Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs

Het beschermen van persoonlijke gegevens is in het onderwijs van cruciaal belang. Deze sector heeft tenslotte te maken met een minderjarige doelgroep. Leerlingen, maar ook ouders en medewerkers vertrouwen hun gegevens toe aan onderwijsinstellingen. Doordachte gegevensverwerking én goede gegevensbeveiliging vallen  onder de verantwoordelijkheid van schoolbesturen en hun medewerkers. Het normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO) is bedoeld om schoolbestuurders, schoolleiders en IBP’ers te helpen met het versterken van hun informatiebeveiliging en verbeteren van de bescherming van persoonsgegevens. 

Veel schoolbesturen zijn bezig met het organiseren van privacy en informatiebeveiliging binnen hun organisaties. Maar wat is goed of veilig genoeg? Hoe weet je dat je niets vergeet? En hoe kun je het aanpakken? In het normenkader IBP FO beantwoorden we deze vragen eenduidig en passend voor het volledige funderend onderwijs. 

Download het normenkader Informatiebeveiliging en Privacy FO (7 MB)

Wat is een normenkader?

Een normenkader is een set van normen die beschrijven of je een bepaald thema of onderwerp op de juiste manier beheerst. Het is hierbij belangrijk dat de mate van beheersing objectief getoetst kan worden.

Opzet van het normenkader IBP FO

Het normenkader IBP FO bestaat momenteel uit 69 normen voor informatiebeveiliging. Later worden daar normen voor privacy aan toegevoegd. Deze normen geven een schoolbestuur inzicht in de maatregelen die nodig zijn voor een zo goed mogelijke bescherming tegen digitale dreigingen als datalekken en cyberaanvallen. Het normenkader bestaat uit een aantal onderdelen:

• Beschrijving van de normen: elke norm is voorzien van een korte toelichting, onder de noemer ‘Waarom doen we dit?’ Zo maken we duidelijk waarop schoolbesturen moeten letten op het gebied van informatiebeveiliging en privacy om de continuïteit, kwaliteit en veiligheid van hun onderwijs te borgen.

• Toetsingskader: het toetsingskader bevat diverse punten die met elkaar het minimumniveau vormen waar we als gehele sector en dus ook als individuele schoolorganisaties naartoe werken. Dit niveau is de ondergrens, hier moet elke schoolorganisatie in 2027 aan voldoen.

• Voorbeeldmaatregelen: voorgestelde activiteiten en toepassingen waarmee je als schoolbestuur aan het minimumniveau van de norm kunt voldoen.

Voldoen aan het normenkader

Met de voorbeeldmaatregelen adviseren we je hoe je aan de normen in het normenkader kunt voldoen. Op dit moment is het normenkader nog niet juridisch geborgd. Naar verwachting is in 2027 wel het geval. Dan moet je aan alle normen voldoen. Het schoolbestuur draagt voor alle zaken in het normenkader de eindverantwoordelijkheid. Dus ook voor de keuze van een leverancier die al aan de norm voldoet of die op een afgesproken termijn aan de norm zal voldoen.

Toetsingskaders

Voldoen aan het normenkader is niet van vandaag op morgen geregeld. Daarom is er per norm een aantal stappen vastgesteld, de toetsingskaders. Zo kun je stapsgewijs toewerken naar digitaal veilig onderwijs. Wanneer je aan het laatste punt voldoet, heb je de norm bereikt en voldoe je aan het minimumniveau. Alle normen bij elkaar vormen het normenkader waarop je getoetst wordt. Door processen goed in te richten, is het beschermen van persoonsgegevens of het reageren op securityincidenten geen toevalligheid meer. Het stelt besturen in staat mee te bewegen met nieuwe dreigingen en altijd de juiste maatregelen te nemen. Ook wanneer een nieuwe ict-leverancier in beeld komt of personeel wisselt of tijdelijk niet beschikbaar is.

Informeren van betrokkenen

Vooral bestuurders, schoolleiders en IBP’ers gaan met het normenkader aan de slag. Deze laatste groep moet inhoudelijk goed geïnformeerd zijn over de normen, om zo uitvoering te kunnen geven aan de voorbeeldmaatregelen. Vervolgens zullen overige medewerkers vooral bij toepassing te maken krijgen met de effecten van de (voorbeeld)maatregelen. Zij hoeven het normenkader niet zelf te kennen.
Het normenkader is ook door samenwerkingsverbanden te gebruiken. Samenwerkingsverbanden zijn evenzeer verantwoordelijk voor een goede omgang met persoonsgegevens en voor een stabiele dienstverlening. Door allemaal gebruik te maken van hetzelfde normenkader zorgen we voor uniformiteit in de sector.

Informeren van leveranciers

Leveranciers krijgen te maken met de effecten van het normenkader. Onderdeel hiervan is het managen van leveranciers in de keten. Bij het omschrijven van de (voorbeeld)maatregelen proberen we zoveel mogelijk onderscheid te maken tussen interne en (externe) uitbestede ict. Wanneer je voorbeeldmaatregelen uit het normenkader wilt toepassen, merken leveranciers dit. Bijvoorbeeld omdat je nieuwe eisen stelt of bepaalde vragen voor hen hebt. Het kan dan helpen om de context uit te leggen waarin je deze eisen en vragen stelt. Het normenkader kan je hierbij helpen. Zo maken ook leveranciers veilig digitaal onderwijs mogelijk. SIVON toetst of leveranciers de juiste maatregelen nemen.

Totstandkoming en beheer

Het normenkader IBP FO is gebaseerd op het NBA-model, waar ook het normenkader van het mbo ook op gebaseerd is. De normen en het toetsingskader zijn een zoveel mogelijk letterlijke vertaling van het Engelstalige NBA-kader. De voorbeeldmaatregelen zijn toegespitst op de praktijk in het funderend onderwijs. Het normenkader IBP FO is ontwikkeld in samenwerking met het onderwijs zelf en op initiatief van het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad. In een werkgroep van het Netwerk IBP hebben scholen input vanuit de praktijk voor voorbeeldmaatregelen aangeleverd en begrippen uit het normenkader geduid voor het onderwijs.

Het toetsingskader is gebaseerd op het huidige cyberdreigingsbeeld en het inzicht dat het primair en voortgezet onderwijs hier proactief op moeten acteren. Kennisnet geeft praktisch uitvoering aan de totstandkoming, doorontwikkeling en het beheer van het normenkader.