Normenkader IBP FO

Wat is het Normenkader IBP FO?

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO) is een hulpmiddel voor schoolbesturen om hun informatiebeveiliging en de bescherming van persoonsgegevens te verbeteren.

Het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hebben dit normenkader laten opstellen als onderdeel van hun programma Digitaal Veilig Onderwijs. Dat programma is bedoeld voor het primair en voortgezet onderwijs (ook wel het Funderend Onderwijs genoemd) en helpt scholen om hun leerlingen en medewerkers een ‘digitaal veilige’ schoolomgeving te bieden. Het FO vormt niet alleen veruit de grootste groep scholen en leerlingen, die leerlingen zijn ook jonger en kwetsbaarder dan studenten op het MBO en hoger onderwijs. Bovendien beschikken middelbare scholen of basisscholen – zelfs als ze samenwerken – veelal over minder IT-kennis dan de gemiddelde ROC, hogeschool of universiteit.

Het Normenkader IBP FO bestaat uit 69 normen voor je informatiebeveiliging. De normen zijn geclusterd in 15 beveiligingsdomeinen, variërend van de opzet van je risicomanagement tot richtlijnen voor je Identity en Access Management. In een latere versie zal ook nog een extra categorie met privacy-eisen worden toegevoegd.

Ieder domein wordt concreet ingevuld met een aantal specifieke normen. Hieronder is een voorbeeld getoond. Per norm is er een toetsingskader met de minimumeisen waaraan scholen moeten voldoen. Ook zijn bij iedere norm voorbeeldmaatregelen beschreven waarmee een school automatisch kan voldoen aan de eisen. Ook komen er steeds meer gereedschappen beschikbaar zoals checklists en templates. Zo kunnen we de informatiebeveiliging en privacy via dit normenkader onderwijs-breed verbeteren.

Hoe is het Normenkader IBP FO ontstaan?

Het normenkader is ontwikkeld omdat IT een steeds grotere rol speelt binnen het Funderend Onderwijs. ICT-oplossingen worden allang niet meer alleen gebruikt voor de administratieve processen; ook in het klaslokaal en bij het onderwijs op afstand wordt volop gebruik gemaakt van slimme digitale toepassingen. Dat betekent dat ook informatiebeveiliging en privacy veel belangrijker wordt.

Zo worden gaandeweg steeds meer persoonlijke gegevens van miljoenen leerlingen verwerkt en opgeslagen. Bovendien schuiven leerlingen jaarlijks door naar een volgend leerjaar of een vervolgopleiding met andere docenten en begeleiders. In zo’n dynamische omgeving moeten scholen zorgen dat alle gevoelige gegevens van kinderen en jongeren zorgvuldig worden beheerd, terwijl ook de docenten en medewerkers veilig en met voldoende privacy hun werk kunnen doen.

Bovendien zijn er ook volop ontwikkelingen die die uitdagingen nog groter maken. Een zogeheten sectorbeeld dat de Autoriteit Persoonsgegevens heeft opgesteld geeft een overzicht van belangrijke privacy trends en ontwikkelingen binnen het onderwijs. Wat voorbeelden zijn:

• Het onderwijs krijgt veel meer verantwoordelijkheden zoals het welzijn en de persoonlijke veiligheid van leerlingen en studenten, het stimuleren van kansengelijkheid en het voorkomen van polarisatie. Scholen worstelen met de vraag welke persoonlijke gegevens daarvoor gebruikt mogen worden en onder welke voorwaarden.
• Er wordt steeds meer gebruik gemaakt van algoritmes en kunstmatige intelligentie (AI), bijvoorbeeld bij adaptieve leermiddelen, learning analytics en geautomatiseerd toetsen. Hoe garandeer je de juiste interpretatie van data, voorkom je vooringenomenheid (bias) en borg je de transparantie en controle over persoonsgegevens?
• Bij het onderwijs gebruiken docenten, leerlingen en studenten steeds enthousiaster allerlei (gratis) apps en software, waardoor onbedoeld een wildgroei van ‘schaduw-ICT’ kan ontstaan. Dat maakt het voor onderwijsinstellingen extra lastig om grip te houden op het gebruik van persoonsgegevens en de privacy van leerlingen, studenten en personeel.
• Bij onderzoek worden vaak persoonsgegevens verzameld en verwerkt. Het correct anonimiseren of – indien toegestaan – pseudonimiseren levert veel vragen op, evenals het uitwisselen van onderzoeksgegevens en het eventuele hergebruik ervan. Dit speelt ook al op middelbare scholieren bij bijvoorbeeld profielwerkstukken.

