Aanpak digitale veiligheid bij vereniging OMO: 'Verantwoordelijkheid kun je niet outsourcen’

11 juni 2024

Digitale veiligheid is in het onderwijs van cruciaal belang. Leerlingen, ouders en medewerkers vertrouwen ons immers hun gegevens toe. Maar wat is ‘veilig genoeg’? Vereniging OMO heeft een organisatiebrede aanpak voor al haar (ruim zestig) scholen in Noord-Brabant.

Onderzoek

Bij OMO lag het startpunt om echt werk te maken van digitale veiligheid in 2017, toen de vereniging voor haar scholen glasvezel liet aanleggen en daarvoor ging samenwerken met SIVON, de ICT-coöperatie van schoolbesturen in het po en vo. Yvonne Kops is lid van de Raad van Bestuur van OMO en heeft ICT en digitale veiligheid in portefeuille. “In 2017 hadden we het gevoel dat we goed bezig waren met het bouwen aan een veilige infrastructuur voor alle OMO-scholen, in samenwerking met andere besturen binnen SIVON”, zegt zij. “Maar in december 2021 werden we toch weer wakker geschud. Er zat wereldwijd een bug verstopt in allerlei systemen, en het bleek lastig om meteen de ICT-verantwoordelijken van al onze scholen te bereiken.” 

Bij een crisis heb je vooral verantwoordelijkheidsbesef en korte lijnen nodig

Crisis

Bas Buitendijk was eerder dat jaar bij OMO begonnen als ICT-strateeg en teamleider ICT. De eerste vraag die Kops hem bij die gelegenheid had gesteld, was: hoe staat het met onze cybersecurity? “Het antwoord was dat we nog wel het een en ander te doen hadden”, zegt Buitendijk. “Die bug toonde dat ook aan. Je kon ‘m niet zien, je moest er actief naar op zoek. Daarvoor moet je gespecialiseerde kennis in huis hebben. We waren niet goed georganiseerd om direct op zoiets in te spelen: de aanpak van informatiebeveiliging was vooral technisch en operationeel georiënteerd. Er was beperkte aandacht voor de mens- en organisatiekant. Terwijl je bij een crisis vooral verantwoordelijkheidsbesef en korte lijnen nodig hebt.”

Intensiveringsprogramma

Deze inzichten leidden ertoe dat het OMO-bestuur het initiatief nam tot een intensiveringsprogramma op het gebied van informatiebeveiliging. Kops vertelt dat het bestuur hiermee vooral het veiligheidsrisico zo klein mogelijk wilde maken. “Je kunt het nooit helemaal uitsluiten, maar het is net als met een fiets: als je drie sloten gebruikt, pakt een dief eerder een minder beveiligde fiets. Daarnaast gaat het om hoe snel en adequaat je kunt reageren als er iets gebeurt. We kregen voor dit intensiveringsprogramma overigens nadrukkelijk de steun van onze Raad van Toezicht. Daarin zitten mensen uit andere sectoren waar het bewustzijn van digitale veiligheid al veel meer aanwezig is.”

Het is net als bij een fiets: als je drie sloten gebruikt, pakt een dief eerder een minder beveiligde fiets

Yvonne Kops

Normenkader

Buitendijk stelde - samen met zijn team - het intensiveringsprogramma op. Het bestond uit vijf punten op basis waarvan inzicht en kennis ontwikkeld ging worden: “Een verantwoordingsproces opstellen, risicoanalyses maken, kwetsbaarhedenscans uitvoeren en bewustzijn creëren. Plus de introductie van een kader met daarin normen voor informatiebeveiliging en privacy. Op basis van dit normenkader voeren alle scholen binnen de vereniging nu jaarlijks een zelfevaluatie uit.” Inmiddels is er vanuit het landelijke programma Digitaal Veilig Onderwijs – een initiatief van OCW, Kennisnet, SIVON, PO-Raad en VO-raad – ook een algemeen normenkader gepubliceerd. Buitendijk vervolgt: ”Hoewel ons normenkader uitgebreid en gedetailleerd is, kostte het maken ervan niet heel veel tijd. Yvonne gaf al aan dat digitale veiligheid in andere sectoren, zoals de zorg of hoger onderwijs, al jaren een prominent onderwerp is. Daar werken ze al langer met een dergelijk kader. En veel issues die daar spelen, hebben wij in het onderwijs ook. De zelfevaluaties op de scholen vergden wel wat inspanning.”

