Wat staat er in het IBP-normenkader?

    - - / 16 maart 2026

    Blogreeks: deel 2

    In deel 1 van de blogreeks is het IBP-normenkader kort aangestipt. Het IBP-normenkader bestaat uit normen voor informatiebeveiliging en privacy. Beide onderdelen zijn uitgewerkt in allerlei domeinen die samen de belangrijkste risico’s en verantwoordelijkheden binnen scholen afdekken.

    Informatiebeveiliging

    De normen voor informatiebeveiliging zijn verdeeld over vijftien domeinen:

    1. Bestuur

    • Borgt bestuurlijke verantwoordelijkheid en sturing op informatiebeveiliging

    2. Organisatie

    • Richt rollen, taken en verantwoordelijkheden binnen de organisatie in

    3. Risicomanagement

    • Brengt risico’s in kaart en helpt bij het maken van onderbouwde keuzes

    4. Personeelsbeheer

    • Richt zich op bewustwording, training en verantwoordelijkheden van medewerkers

    5. Configuratiemanagement

    • Zorgt voor controle over systemen en instellingen

    6. Incident- en problemmanagement

    • Regelt hoe beveiligingsincidenten worden herkend, afgehandeld en geëvalueerd

    7. Changemanagement

    • Borgt dat wijzigingen gecontroleerd en veilig worden doorgevoerd

    8. Systeemontwikkeling

    • Richt zich op veiligheid bij het ontwikkelen of aanpassen van systemen

    9. Datamanagement

    • Beschrijft hoe data worden opgeslagen, gebruikt en beschermd

    10. Identity- en accessmanagement

    • Regelt wie toegang heeft tot welke systemen en gegevens

    11. Securitymanagement

    • Zorgt voor samenhang en toezicht op beveiligingsmaatregelen

    12. Fysieke beveiliging

    • Beschermt gebouwen, hardware en fysieke toegang tot systemen

    13. IT-operatie

    • Richt zich op veilig beheer en dagelijks gebruik van IT-systemen

    14. Bedrijfscontinuïteitsmanagement

    • Borgt continuïteit bij verstoringen of calamiteiten

    15. Ketenbeheer

    • Regelt beveiliging bij samenwerking met leveranciers en ketenpartners

    Privacy

    De normen voor privacy zijn uitgewerkt in zeven domeinen:

    1. Beleid

    • Legt vast hoe de school omgaat met persoonsgegevens en privacy in het algemeen

    2. Processen

    • Borgt privacy in dagelijkse werkprocessen en besluitvorming

    3. Organisatorische inbedding

    • Regelt verantwoordelijkheden en toezicht op privacy binnen de school.

    4. Rechten van betrokkenen

    • Zorgt dat wordt voldaan aan de rechten van leerlingen, ouders en medewerkers

    5. Samenwerking

    • Richt zich op privacy afspraken met leveranciers en samenwerkingspartners

    6. Beveiliging

    • Borgt dat er technische en organisatorische maatregelen zijn om persoonsgegevens te beschermen

    7. Verantwoording

    • Aantoonbaar kunnen maken dat de privacy wet- en regelgeving wordt nageleefd

    Scholen hebben sommige van bovenstaande normen al op orde, maar bij een aantal normen zal nog werk aan de winkel zijn.

    In deel 3 van deze blogreeks gaan wij in op de verschillende volwassenheidsniveaus. In 2030 moeten scholen namelijk al voldoen aan volwassenheidsniveau 3. Wat dat inhoudt, lees je in het volgende blog.

    Hulp nodig met het IBP-normenkader? Neem contact met ons op.

    Neem contact op
    Terug naar overzicht

    Thijs Pas

    Information Security Consultant
    Lees meer
    CTA - Security compliance

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram