Stichting BOOR een van de koplopers in normenkader IBP

Stichting BOOR verzorgt het openbaar (speciaal) basisonderwijs, voortgezet onderwijs en (voortgezet) speciaal onderwijs in Rotterdam. In totaal behoren zo'n 75 scholen tot deze stichting en krijgen dagelijks ongeveer 30.000 leerlingen hier les.  “Het hielp enorm dat ons bestuur digitale veiligheid al jaren een belangrijk thema vindt”, vertelt Diana Liefhebber, hoofd ICT. Samen met CISO Floris Pols vertelt zij over de BOOR-aanpak van het normenkader.

Informatiebeveiliging hoog op de agenda

Al drie jaar is stichting BOOR serieus bezig met informatiebeveiliging en privacy. Een aantal incidenten bij de stichting vormde de aanleiding voor het bestuur om het hoog op de agenda te zetten. Wat is veilig genoeg? Hoe weet je dat je niets vergeet? Hoe pak je het aan? Daartoe stelde de stichting in 2021 een informatiebeveiligingsplan op volgens de ISO-norm. Diana: “Ieder jaar voert Floris een risicoanalyse uit. Op basis van de hoogste risico’s bepalen we welke maatregelen we dit jaar nemen.” 

Op 19 april 2023 werd het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO) gepubliceerd. Het normenkader is bedoeld om schoolbestuurders, schoolleiders en IBP’ers te helpen met het verbeteren van hun informatiebeveiliging en de bescherming van persoonsgegevens. “Daarmee is het een belangrijk hulpmiddel om scholen digitaal veilig te maken”, aldus Diana. “Het normenkader heeft veel impact op het onderwijs. Voldoe je al aan alle technische en organisatorische maatregelen die nodig zijn? Ons informatiebeveiligingsbeleid was al redelijk in lijn met wat het normenkader van ons vraagt. Het normenkader helpt om te meten waar we staan en waar we naar toe willen. Het heeft ons daardoor wellicht minder overrompeld dan andere besturen.” 

De nulmeting

Scholen starten met een nulmeting. Daarmee bepaal je in welke mate de school nu al voldoet aan de norm. “Via Governance, Risk en Compliancy tooling (GRC) hebben we deze nulmeting uitgevoerd”, legt Floris uit. “Het normenkader bestaat uit 15 domeinen voor informatiebeveiliging, waarover je vragen krijgt. Dat gaat deels over ICT-maatregelen, maar ook over niet-technische zaken, zoals de fysieke beveiliging, leveranciersmanagement en huisvesting. Voor het invullen van de nulmeting hebben we wel een paar middagen uitgetrokken: waar liggen knelpunten en waar kunnen we nog stappen zetten? Je moet ook heel concreet bewijs geven voor je antwoorden: dit is de norm en daar voldoen we op deze manier aan. Op basis van je antwoorden komt er een bepaald volwassenheidsniveau uit.”

Het normenkader geeft dus inzicht in waar je aan de norm voldoet en waar je er nog onder zit. Eind 2027 moet iedere school op iedere norm minimaal een 3 scoren. Een 5 is het hoogst haalbare. “Op sommige gebieden scoorden we al beter dan de norm die was gesteld,” vertelt Diana. “Bijvoorbeeld op strategie, planning en roadmap, daar zaten we op een 3,8. Maar op sommige onderwerpen scoorden we een 1 of 2. Dan hebben we dus nog stappen te zetten.” Ook leveranciersmanagement was een onderwerp waarop ze minder hoog scoorden. Dan gaat het om het beheersen van de maatregelen die leveranciers of externen nemen. Diana: “Dat is een aandachtsgebied voor de hele sector. Leveranciers hebben nog wel wat huiswerk te doen. We kunnen vanuit de sector nog meer onze krachten bundelen, om te zorgen dat leveranciers verbeteringen aanbrengen.”

Welke onderwerpen pakt de stichting als eerste op? Diana: “Dat hoeven niet per se de onderwerpen met de laagste scores te zijn. Die geven alleen maar aan, waar je nog de meeste stappen te zetten hebt. We beginnen met de onderwerpen waar we het meeste risico lopen en met onderwerpen die meer tijd nodig hebben in uitvoering om tot de gewenste norm te komen.”

Koploper: beleid en uitvoering op orde

Stichting BOOR kwam als een van de koplopers uit de bus als het gaat om het normenkader. Dit betekent dat het bestuur het beleid op orde heeft én voldoende expertise heeft om het in de praktijk uit te voeren. BOOR voldoet daarmee nog niet aan alle normen van het Normenkader IBP FO, maar heeft wel de middelen in huis om deze tijdig, eind 2027 te behalen. “Voor meerdere onderdelen behalen we deze norm al eerder”, vertelt Diana. 

Floris is bij Kennisnet ook actief in de werkgroep die betrokken is bij het opstellen van het toetsingskader. De nulmeting is ook gebaseerd op het concept toetsingskader dat vanuit de werkgroep is verspreid. Floris heeft daarmee ook op persoonlijke titel de IBP-award gewonnen. “De druk om hem bij ons te houden, is groot”, lacht Diana. 

Tips voor besturen

Diana en Floris merken dat het normenkader voor veel besturen toch als een verrassing kwam. Wat raden zij hen aan? Diana: “Het is belangrijk dat besturen het onderwerp ook uitdragen. Er is wel een grote ICT-component, maar het raakt juist ook veel andere facetten van de organisatie, zoals huisvesting, fysieke beveiliging, governance en personeelsbeleid. Wij zaten in de luxe positie dat we vanwege onze schaalgrootte een CISO hebben die er dagelijks aandacht aan besteedt, maar een deel van het werk ligt ook bij de controller, bij ICT of de privacy officer. Mijn tip is: zoek hulp, werk samen en laat je informeren. Kijk wat Kennisnet aan informatie ter beschikking heeft. Je hoeft niet alles zelf te bedenken. Daarnaast is het van belang om de directie betrokken te houden, wij nemen onze managementgroep hier met regelmaat in mee. Je kunt alles technisch en procedureel nog zo goed dichttimmeren en nog meer sloten op de voordeur zetten, maar als je een deur of raam open laat staan werkt het niet. Aandacht voor bewustwording bij medewerkers (en leerlingen) is essentieel. Informatiebeveiliging en privacy is iets van ons allen.”

Meer weten over het normenkader?

Kijk op de site van Kennisnet. Meer weten over een goede gegevensbeveiliging? Bezoek dan de site van het programma Digitaal Veilig Onderwijs, een gezamenlijk initiatief van het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad.

Ondersteuning bij informatiebeveiliging en privacy

Wij ondersteunen scholen om de digitale beveiliging naar een hoger niveau te tillen. Zo toetsen we het digitale beveiligingsbeleid van al onze leveranciers met verwerkersovereenkomsten en helpen we bij de technische maatregelen die nodig zijn om aan de normen te voldoen. Lees meer over onze ondersteuning.