Normenkader Informatiebeveiliging en Privacy voor het onderwijs

Schoolbestuurders hebben de verantwoordelijkheid om samen met schoolleiders en IBP’ers een digitaal veilige omgeving voor hun leerlingen en medewerkers te realiseren. In 2027 moeten alle schoolorganisaties in het primair en voortgezet onderwijs voldoen aan het Normenkader IBP en zal er vanuit het ministerie van OCW toezicht en handhaving plaatsvinden.

Het Normenkader Informatiebeveiliging en Privacy helpt scholen om de digitale veiligheid te verhogen. In het normenkader staat beschreven aan welke regels, principes en standaarden scholen moeten voldoen voor een digitaal veilige schoolomgeving. Het doel is dat alle leerlingen, ouders en medewerkers erop kunnen rekenen dat zij leren en werken in een digitaal veilige schoolomgeving en dat hun persoonsgegevens worden beschermd.

Kijk op normenkaderibp.kennisnet.nl.

Betrekken

De volgende stap was om de organisatie bij het proces te betrekken. Een van de OMO-scholen is het Merletcollege, waar Iedje Heere rector is. “Ik kan me nog herinneren dat Bas aan de schoolleiders zijn eerste presentatie gaf over cybersecurity-risico’s en het intensiveringsprogramma”, zegt Heere. “Zijn verhaal werd niet zomaar omarmd. Het is voor directeuren natuurlijk lastige materie. Je bent uiteraard verantwoordelijk voor de veiligheid van data, maar je hebt er - meestal - weinig kennis van. Daarnaast zie je ook niet meteen wat het oplevert. Aan de andere kant is de urgentie wel groter geworden, want door de coronacrisis zijn we steeds meer gaan digitaliseren. Dat heeft meegeholpen om iedereen in de aan-stand te zetten.” Ook Buitendijk herinnert zich het begin van het proces. “Je hoorde mensen zeggen: ‘We zijn toch geen doelwit, wat kunnen ze bij ons halen?’. Toen heb ik laten zien dat we wel degelijk veel waardevolle data hebben. Al die informatie over duizenden leerlingen waar bedrijven maar wát graag mee aan de slag zouden gaan! Daarnaast heb ik geschetst wat de consequenties kunnen zijn van een hack. Je digitale middelen liggen stil en dat betekent dat ook je onderwijs stil komt te liggen. Je kunt daar weken, soms maanden last van hebben. Probeer je maar eens in te denken wat dat doet met de voortgang van het leerproces van de leerlingen.”

Abstract

Binnen het Merletcollege kwam de verantwoordelijkheid voor het proces bij directeur Willem van den Kieboom te liggen. “Als school moesten we veel regelen. Daar kwam bij dat het normenkader abstract en taai is en dat je het zelf moet invullen. Deze vraagstukken spelen ook in de Klankbordgroep Digitale Veiligheid van de VO-raad, waar ik samen met vertegenwoordigers van andere grotere besturen en eenpitters lid van ben. Bij OMO worden onderdelen van het normenkader gelukkig op een hoger niveau geregeld. Onze scholen profiteren daarvan. We hoeven het niet allemaal zelf te bedenken.”

Hack

“OMO heeft veel scholen en elke school wil nu graag geholpen worden. Dat maakt het thema enorm complex”, verzucht Heere. “Het is fijn dat we op bestuursniveau een ICT-team hebben met de juiste expertise en capaciteit. Dat merkten we toen er in april een hack was bij onze leermiddelenleverancier Iddink Learning Materials. Het ICT-team nam toen meteen het initiatief, inclusief eenduidige communicatie richting leerlingen en ouders.” “Het was op een vrijdagmiddag dat ik hierover werd gebeld”, blikt Buitendijk terug. “Een groot deel van de gegevens bij Iddink was gegijzeld, inclusief die van onze leerlingen. Als je zo’n telefoontje krijgt, sta je meteen in de crisisstand. We hebben een crisisteam geformeerd, alle aspecten bekeken en daar acties op ondernomen. Eén daarvan is inderdaad de communicatie.”

