De onderwijsministers hebben in een brief aan de Tweede Kader gehint op de komst van een uniform normen- en toetsingskader voor het IBP-beleid binnen onderwijsinstellingen. Dat roept de nodige vragen op. Hieronder hebben we de meest gestelde beantwoord.
Wat houdt een normenkader voor IBP in?
Een normenkader geeft aan welke maatregelen er genomen moeten worden om de risico’s rondom informatiebeveiliging en privacy te beheersen en als school digitaal weerbaarder te worden.
Waarom is een normenkader überhaupt nodig?
Digitalisering binnen het onderwijs heeft veel voordelen, maar brengt ook grote risico’s met zich mee. Dit zien we o.a. aan de toenemende hoeveelheid meldingen over datalekken, beveiligingsincidenten en cybercriminaliteit. De technieken van cybercriminelen zijn in rap tempo verbeterd, met alle gevolgen van dien. Het is dan ook belangrijk dat alle onderwijsinstellingen informatiebeveiliging en privacy goed regelen om de risico’s zo klein mogelijk te maken.
Het middelbaar en hoger onderwijs maken al langer gebruik van een normenkader met daarbij een toetsingskader om jaarlijks zicht te houden op hun informatiebeveiliging en privacy.
Voor het funderend onderwijs willen ministers van Onderwijs Dijkgraaf Wiersma in 2023 ook een uniform normenkader (met aansluitend toetsingskader) voor informatietechnologie en privacy.
“Doordat er nu geen normenkader is, weten scholen niet altijd wat ze moeten doen om hun systemen te beveiligen”, zo laten de ministers weten. “Ook privacymaatregelen vergen specialistische juridische kennis die niet op iedere school aanwezig is. Dat zorgt voor verschillen tussen scholen en daarmee ook voor verschillen in de digitale veiligheid van leerlingen. Daar willen we vanaf.”
Scholen moeten aan de slag
Begin 2023 zal er vervolgens op basis van het normenkader een nulmeting binnen het onderwijs plaatsvinden. Scholen moeten daarna aan de slag. Om te kijken of scholen aan het kader voldoen zullen er periodiek monitors en benchmarks plaatsvinden. Ook worden schoolbesturen vanaf het schooljaar 2023/2024 verplicht om in hun jaarverslag expliciet aandacht te besteden aan informatiebeveiliging en privacy.
Het is nog niet officieel bekend welk normenkader gaat gelden als het uniforme kader voor het funderend onderwijs. Het is echter zeer waarschijnlijk dat het normenkader zal aansluiten op het NBA-model dat in het middelbaar en hoger onderwijs al gebruikt wordt. Dit normenkader is afkomstig uit de accountancywereld. De afkorting NBA staat voor de bij wet ingestelde Koninklijke Nederlandse Beroepsorganisatie van Accountants. Het normenkader is opgebouwd uit normen en best practices op het gebied van informatiebeveiliging.
Naast een normen- en toetsingskader voor informatiebeveiliging gebruiken het middelbaar en hoger onderwijs ook een normen- en toetsingskader voor privacy gebaseerd op de vereisten vanuit de AVG. Ook voor het funderend onderwijs wordt gewerkt aan een set privacynormen met toetsingscriteria.
Wat is het toetsingskader?
Naast een normenkader is een toetsingskader nodig. Het toetsingskader geeft aan welke maatregelen een organisatie moet nemen om bepaalde risico’s voldoende af te dekken. Hierbij wordt uitgegaan van een aantal volwassenheidsniveaus. Voor het funderend onderwijs is een van de uitgangspunten van het ministerie dat er een baseline (minimaal volwassenheidsniveau) informatiebeveiliging komt voor de verschillende beschreven risico’s in het normenkader waar alle scholen aan moeten voldoen.
Met het toetsingskader kunnen organisaties hun volwassenheid op het gebied van informatiebeveiliging nauwkeurig in kaart brengen op een manier die voor alle onderwijsorganisaties gelijk is.
Hoe werkt een toetsingskader?
Een toetsingskader maakt het mogelijk om de maatregelen die genomen zijn op basis van de beschreven risico’s in het normenkader vast te leggen, te beoordelen en te verbeteren. Hiermee hebben organisaties een middel in handen om nauwkeurig hun volwassenheidsniveau per risico, per deelaspect van het normenkader, in beeld te brengen.
Hiermee kan inzichtelijk gemaakt worden waar de prioriteiten en aandachtspunten liggen. Scholen kunnen op die manier gerichter zien waar ze staan als het gaat om informatiebeveiliging en effectiever maatregelen nemen. Uitkomsten uit audits op basis van het toetsingskader zijn bovendien beter onderling vergelijkbaar, omdat elke organisatie gebruik maakt van hetzelfde kader. Ook op landelijk niveau kunnen vorderingen inzichtelijk gemaakt worden.
Tenslotte maakt het NBA-toetsingskader het voor onderwijsorganisaties gemakkelijker om interne en externe auditors te betrekken. Omgekeerd kan het assessment als input dienen voor de jaarlijkse accountscontrole met betrekking tot de IBP-aspecten.
Hoe krijg ik snel inzicht in waar ik als organisatie sta?
Dat is zonder hulpmiddelen beslist geen eenvoudige opgave. Daarom is YourSafetynet IBP volledig hierop voorbereid. Het NBA-kader binnen YourSafetynet IBP worden de normen met de daarbij behorende risico’s beschreven.
Om te toetsen waar je als organisatie staat worden per norm/statement de maatregelen passend bij een volwassenheidsniveau benoemd. Alle organisatorische, en technische maatregelen die kunnen bijdragen om aan een bepaald volwassenheidsniveau te voldoen zijn weergegeven in taken. Alle, al dan niet afgeronde, taken kunnen worden weergegeven in een dashboard.
Zo geeft YourSafetynet in één oogopslag inzicht in de nog te nemen maatregelen en de behaalde volwassenheidsniveaus. Het plannen van (herhaalde) taken maakt het tevens mogelijk om evaluatie van maatregelen op te nemen in een PDCA (Plan, Do, Check, Act)-cyclus.
Voor meer informatie, ga naar www.yoursafetnet.com/ibp
Alle berichten