Conclusies uit de Monitor Digitalisering Onderwijs 2025 over informatiebeveiliging en privacy

Waarom digitale veiligheid in het onderwijs essentieel is maar vaak tekortschiet

Scholen en besturen dragen de verantwoordelijkheid om zowel leerlingen als medewerkers een digitaal veilige omgeving te bieden. Deze verantwoordelijkheid wordt steeds belangrijker nu digitale leermiddelen, cloudoplossingen en online platforms onmisbaar zijn geworden voor het onderwijsproces. Toch wijst de Monitor Digitalisering Onderwijs 2025 uit dat veel onderwijsinstellingen de randvoorwaarden hiervoor nog niet op orde hebben.

Het onderzoek laat zien dat er over het algemeen sprake is van een lage bekendheid met interne meldprocedures voor beveiligingsincidenten. Leraren weten vaak niet wat ze moeten doen wanneer zij te maken krijgen met een cyberaanval of datalek. Deze onbekendheid vormt een risico, omdat snelle en adequate respons cruciaal is bij beveiligingsincidenten. Bovendien bestaan er duidelijke verschillen tussen onderwijssectoren, met name tussen het primair onderwijs en het voortgezet onderwijs.

Hoe informatiebeveiliging en privacy zijn opgenomen in visie en beleid van onderwijsinstellingen

De manier waarop informatiemanagement en informatiebeveiliging en privacy zijn verankerd in de visie en het beleid van scholen en besturen verschilt aanzienlijk. Bij 76 procent van de besturen is informatiebeveiliging en privacy opgenomen in de visie, tegenover slechts 40 procent van de scholen. Voor informatiemanagement liggen deze cijfers op respectievelijk 50 procent en 14 procent. Deze grote discrepantie wijst erop dat er op bestuursniveau meer aandacht is voor deze thema’s dan op schoolniveau.

Wanneer informatiebeveiliging en privacy wel zijn opgenomen in het beleid en de visie, ontbreekt vaak een structurele evaluatie en opvolging. De Monitor Digitalisering Onderwijs 2025 maakt duidelijk dat slechts een minderheid van scholen en besturen het beleid jaarlijks of vaker evalueert. Dit gebrek aan monitoring en bijsturing betekent dat beleidsplannen niet worden aangepast aan nieuwe dreigingen of veranderende omstandigheden, waardoor de digitale veiligheid onder druk komt te staan.

Waarom het Normenkader IBP bekend is maar implementatie achterblijft

Het Normenkader Informatiebeveiliging en Privacy voor het onderwijs is inmiddels bij bijna alle besturen bekend. Maar de bekendheid alleen is niet voldoende. De Monitor Digitalisering Onderwijs 2025 toont aan dat aanzienlijk minder besturen daadwerkelijk bezig zijn met de implementatie van dit normenkader. Slechts 38 procent van de besturen is actief bezig met de invoering op basis van het Groeipad. Besturen in het primair onderwijs zijn hiermee vaker gestart dan besturen in het voortgezet onderwijs.

Van alle besturen heeft slechts 12 procent een nulmeting uitgevoerd om te bepalen waar de organisatie staat op het gebied van informatiebeveiliging en privacy. Zonder zo’n nulmeting is het lastig om gericht te werken aan verbeteringen. De implementatie van het Normenkader IBP wordt meestal uitgevoerd door een combinatie van interne en externe partijen. Bij 50 procent van de besturen is deze verdeling aanwezig, terwijl 25 procent de taak toevertrouwt aan meerdere interne medewerkers in bijvoorbeeld een werkgroep.

De naamsbekendheid van het Normenkader IBP onder leraren blijkt echter extreem laag te zijn. Zij zijn de professionals die dagelijks met digitale systemen en leerlingengegevens werken, maar zijn vaak niet op de hoogte van het beleid en de normen die gelden voor informatiebeveiliging en privacy. Deze onwetendheid vergroot het risico op menselijke fouten en onbewust onveilig gedrag.

