wordt overlegd met de PO- en VO-raad, de sector zelf en er wordt gebruik gemaakt van kennis van gemeenten, universiteiten, hbo’s en mbo’s. Frits: “Gemeentes hebben gezamenlijk al een heel traject achter de rug en een normenkader opgesteld. Zij hebben ook onderling afspraken gemaakt over de CERT, ofwel de ‘brandweer’.”

Oplevering eerste versie normenkader

Op dit moment is een werkgroep van deskundigen bezig aan het normenkader, waarbij ICT-coördinatoren en IBP-medewerkers als klankbord fungeren. De bedoeling is om dat concept in het voorjaar op bestuurlijk niveau te delen. Daarna vinden er webinars plaats voor bestuurders waar ze vragen kunnen stellen. Voor de zomer moet de eerste versie van het normenkader er zijn, waarna het in de algemene ledenvergaderingen van de stichtingen en sectorraden op de agenda komt. Het programma helpt bestuurders en leidinggevenden ook met de implementatie, het uitvoeren van een nulmeting en in kaart brengen van de kosten. Dit traject zal in het schooljaar 2023/2024 plaatsvinden, waarna er in 2025 wetgeving zal komen. “Bestuurders moeten zich realiseren dat het een speerpunt is: ze moeten het nu al op de agenda zetten en de bewustwording op gang brengen. Klik geen linkjes aan, gebruik je computer niet zonder wachtwoord of denk aan multifactor authenticatie.”

De zes miljoen euro is alleen voor de ontwikkeling van het normenkader en bewustwording; daarna is er naar onze mening nog budget nodig om het plan uit te voeren. “ICT is ooit de scholen binnengekomen, waarbij nooit is bedacht dat de beveiliging ervan ook geld kost. Dat besef is er nu wel.”

Wat kun je van APS IT-diensten verwachten? 

Wij denken dat het normenkader een volgende stap is van volwassenwording van ICT bij de scholen. Daarom hebben we tijdens onze BIC-dag op 22 november 2022 al uitgebreid aandacht besteed aan het nut en de noodzaak van een normenkader voor digitale veiligheid. Als het normenkader is vastgesteld, zullen we scholen helpen om de digitale beveiliging naar een hoger niveau te tillen. Net zoals we dat nu doen! 

Zo toetsen we het digitale beveiligingsbeleid van al onze leveranciers met verwerkersovereenkomsten en helpen we bij de technische maatregelen die nodig zijn om aan de normen te voldoen. Denk aan tips over informatiebeveiliging, hulp bij het voeren van een sterk wachtwoordbeleid of advies bij het kiezen van een back-upOok ondersteunen we bij een plan van aanpak om medewerkers bewust te maken van de risico’s rondom privacy.

Webinar: Privacy bewustwording

Donderdag 2 februari
Het risico op een datalek is ook in het onderwijs altijd aanwezig: zelfs een klein foutje kan grote gevolgen hebben. Het gedrag van medewerkers is daarom allesbepalend. Maar weten zij wel hoe ze veilig moeten handelen? Tonny Plas (Privacy op School) legt tijdens het gratis webinar uit hoe je dit effectief aanpakt.
Lees meer
Ontvang elk kwartaal de nieuwe artikelen per mail

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8.30 en 17.00 uur. 030 2856870 info@apsitdiensten.nl