Normenkader IBP: Hoe nu verder?

De kaders van informatiebeveiliging en privacy

Door het ministerie van OCW, Kennisnet, PO-raad en VO-raad is het programma Digitaal Veilig Onderwijs geïnitieerd. Het doel van het programma is om kaders te bieden om een veilige digitale leer- en werkomgeving voor leerlingen en medewerkers te realiseren. Eén van de onderdelen uit het programma betreft het Normenkader Informatiebeveiliging en Privacy (IBP). Het Normenkader (voor Funderend Onderwijs) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen voor schoolbesturen (bron: ministerie van OCW). Klinkt goed en noodzakelijk. Maar wat is het nu eigenlijk en hoe kan je ermee aan de slag?

Het Normenkader IBP beschrijft dus de kaders. Deze zijn verdeeld over een 15-tal hoofdonderwerpen van incident- en wijzigingsbeheer tot beveiligingsbeheer. Maar ook kaders voor bestuur en organisatie. En dat is voor het onderwijs op zich al winst. Hoewel het Normenkader IBP behoorlijk veelomvattend is, wordt het voor onderwijsinstellingen vooral nu goed duidelijk dat digitale veiligheid geen IT kunstje is.

Het Normenkader IBP is nog niet verplicht. Maar het door het ministerie afgegeven doel is dat in 2027 schoolorganisaties dit wel op orde moeten hebben. Lijkt ver weg dus je hebt nog wel de tijd, toch?

Nou, daar zou ik niet op rekenen. Ten eerste is het Normenkader IBP zoals gezegd redelijk veelomvattend (en dat is maar goed ook). Het beschrijft meer dan 300 toetsingskaders waaraan het onderwijs op termijn dient te voldoen. Een aantal kaders lijkt redelijk ‘binair’. Je schrijft een document of voert een eenmalige actie uit en klaar. Zie bijvoorbeeld dit toetsingskader: “Strategie en visie zijn goedgekeurd door het bevoegd gezag.” Dat is niet zo ingewikkeld. Maar het gros van de toetsingskaders is dat wel. Niet alleen zijn deze complexer, ze vragen ook om een continu proces van organisatie. En dat is precies de achilleshiel van dit soort kaders. Informatiebeveiliging moet je vooral doen, je moet het organiseren. En het is maar de vraag of het onderwijs de benodigde capaciteit en kennis en kunde op tijd kan opschalen.

Gelukkig bevat het Normenkader IBP wel een prioritering. Er is een duidelijke afbakening van niveaus. Van wat zo snel mogelijk echt op orde moet zijn tot ‘optimalisatie’. Maar ook dan blijft het een stevige uitdaging. Om een goed beeld te hebben van de werkzaamheden die je de aankomende jaren moet, uitvoeren is het noodzakelijk dat je weet waar je nu staat. Het begint immers met inzicht.

Lees ook het artikel op Kennisnet over het Normenkader IBP.

De Scan Normenkader Informatiebeveiliging laat zien waar je nu staat als onderwijsinstelling

Om scholen hierbij te helpen hebben wij de Scan Normenkader Informatiebeveiliging opgesteld. Hierbij brengen we samen met jouw school of stichting middels een nulmeting in kaart wat de huidige status van Informatiebeveiliging is. En dat exact conform het Normenkader IBP. We geven dit weer in een overzichtelijk rapport met niet alleen de huidige stand van zaken maar ook een aantal richtlijnen. Zodat je weet waar de pijn zit en wat er voor nodig is om in 2027 te voldoen aan het Normenkader IBP.

Kennissessie over onze ervaring met de Scan

Op 26 september organiseren we een online kennissessie over het normenkader en de scan. Houd de evenementen pagina in de gaten wanneer de volgende sessie plaatsvindt. 

Download hier de brochure voor meer informatie of neem contact op met mij of een van mijn collega's.