Welke uitdagingen scholen en besturen ervaren bij het oefenen met beveiligingsincidenten

Een van de meest zorgwekkende bevindingen uit de Monitor Digitalisering Onderwijs 2025 is dat de meeste scholen nauwelijks oefenen met beveiligingsincidenten. Slechts 14 procent van de scholen oefent jaarlijks, terwijl 1 procent dit maandelijks doet. Een overweldigende 68 procent van de scholen heeft nog nooit geoefend met een beveiligingsincident. Bovendien weet 11 procent van de scholen niet of er ooit geoefend is.

Deze cijfers zijn zorgelijk omdat oefening essentieel is om adequaat te kunnen reageren bij een daadwerkelijk incident. Wanneer scholen niet geoefend hebben met scenario’s zoals ransomware-aanvallen, phishing-pogingen of datalekken, is de kans groot dat de respons chaotisch en ineffectief verloopt. Dit kan leiden tot langdurige uitval van systemen, verlies van belangrijke data en schade aan het vertrouwen van ouders en leerlingen.

De meest voorkomende incidenten zijn phishing-aanvallen en datalekken. Ongeveer 25 procent van de scholen heeft in het afgelopen jaar te maken gehad met een phishing-aanval, en 20 procent meldde een datalek. Opvallend is dat een groot percentage scholen niet weet of er beveiligingsincidenten hebben plaatsgevonden, met name bij ransomware-aanvallen, DDoS-aanvallen en datalekken. Deze onwetendheid wijst op gebrekkige monitoring en rapportage binnen onderwijsinstellingen.

Hoe bekendheid met meldprocedures en rapportagestappen tekortschiet bij leraren en schoolleiders

De bekendheid met meldprocedures en de stappen voor het rapporteren van een cyberaanval verschilt sterk tussen verschillende rollen binnen onderwijsinstellingen. Bestuurders, beleidsmedewerkers en ICT-coördinatoren scoren over het algemeen hoger op bekendheid met beveiligingsprocedures dan leraren en schoolleiders. Alle groepen scoren gemiddeld genomen goed op de bekendheid met basale beveiligingsmaatregelen zoals het belang van sterke wachtwoorden en multifactorauthenticatie.

Echter, wanneer het gaat om specifieke procedures voor het melden van verdachte e-mails en het rapporteren van cyberaanvallen, blijkt de bekendheid aanzienlijk lager te zijn. Leraren geven zichzelf een 3,2 op een vijfpuntsschaal voor bekendheid met de procedure voor het melden van verdachte e-mails, en slechts een 2,6 voor bekendheid met de stappen bij het rapporteren van een cyberaanval. Schoolleiders scoren iets hoger met respectievelijk 3,8 en 3,4, maar ook hier is de spreiding groot.

Dit gebrek aan kennis is zorgelijk omdat leraren en schoolleiders vaak de eerste lijn vormen bij het signaleren van beveiligingsrisico’s. Wanneer zij niet weten hoe ze verdachte situaties moeten melden of hoe ze moeten handelen bij een cyberincident, wordt de gehele organisatie kwetsbaarder. De Monitor Digitalisering Onderwijs 2025 benadrukt dat bewustwording en betrokkenheid van leraren rond informatiebeveiliging en privacy beperkt zijn. Veel leraren voelen zich onvoldoende toegerust om met beleid rondom informatiebeveiliging en privacy om te gaan, en worden hier ook niet of nauwelijks bij betrokken.

Waarom toezicht op ICT-leveranciers beperkt en onduidelijk blijft

Een ander belangrijk aandachtspunt dat uit de Monitor Digitalisering Onderwijs 2025 naar voren komt, is het beperkte en vaak onduidelijke toezicht op ICT-leveranciers. Scholen en besturen maken voor hun digitale infrastructuur grotendeels gebruik van externe leveranciers, maar controleren de afspraken over informatiebeveiliging en privacy met deze partijen onvoldoende.

