AVG naleven

Normenkader moet veiligheid leerlingen ook online garanderen

Wat is ervoor nodig om het onderwijs zo veilig mogelijk te maken voor leerlingen, ook in de digitale wereld? Daarvoor dient het Programma Digitaal Veilig Onderwijs, dat door de PO-raad en VO-raad is aangevraagd bij het ministerie van OCW. Het doel is het opstellen van een normenkader dat aangeeft wat je minimaal moet doen om veilig digitaal onderwijs te realiseren. Dit normenkader is inmiddels gepubliceerd!

Frits Hoekstra is voorzitter van de regiegroep ICT, een groep van bestuurders uit het primair en voortgezet onderwijs, die samen nadenken over alles wat met ICT te maken heeft. Zij fungeren nu ook als klankbord voor het Programma Digitaal Veilig Onderwijs. “Wij inventariseren wat er nodig is om het digitaal onderwijs zo veilig mogelijk te maken. Weten medewerkers bijvoorbeeld genoeg over wat er achter de programma’s zit? Zijn ze zich bewust van risico’s rond privacy? Niet alleen de kansen en mogelijkheden, maar ook de risico’s en bedreigingen. Daarover hebben we een advies geschreven dat onder meer ingaat op informatiebeveiliging en privacy.”

Afspraken

Het normenkader heeft als doel om met elkaar af te spreken wat de scholen in het primair en voortgezet onderwijs minimaal moeten organiseren om te kunnen groeien naar een veilige omgeving. “Als scholen dat hebben georganiseerd, hebben ze gedaan wat ze konden. Ook dan lopen ze nog steeds het risico om gehackt te worden, maar dan is er in ieder geval ook goede achtervang geregeld. Het programma moet er bovendien voor zorgen dat iedereen in het onderwijs weet wat hij moet doen.”

Grootste risico’s

Wat zijn dan de grootste risico’s die scholen lopen? Allereerst betreft het de privacy van de leerlingen en medewerkers die gevaar loopt vanwege hacks en ransomware. Bovendien moeten medewerkers zich bewust zijn van de noodzaak om zorgvuldig met gegevens om te gaan. “Zet je je laptop op stand-by als je de klas uitloopt? Open je je laptop iedere keer met een wachtwoord? Laat je wel eens een adreslijst op je bureau slingeren? Klik je wel eens op een verkeerde link? Het risico van het aanklikken van een verkeerde link is dat het onderwijs stil komt te liggen,” legt Frits uit.

Een potentieel gevaar kan ook uit onverwachte hoek komen: “Kinderen krijgen veel lesmateriaal digitaal aangeboden. Een voordeel is dat dit lesmateriaal adaptief is. Het nadeel is alle artificiële intelligentie die erachter zit: weet je wel wat er achter dat programma gebeurt?” Het grootste gevaar komt volgens Frits toch uit de hoek van de hackers: “Bij een DDos-aanval stuurt een hacker zoveel informatie tegelijk richting je netwerk, dat alles dichtslibt en je het internet niet meer kunt gebruiken. Of de hacker die een gat in je beveiliging ontdekt, ransomware op je computer achterlaat en zo het systeem van je organisatie dichtzet. Vervolgens vragen ze je een bedrag te betalen, om die blokkade op te heffen. Daarbij zijn er over een paar jaar vast risico’s die we nu nog niet kunnen bedenken.”

ICT brandweer

Het normenkader bevat zowel technische als beleidsuitspraken, bijvoorbeeld afspraken over de omgang met ICT en over manieren om de bewustwording bij medewerkers over de risico’s van ICT te vergroten. Bovendien bevat het normenkader informatie over het aanstellen van een Computer Emergency Response Team (CERT), een gespecialiseerd team van ICT-professionals, dat snel kan ingrijpen bij een beveiligingsincident op een computer of in het netwerk. Op het moment dat er iets gebeurt, moet je die 24/7 kunnen bellen. Zij zorgen dat hackers niet bij de gegevens kunnen en krijgen het systeem weer up-and-running. “Een CERT is een soort brandweer: die voorkomt dat de brand niet groter wordt. Maar zelf blijf je verantwoordelijk voor het ophangen van de rookmelders en aangeven van de vluchtroutes.”

Sectorbrede aanpak

Het Programma Digitaal Veilig Onderwijs wordt wel bewust vanuit de hele sector opgepakt. “Uitgevers kunnen vaak meer informatie uit een systeem halen dan ze zelf doorhebben. Hen daarop wijzen kan alleen gezamenlijk, als sector. Ook met Google hebben we afspraken gemaakt als sector, bijvoorbeeld over de privacy van leerlingen. Dat had een stichting individueel nooit kunnen doen.”

De overheid heeft inmiddels 6 miljoen euro geïnvesteerd in het Programma Digitaal Veilig Onderwijs. Voor het samenstellen van het normenkader is en wordt overlegd met de PO- en VO-raad en de sector zelf. Ook wordt gebruik gemaakt van kennis van gemeenten, universiteiten, hbo’s en mbo’s. Zo fungeren ICT-coördinatoren en IBP-medewerkers als klankbord. Frits: “Gemeentes hebben gezamenlijk al een heel traject achter de rug en een normenkader opgesteld. Zij hebben ook onderling afspraken gemaakt over de CERT, ofwel de ‘brandweer’.”

Oplevering eerste versie normenkader

Momenteel is de eerste versie van het normenkader gepubliceerd en zal het in de algemene ledenvergaderingen van de stichtingen en sectorraden op de agenda komen. Het programma helpt bestuurders en leidinggevenden ook met de implementatie, het uitvoeren van een nulmeting en in kaart brengen van de kosten. Dit traject zal in het schooljaar 2023/2024 plaatsvinden, waarna er in 2025 wetgeving zal komen. “Bestuurders moeten zich realiseren dat het een speerpunt is: ze moeten het nu al op de agenda zetten en de bewustwording op gang brengen. Klik geen linkjes aan, gebruik je computer niet zonder wachtwoord of denk aan multifactor authenticatie.”

De zes miljoen euro is alleen voor de ontwikkeling van het normenkader en bewustwording; daarna is er naar onze mening nog budget nodig om het plan uit te voeren. “ICT is ooit de scholen binnengekomen, waarbij nooit is bedacht dat de beveiliging ervan ook geld kost. Dat besef is er nu wel.”

Wat kunnen jullie van APS IT-diensten verwachten?

Wij besteden samen met ons consortium (SURF en SLBdiensten) al vanaf 2014 aandacht aan IBP, ruim voor de komst van de AVG. Dit zullen we in de komende jaren blijven doen. Lees wat je allemaal van ons kunt verwachten én met welke technische basismaatregelen je vast kunt starten.
Lees meer
Ontvang elk kwartaal de nieuwe artikelen per mail

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8.30 en 17.00 uur. 030 2856870 info@apsitdiensten.nl