In datzelfde sectorbeeld was het AP dan ook positief over de steeds betere samenwerking binnen het onderwijs, bijvoorbeeld bij het opstellen van gezamenlijke eisen op het gebied van privacy en informatiebeveiliging. Zo beschikt het MBO en hoger Onderwijs over sector brede IB & privacynormen en publiceerde in 2023 het funderend onderwijs het Normenkader IBP FO. Net als het hoger en middelbaar onderwijs gebruikt je daarbij het NBA Volwassenheidsmodel van de Nederlandse Beroepsorganisatie van Accountants als uitgangspunt.

Compliant worden met het Normenkader IBP FO?

Het is nu nog niet verplicht om te voldoen aan het Normenkader IBP FO. Wel moeten schoolbesturen in hun jaarverslagen vanaf 2024 actief aandacht besteden aan hun plannen en ontwikkelingen rondom informatiebeveiliging en privacy. Ook heeft het ministerie aangekondigd dat scholen vanaf 2027 wél compliant moeten zijn met het Normenkader.

Maar waar staan scholen dan nu? In opdracht van het programma Digitaal Veilig Onderwijs heeft onderzoeksbureau Dialogic een nulmeting uitgevoerd aan de hand van het Normenkader (zie link). Van alle onderzochte scholen – een representatieve steekproef van 15 schoolbesturen – voldeed vooralsnog geen enkel schoolbestuur aan alle eisen. Onderstaand overzicht geeft bovendien de compliance percentages per domein. Met wat optimistisme zou je Incident en Problem Management een positieve uitschieter kunnen noemen, maar ook dat domein scoort nog onder de 50%. De resultaten van de overige domeinen liggen nog duidelijk lager.

Er is dus nog een hoop te doen. In het onderzoek heeft men de scholen daarom gecategoriseerd. Er is een top 10% die – ook al zijn ze nu nog niet compliant – duidelijke koplopers zijn met voldoende kennis en capaciteit om tijdig aan de normen te kunnen voldoen. Er is een grotere groep (50%) die er al wel actief mee bezig is maar nog moet opschalen op het gebied van IBP-expertise en/of de bredere bewustwording binnen de organisatie. Tenslotte is er een groep van 40% die men in het rapport ‘onbewust onbekwaam’ noemt. Die groep telt relatief veel kleinere organisaties die vooralsnog de capaciteit en kennis missen om het Normenkader te implementeren.

Hulpmiddelen

Gelukkig zijn er voor scholen voldoende aanknopingspunten om met het Normenkader aan de slag te gaan. We noemden al dat er templates en voorbeeldmaatregelen zijn om te kunnen voldoen aan het gewenste minimumniveau. Ook is in het Normenkader een voorbeeld van een stappenplan opgenomen. Daarin zorgt een school er eerst voor de basis op orde te brengen om vervolgens eerst de hoge risico’s en daarna ook de kleinere risico’s op te lossen. Net zo belangrijk zijn een aantal heldere basisprincipes in je IB-beleid en -plannen. Als je daar goed over nadenkt, kun je veel eisen een stuk eenvoudiger realiseren.

Zo is het cruciaal dat vanaf het begin goed wordt nagedacht over functies, rollen en functiescheiding binnen de school. Je kunt bijvoorbeeld met Role Based Access Control voor iedere functie en medewerker eenvoudig bepalen welke toegang tot applicaties en data noodzakelijk zijn. Ook worden die instellingen automatisch aangepast als iemands functie verandert en kun je met zo’n heldere aanpak ook eenvoudig processen inregelen voor tijdelijke vervanging, calamiteitenafhandeling en andere bijzondere omstandigheden.

Op vergelijkbare manier zie je ook al snel de noodzaak van het gestructureerd monitoren van gegevens en handelingen. Dat is belangrijk om voortdurend de effectiviteit van je IB-plannen te evalueren, maar het is vooral belangrijk om beveiligingszwaktes tijdig te detecteren in je informatiebeveiliging en bij calamiteiten snel te kunnen handelen. Je merkt dus dat veel eisen eenvoudiger te realiseren zijn als je structureel hebt nagedacht over zaken als monitoring en logging.

Meer weten over het Normenkader IBP FO? En ben je geïnteresseerd hoe een moderne Identity en Access Management oplossing kan helpen om de basis van je informatiebeveiliging structureel in te richten? Check onze whitepaper.