Slechts 27 procent van de scholen heeft het afgelopen jaar de afspraken over informatiebeveiliging en privacy met hun ICT-leveranciers gecontroleerd. Een even groot percentage van 37 procent deed dit niet, en nog eens 37 procent weet niet of deze controle heeft plaatsgevonden. Deze cijfers tonen aan dat veel scholen weinig grip hebben op de manier waarop externe partijen omgaan met gevoelige gegevens van leerlingen en medewerkers.

Het gebrek aan toezicht op ICT-leveranciers vormt een risico omdat scholen uiteindelijk verantwoordelijk blijven voor de bescherming van persoonsgegevens, ook wanneer deze door externe partijen worden verwerkt. Wanneer leveranciers niet voldoen aan de gemaakte afspraken of wanneer er onduidelijkheid bestaat over hoe zij data beschermen, kunnen scholen in overtreding komen van de AVG en andere wet- en regelgeving. De Monitor benadrukt het belang van heldere verwerkersovereenkomsten en regelmatige audits om te waarborgen dat leveranciers aan de gestelde eisen voldoen.

Welke conclusies de Monitor Digitalisering Onderwijs 2025 trekt over informatiebeveiliging en privacy

De Monitor Digitalisering Onderwijs 2025 trekt een aantal duidelijke conclusies over de staat van informatiebeveiliging en privacy in het Nederlandse funderend onderwijs. Deze conclusies benadrukken de urgentie om concrete stappen te zetten richting een veiliger digitale leeromgeving.

Ten eerste is het Normenkader IBP weliswaar bekend bij nagenoeg alle besturen, maar is de implementatie ervan nog volop in ontwikkeling en in veel gevallen nog niet voltooid. De uitvoering ligt meestal bij een combinatie van interne en externe partijen, hoewel sommige besturen ervoor kiezen dit voornamelijk intern te organiseren. Het ontbreken van een nulmeting bij veel besturen maakt gerichte verbetering lastig.

Ten tweede oefenen de meeste scholen niet of nauwelijks met beveiligingsincidenten. Een minderheid doet dit jaarlijks of maandelijks, terwijl een aanzienlijke groep niet eens weet of dit ooit is gebeurd. Oefening is echter cruciaal om effectief te kunnen reageren wanneer een incident zich voordoet. Zonder regelmatige training en simulaties zijn scholen onvoldoende voorbereid op de cyberrisico’s waarmee zij worden geconfronteerd.

Op de derde plek staat dat de bekendheid met meldprocedures en rapportagestappen bij cyberaanvallen wisselend en vaak onvoldoende is. Vooral leraren en schoolleiders zijn regelmatig niet op de hoogte van de procedures en de stappen die zij moeten nemen bij een incident. Dit gebrek aan kennis kan leiden tot vertraging in de respons en tot grotere schade.

Als vierde punt wordt gegeven dat het toezicht op ICT-leveranciers beperkt en vaak onduidelijk blijft. Een aanzienlijk deel van de scholen heeft geen of weinig controle op de gemaakte afspraken met leveranciers. Dit gebrek aan toezicht vormt een risico voor de bescherming van persoonsgegevens en de naleving van wet- en regelgeving. Het is essentieel dat scholen meer grip krijgen op hun externe partners en actief controleren of deze partijen aan de gestelde beveiligingseisen voldoen.

Hoe scholen en besturen kunnen werken aan verbetering van informatiebeveiliging en privacy

De Monitor Digitalisering Onderwijs 2025 maakt duidelijk dat er nog een flinke weg te gaan is voordat informatiebeveiliging en privacy op het gewenste niveau zijn in het onderwijs. Gelukkig zijn er verschillende initiatieven en hulpmiddelen beschikbaar die scholen en besturen kunnen ondersteunen bij het verbeteren van hun digitale veiligheid.

Het Groeipad biedt houvast en fungeert als wegwijzer door het Normenkader IBP. Met behulp van het Groeipad kunnen scholen en besturen gestructureerd en stapsgewijs werken aan de digitale veiligheid binnen hun organisatie. De nieuwe zelfevaluatietool van Kennisnet geeft inzicht in de huidige stand van zaken op het gebied van informatiebeveiliging en privacy, en helpt bij het identificeren van verbeterpunten.

