Digitalisering in het onderwijs gaat zelden mis door één verkeerde beslissing. Vaker ontstaan risico’s geleidelijk. Door groei. Meer systemen, meer data, meer afhankelijkheden. En ergens onderweg raakt de beheersing uit beeld.
Onderwijsorganisaties weten dat zij verantwoordelijkheid dragen voor het waarborgen van informatiebeveiliging en privacy. Tegelijk leven er vragen: wat moet minimaal geregeld zijn? Waar begin je? En hoe weet je of je geen risico’s over het hoofd ziet?
Het IBP-normenkader (Informatiebeveiliging en Privacy) biedt dat houvast. Niet als theoretisch model, maar als een praktisch kader dat scholen helpt om informatiebeveiliging en privacy gestructureerd en aantoonbaar in te richten, in lijn met wat van scholen wordt verwacht.
Wat is het IBP-normenkader en voor wie is het bedoeld?
Het IBP-normenkader is een praktisch referentiekader voor informatiebeveiliging en privacy binnen het onderwijs. Het beschrijft welke maatregelen minimaal nodig zijn om persoonsgegevens en digitale systemen op een verantwoorde manier te beschermen.
Dit kader heet formeel het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Het bevat concrete normen en maatregelen die scholen kunnen nemen om hun digitale veiligheid en privacy structureel op orde te brengen.
Het kader is ontwikkeld voor scholen en schoolbesturen in het primair, voortgezet en speciaal onderwijs. Het is nadrukkelijk geen generieke IT-norm, maar een normenkader dat aansluit op de dagelijkse praktijk van scholen. Denk aan leerlingadministraties, digitale leermiddelen, cloudomgevingen en de afhankelijkheid van externe leveranciers.
In opzet en gedachtegang heeft het normenkader duidelijke overeenkomsten met bekende beveiligingsnormen zoals ISO/IEC 27001. Net als de NEN 7510 dat doet voor de zorg, biedt het IBP-normenkader een sectorspecifieke invulling van informatiebeveiliging en privacy voor het onderwijs. Daarbij is het kader afgestemd op de schaal, context en risico’s die typisch zijn voor onderwijsinstellingen.
Het normenkader is tot stand gekomen in samenwerking met het ministerie van OCW, Kennisnet, de PO-Raad, de VO-raad en SIVON. Daarmee is het geen los initiatief of tijdelijk project, maar onderdeel van een bredere, landelijke beweging om digitale veiligheid en privacy in het onderwijs structureel te verbeteren.
Het IBP-normenkader is het kader waaraan scholen moeten voldoen om hun digitale veiligheid op orde te brengen. Het is geen certificeringsnorm, maar fungeert wel als de beleidsmatige norm voor informatiebeveiliging en privacy binnen het funderend onderwijs. De overheid verwacht dat scholen dit kader gebruiken om invulling te geven aan hun wettelijke verplichtingen, onder meer op grond van de AVG en onderwijswetgeving.
Concreet betekent dit dat scholen uiterlijk in 2030 minimaal volwassenheidsniveau 3 moeten hebben bereikt. Vanaf 1 januari 2027 moeten scholen inzicht hebben in hun positie ten opzichte van het normenkader via een zelfevaluatie en beschikken over een plan van aanpak om aan de normen te voldoen. Het normenkader vormt daarmee het referentiepunt voor toezicht en verantwoording.
Deze verwachtingen en het bijbehorende toezicht zijn onderdeel van het landelijke programma Digitaal Veilig Onderwijs, zoals toegelicht door de Rijksoverheid.
Het IBP-normenkader en een ISMS: hoe verhouden die zich tot elkaar?
Het IBP-normenkader helpt scholen om informatiebeveiliging en privacy gestructureerd in te richten. Het beschrijft welke maatregelen minimaal nodig zijn en brengt samenhang aan tussen beleid, risico’s en uitvoering.
In die zin lijkt het normenkader op een Information Security Management System (ISMS). Beide zijn gericht op beheersing van informatiebeveiliging: niet alleen technische maatregelen, maar ook afspraken, verantwoordelijkheden en keuzes op organisatieniveau.
Het verschil is belangrijk. Het IBP-normenkader is geen volwaardig ISMS. In tegenstelling tot normen zoals ISO/IEC 27001 bevat het niet alle onderdelen om informatiebeveiliging als managementsysteem te borgen, zoals vaste auditcycli, expliciete eisen rondom continue verbetering of certificering.
Je kunt het IBP-normenkader daarom het beste zien als een normatief kader dat de implementatie van een ISMS faciliteert, zonder direct de complexiteit van ee
n volledige ISO-norm te introduceren. Juist die positie maakt het kader praktisch en goed toepasbaar voor scholen.
Waar gaat het IBP-normenkader inhoudelijk op in?
Het IBP-normenkader bestaat uit normen voor informatiebeveiliging en privacy. Beide onderdelen zijn uitgewerkt in domeinen die samen de belangrijkste risico’s en verantwoordelijkheden binnen scholen afdekken.
