Blogreeks: deel 1
Digitalisering speelt een grote rol binnen het onderwijs. Denk aan het gebruik van tablets, leerlingvolgsystemen maar ook mobiele telefoons in de klas. Dat is (helaas) het beeld van tegenwoordig. Maar gaan scholen goed om met alle data en persoonsgegevens? Is de beveiliging op orde?
Onderwijsorganisaties weten dat zij verantwoordelijkheid dragen voor het waarborgen van informatiebeveiliging en privacy. Tegelijk leven er vragen: wat moet minimaal geregeld zijn? Waar begin je? En hoe weet je of je geen risico’s over het hoofd ziet?
Het IBP-normenkader (Informatiebeveiliging en Privacy) biedt houvast. Niet als theoretisch model, maar als een praktisch kader dat scholen helpt om informatiebeveiliging en privacy gestructureerd en aantoonbaar in te richten, in lijn met wat van scholen wordt verwacht.
Wat is het IBP-normenkader en voor wie is het bedoeld?
Het IBP-normenkader is een praktisch referentiekader voor informatiebeveiliging en privacy binnen het onderwijs. Het beschrijft welke maatregelen minimaal nodig zijn om persoonsgegevens en digitale systemen op een verantwoorde manier te beschermen.
Dit kader heet formeel het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Het bevat concrete normen en maatregelen die scholen kunnen nemen om hun digitale veiligheid en privacy structureel op orde te brengen.
Het kader is ontwikkeld voor scholen en schoolbesturen in het primair, voortgezet en speciaal onderwijs. Het is nadrukkelijk geen generieke IT-norm, maar een normenkader dat aansluit op de dagelijkse praktijk van scholen. Denk aan leerlingadministraties, digitale leermiddelen, cloudomgevingen en de afhankelijkheid van externe leveranciers.
In opzet en gedachtegang heeft het normenkader duidelijke overeenkomsten met bekende beveiligingsnormen zoals ISO/IEC 27001. Net als de NEN 7510 dat doet voor de zorg, biedt het IBP-normenkader een sectorspecifieke invulling van informatiebeveiliging en privacy voor het onderwijs. Daarbij is het kader afgestemd op de schaal, context en risico’s die typisch zijn voor onderwijsinstellingen.
Het normenkader is tot stand gekomen in samenwerking met het ministerie van OCW, Kennisnet, de PO-Raad, de VO-raad en SIVON. Daarmee is het geen los initiatief of tijdelijk project, maar onderdeel van een bredere, landelijke beweging om digitale veiligheid en privacy in het onderwijs structureel te verbeteren.
Het IBP-normenkader is het kader waaraan scholen moeten voldoen om hun digitale veiligheid op orde te brengen. Het is geen certificeringsnorm, maar fungeert wel als de beleidsmatige norm voor informatiebeveiliging en privacy binnen het funderend onderwijs. De overheid verwacht dat scholen dit kader gebruiken om invulling te geven aan hun wettelijke verplichtingen, onder meer op grond van de AVG en onderwijswetgeving.
En nu?
Vanaf 1 januari 2027 moeten scholen inzicht hebben in hun positie ten opzichte van het normenkader via een zelfevaluatie en beschikken over een plan van aanpak om aan de normen te voldoen. Het normenkader vormt daarmee het referentiepunt voor toezicht en verantwoording. Uiterlijk in 2030 moeten scholen minimaal volwassenheidsniveau 3 moeten hebben bereikt.
In deel 2 van deze blogreeks leggen wij uit welke onderwerpen in het IBP-normenkader zijn opgenomen. En in deel 3 volgt een overzicht van de verschillende volwassenheidsniveaus.
Hulp nodig bij het voldoen aan het IBP-normenkader? Neem contact met ons op.