SIVON organiseert Deep Dive Workshops waarin deelnemers handvatten krijgen om een eigen nulmeting uit te voeren en verder te gaan met de implementatie van het Normenkader IBP. Deze workshops bieden nazorg en begeleiding, waardoor organisaties niet alleen een momentopname krijgen, maar ook kunnen werken aan duurzame verbetering.

School-CERT biedt snelle ondersteuning bij cybersecurity-incidenten. Een team van gespecialiseerde ICT-professionals staat klaar om te adviseren en bij te staan wanneer een school getroffen wordt door een cyberaanval. Daarnaast heeft Kennisnet een crisisoefeningpakket beschikbaar waarmee schoolbesturen eenvoudig een jaarlijkse crisisoefening kunnen organiseren. Regelmatig oefenen vergroot de weerbaarheid van organisaties en zorgt ervoor dat medewerkers weten hoe te handelen bij een incident.

Het programma Digitaal Veilig Onderwijs biedt diverse hulpmiddelen om scholen te ondersteunen bij zorgvuldige en veilige gegevensverwerking. Denk aan de Dienst Verwerkersovereenkomsten, Data Protection Impact Assessments en het Netwerk Informatiebeveiliging en Privacy. Deze instrumenten helpen scholen om grip te krijgen en te houden op de digitale veiligheid binnen hun organisatie.

Tot slot is bewustwording essentieel. Met behulp van de speciaal ontwikkelde praatplaat kunnen scholen tijdens team- of studiedagen inzicht krijgen in hoe informatiebeveiliging en privacy de hele organisatie raken. Door alle medewerkers bewust te maken van hun rol in de digitale veiligheid wordt de weerbaarheid van de organisatie als geheel vergroot.

Meer informatie over hoe scholen en besturen kunnen bijdragen aan veilige digitale leeromgevingen is te vinden in ons artikel over hoe het Normenkader IBP bijdraagt aan digitale veiligheid in onderwijsinstellingen.

Wat onderwijsinstellingen nu moeten doen om digitale veiligheid te verbeteren

De Monitor Digitalisering Onderwijs 2025 laat zien dat er urgentie is om actie te ondernemen. Het monitoren en evalueren van beleid rondom informatiebeveiliging en privacy moet structureel worden verankerd in de organisatie. Besturen en scholen kunnen niet volstaan met het op papier zetten van beleid, maar moeten ervoor zorgen dat dit beleid ook daadwerkelijk wordt uitgevoerd en regelmatig wordt getoetst aan de praktijk.

Het betrekken van leraren en andere medewerkers bij informatiebeveiliging en privacy is cruciaal. Zij vormen de eerste lijn en moeten weten hoe ze beveiligingsrisico’s kunnen herkennen en melden. Scholing en bewustwording zijn hierbij onmisbaar. Regelmatige training en oefeningen zorgen ervoor dat medewerkers voorbereid zijn op incidenten en weten hoe te handelen.

Het versterken van het toezicht op ICT-leveranciers is een ander belangrijk verbeterpunt. Scholen moeten actief controleren of leveranciers voldoen aan de gemaakte afspraken en aan de geldende beveiligingseisen. Het opstellen van heldere verwerkersovereenkomsten en het uitvoeren van regelmatige audits zijn hierbij essentiële stappen.

De Monitor Digitalisering Onderwijs 2025 biedt een waardevol inzicht in de uitdagingen waarmee onderwijsinstellingen worden geconfronteerd op het gebied van informatiebeveiliging en privacy. De conclusies zijn helder: er is werk aan de winkel. Door actief aan de slag te gaan met de implementatie van het Normenkader IBP, door te investeren in scholing en bewustwording, door regelmatig te oefenen met incidenten en door beter toezicht te houden op externe partners, kunnen scholen en besturen de digitale veiligheid van leerlingen en medewerkers substantieel verbeteren.