Normenkader

Alles over het normenkader en een sterk IBP-beleid

Alle schoolbesturen in Nederland moeten eind 2027 voldoen aan het normenkader. Hierin staan belangrijke normen om het onderwijs meer weerbaar te maken tegen dreigingen. Op deze pagina lees je wat jullie van APS IT-diensten kunnen verwachten rondom het normenkader. Zo besteden wij samen met ons consortium (SURF en SLBdiensten) al vanaf 2014 aandacht aan IBP, ruim voor de komst van de AVG. En dit blijven we de komende jaren doen!

Wat wordt er van je schoolbestuur verwacht?

Het normenkader is een middel dat helpt bij het gestructureerd toewerken naar digitaal veilig onderwijs. Door de beveiligingsrisico’s te reduceren, verhoog je stap voor stap het volwassenheidsniveau van je schoolbestuur. Eind 2027 moet ieder schoolbestuur voldoen aan tenminste volwassenheidsniveau 3. Dit betekent dat jullie alle risico’s op het gebied van informatiebeveiliging en privacy in kaart hebben gebracht en maatregelen hebben genomen om deze risico’s acceptabel te maken. In totaal zijn er 5 niveaus.

Start met deze belangrijke basismaatregelen

We adviseren je om in ieder geval vast aan de slag te gaan met de onderstaande (technische) basismaatregelen. Let op: met deze maatregelen ben je al goed op weg, maar onthoud dat er nog meer maatregelen zijn die je moet nemen.

  • Richt de Microsoft 365-tenant veilig in. Binnenkort volgt een handleiding met tips voor een veilige inrichting.
  • Controleer op regelmatige basis (jaarlijks) de veiligheid en alle rollen en rechten binnen jullie omgeving. 
    Tip: tijdens de Microsoft 365 APK loopt onze ervaren consultant de Microsoft 365-omgeving helemaal na en krijgen jullie uitgebreid advies.
  • Stel multifactorauthenticatie (MFA) in. 
    Tip: wanneer jullie Entra ID (voorheen Azure AD) gebruiken als Single Sign-On naar diensten zoals ParnasSys en AFAS, is MFA daar direct ingeregeld.
  • Voer een sterk wachtwoordbeleid in, bijvoorbeeld met een wachtwoordmanager zoals LastPass.
  • Regel een goede back-up.
Overzicht van deze maatregelen met onze tips


Wat kun je van APS IT-diensten verwachten?

Onze bijdrage aan het normenkader en het verhogen van de digitale weerbaarheid van scholen richt zich vooral op bepaalde technische maatregelen en het regelen van de juiste contracten met leveranciers. Wij helpen niet bij het opstellen van een IBP-beleid, daar moet je als schoolbestuur zelf de regie voor nemen. De experts van Privacy op School kunnen hier wel bij ondersteunen. We brengen je graag met hen in contact! Bekijk en download ook deze handige checklist voor het normenkader van Privacy op School.

Ook nemen wij deel aan het IBP-platform: een samenwerking met leveranciers en het programma Digitaal Veilig Onderwijs om scholen zo goed mogelijk ondersteunen bij het normenkader IBP.

Wat wij als APS IT-diensten verder bieden:

Het normenkader IBP en accountants

Accountants maken onderscheid tussen bedrijfsrisico’s (risico dat de organisatie strategische doelstellingen niet haalt en/of financiële schade leidt) en risico’s voor de jaarrekening (risico dat de jaarrekening een materiële fout bevat). Het niet op orde hebben van de beveiliging wordt gezien als een bedrijfsrisico, omdat goede beveiliging belangrijk is voor het voortbestaan van de stichting.

Accountants houden vanuit hun natuurlijke adviesfunctie over dit onderwerp met name interviews met hun klanten. Voor applicaties die direct hebben invloed op de jaarrekening (het financieel systeem, salarissysteem enzovoort) hebben zij een verdergaande verantwoordelijkheid, omdat uit deze systemen transacties voortkomen die tot de jaarrekening leiden. 

De gesprekken met accountants (bijvoorbeeld met de FG’er) rondom het normenkader IBP gaan vooral over de mate waarin stichtingen compliant zijn aan de gestelde informatiebeveiliging- en privacynormen. Vanuit deze gesprekken vormt de accountant een beeld van hoe privacy aandacht krijgt binnen het schoolbestuur en of dat voldoende is. Eventueel vragen zij hier extra aandacht voor in hun rapportages aan het bestuur en toezichthoudend orgaan. Volgens accountants begint het meestal met het in beeld brengen van huidige situatie (een nulmeting). Er wordt dus ook gevraagd aan de FG’er of deze nulmeting heeft plaatsgevonden.

Meer over IBP en het normenkader

ICT is onmisbaar geworden in het onderwijs. Voor de continuïteit van jullie onderwijs en de bedrijfsvoering is het cruciaal dat de ICT altijd op orde is en weerbaar tegen dreigingen. Daarom ben je als schoolbestuur verantwoordelijk voor een goed informatiebeveiligings- en privacybeleid (IBP-beleid). Het doel van zo’n IBP-beleid is om de:

  • continuïteit van het onderwijs te waarborgen. De data moet altijd beschikbaar en toegankelijk zijn, bijvoorbeeld na een cyberaanval, storing of natuurramp.
  • integriteit van (leerling)data te waarborgen. De data moet altijd kloppen, denk aan persoonlijke cijfers, salarissen en zorggegevens. 
  • vertrouwelijkheid van gegevens te waarborgen. De data mag alleen beschikbaar zijn voor de mensen die daar toegang tot hebben.

Het Normenkader Informatiebeveiliging en Privacy is bedoeld om schoolbesturen te helpen met het versterken van hun IBP-beleid en het verbeteren van de bescherming van persoonsgegevens. In dit normenkader staan technische en organisatorische maatregelen die jullie moeten opstellen én implementeren. Allemaal om de weerbaarheid tegen dreigingen te verhogen!

Bekijk het normenkader


Het is belangrijk dat bestuurders zich écht bewust zijn van hun verantwoordelijkheid voor dit normenkader en een goed IBP-beleid. De toezichthouder zal ernaar vragen of er kan een auditor langskomen voor controle. Denk daarom goed na over jullie aanpak en bepaal hierbij ook de rol van de bovenschoolse ICT’er.

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8.30 en 17.00 uur. 030 2856870 info@apsitdiensten.nl