Informatiebeveiliging
De normen voor informatiebeveiliging zijn verdeeld over vijftien domeinen:
Privacy
De normen voor privacy zijn uitgewerkt in zeven domeinen:
Hoe ga je hier als onderwijsorganisatie mee aan de slag?
Het IBP-normenkader werkt met volwassenheidsniveaus die inzicht geven in waar een school staat op het gebied van informatiebeveiliging en privacy en welke stappen logisch zijn om verder te groeien.
Het uitgangspunt is nadrukkelijk niet dat alles in één keer perfect geregeld moet zijn. Scholen kunnen gefaseerd en beheerst toewerken naar een hoger volwassenheidsniveau.
Om daarbij te helpen, is het Groeipad ontwikkeld. Door dit pad te volgen, dek je eerst de grootste risico’s af en werk je projectmatig toe naar volwassenheidsniveau 3. Dat niveau geldt voor veel scholen als een passend basisniveau: de belangrijkste risico’s zijn beheerst en maatregelen zijn structureel ingericht.
Het Groeipad in de praktijk
Het Groeipad bestaat uit vijf opeenvolgende fasen:
Op http://normenkaderibp.kennisnet.nl zijn het volledige normenkader, het Groeipad en ondersteunende hulpmiddelen te vinden om scholen te helpen bij de praktische toepassing.
Stapsgewijs toewerken naar volwassenheidsniveau 3
In de praktijk helpt het om het IBP-normenkader gestructureerd aan te pakken. Een werkbare aanpak richting volwassenheidsniveau 3 ziet er bijvoorbeeld als volgt uit:
- Breng de huidige situatie in kaart
Bepaal waar je staat ten opzichte van de normen en volwassenheidsniveaus en breng in kaart wat er al ligt. Dit kan door middel van een nulmeting of self-assessment.
- Stel strategisch beleid op voor informatiebeveiliging en privacy
Leg vast hoe je informatiebeveiliging en privacy wilt borgen, inclusief verantwoordelijkheden en uitgangspunten op organisatieniveau en breng de nodige zaken in kaart om het beleid te gaan uitvoeren (niveau 1).
- Voer een risicobeoordeling uit en stel een risicobehandelplan op
Breng de belangrijkste risico’s in kaart en bepaal welke maatregelen uit het normenkader prioriteit hebben.
- Implementeer de meest urgente maatregelen
Richt je eerst op maatregelen die de grootste risico’s mitigeren en direct effect hebben (niveau 2).
- Voer een gap-analyse of maturity assessment uit
Nadat de grootste risico’s zijn afgedekt, kijk je welke maatregelen nog ontbreken om door te groeien.
- Stel een actieplan op en voer deze uit
Werk de resterende verbeterpunten uit in een concreet actieplan en voer deze uit (niveau 3).
Het resultaat is een samenhangende en beheersbare inrichting van informatiebeveiliging en privacy, passend bij volwassenheidsniveau 3.
Afsluiting
Het IBP-normenkader helpt scholen om informatiebeveiliging en privacy gestructureerd en beheersbaar in te richten. Door gefaseerd te werken en gebruik te maken van het Groeipad ontstaat overzicht en focus, zonder dat alles in één keer perfect geregeld hoeft te zijn.
Die aanpak is niet alleen verstandig, maar ook noodzakelijk. Scholen worden geacht uiterlijk in 2030 minimaal volwassenheidsniveau 3 te hebben bereikt. Vanaf 1 januari 2027 moeten zij inzicht hebben in hun positie ten opzichte van het normenkader, onderbouwd met een zelfevaluatie en een concreet plan van aanpak. Daarnaast vraagt de verplichte paragraaf over Informatiebeveiliging en Privacy in het jaarverslag al op korte termijn om bestuurlijke verantwoording.
Tegelijk nemen digitale dreigingen nu al toe. Cyberaanvallen en datalekken wachten niet tot 2027 of 2030 en kunnen grote impact hebben op het onderwijsproces en het vertrouwen van ouders en medewerkers. Wie te lang wacht, loopt niet alleen meer risico, maar maakt de implementatie uiteindelijk ook complexer en kostbaarder.
De uitdaging zit daarbij vaak niet alleen in het nemen van maatregelen, maar in het maken van de juiste keuzes en het aantoonbaar voldoen aan het normenkader. Wij kunnen scholen in elke fase ondersteunen: van nulmeting en implementatie tot het objectief inzichtelijk maken in hoeverre aan het IBP-normenkader wordt voldaan. Geen certificering, maar een onafhankelijke beoordeling die laat zien waar je staat en welke vervolgstappen logisch zijn.
Zo wordt het IBP-normenkader geen papieren verplichting, maar een werkend onderdeel van de onderwijspraktijk, vandaag en richting 2030. Begin daarom nu met inzicht: breng in kaart waar je staat ten opzichte van het normenkader en stel een plan op om uiterlijk in 2027 aantoonbaar grip te hebben op informatiebeveiliging en privacy.
Heb je hier ondersteuning bij nodig of wil je gewoon even met ons sparren? Neem dan contact met ons op.