Het gaat erom dat iedereen zich verantwoordelijk voelt

Verleiden

Om de OMO-scholen bij de vijf speerpunten van het intensiveringsprogramma te betrekken, zijn per punt werkgroepen van een aantal scholen georganiseerd. Bestuurder Yvonne Kops: “Samen ontwikkelden ze kennis en materialen voor zichzelf en voor de andere scholen. Dat we inmiddels zo ver zijn gekomen als we nu zijn, komt doordat de scholen ons enorm hebben geholpen en doordat we er externe kennis bij hebben betrokken. Uiteindelijk moeten alle scholen wel accepteren dat ze met materialen gaan werken die ze niet zelf hebben ontwikkeld.” Om de medewerkers bij het onderwerp digitale veiligheid te betrekken, heeft OMO eerst vrijblijvend vanuit het bestuur een aantal zaken aangeboden. Heere ziet dat als een van de succesfactoren. “We hebben bijvoorbeeld een platform waar mensen kunnen oefenen in het omgaan met phishing. Daarmee worden ze ook in hun privéleven geconfronteerd en je merkt dat ze onder andere daardoor enthousiast meedoen. Als je medewerkers bewust wil maken van de gevaren, moet je aansluiten op hun belevingswereld.” Een ander belangrijk aspect is de zelfevaluatie die OMO haar scholen heeft laten doen. Zeer nuttig, vond Van den Kieboom. “Je krijgt inzicht in hoe jouw school er voorstaat op het gebied van digitale veiligheid: je ontdekt wat je sterke kanten zijn en waar je aan moet werken. Op basis van de uitkomsten kun je duidelijke ambities voor verbetering formuleren en vervolgens taken binnen de school benoemen. Het gaat erom dat iedereen zich verantwoordelijk voelt.”

Als je medewerkers bewust wilt maken van de gevaren, moet je aansluiten op hun belevingswereld

Leidinggeven

Daar is Buitendijk het helemaal mee eens. “Op bestuurs- en schoolleidersniveau geldt dat des te meer. Verantwoordelijkheid kun je niet outsourcen. Een van de succesfactoren voor een goede aanpak van digitale veiligheid is dat bestuurders, rectoren en directeuren het belangrijk vinden. Ook is het belangrijk dat leidinggevenden zich willen verdiepen in ICT en informatiebeveiliging. Zij hoeven geen experts te worden, maar hebben bij voorkeur wel de kennis om te juiste vragen te kunnen stellen.” Het ICT-team beschikt over lijntjes naar landelijke organisaties en blijft daardoor op de hoogte van belangrijke ontwikkelingen, zegt Buitendijk. “Zo krijgen we signalen binnen over de gevaren die eraan komen. Wij informeren de ICT-mensen van de scholen daarover. Maar je hebt wel de betrokkenheid en inzet van de leidinggevenden nodig: die moeten dit binnen hun eigen school mogelijk maken.” De organisatiebrede aanpak werkt, ziet Kops. “Er is meer kennis en een goede ondersteuning vanuit het ICT-team. We zien dat ook de ICT-mensen van de scholen elkaar makkelijker weten te vinden. De relatie is hechter geworden. Is er weer een crisis, dan is de communicatie sneller te organiseren dan voorheen.”

Een van de succesfactoren is dat bestuurders, rectoren en directeuren het belangrijk vinden

Bas Buitendijk

Eenpitters

“Onze aanpak is niet voor alle besturen haalbaar”, zegt Buitendijk. “Maar er zijn veel organisaties waar je je als eenpitter bij kunt aansluiten. SIVON kan je goed helpen met alles rond veiligheid. Gaat er echt iets mis, dan kun je terecht bij het CERT, een gespecialiseerd team van ICT-professionals. Zij kunnen snel adviseren in het geval van een cybersecurity-incident. Niet alleen voor ons, maar juist ook voor kleinere besturen is dat ideaal.” Het op orde houden van de informatiebeveiliging vraagt continue aandacht. “Daarom hebben we binnen OMO expertise aangetrokken. We hebben nu onder meer een security officer die maatregelen neemt om de informatiebeveiliging te verbeteren en die samen met medewerkers op de scholen onderdelen van cybersecurity implementeert.”

Restricties

Een tip van schoolleiders Van den Kieboom en Heere is om binnen de school aan te kaarten welke ruimte docenten hebben bij het gebruik van hun laptop. Van den Kieboom: “Het gaat bijvoorbeeld om de vraag of je bepaalde websites mag bezoeken en of je Google kunt gebruiken. Als je digitaal veilig wilt zijn, dan moeten er restricties gelden. Dat betekent dat medewerkers niet helemaal vrij zijn om te doen en laten wat ze willen. Maar hoe verhoudt zich dat tot de creativiteit en inbreng van docenten, bijvoorbeeld als het gaat om het maken van lessen? Het gaat om het vinden van een goede balans. De bedoeling is immers dat we op een veilige manier goed onderwijs geven.” Restricties zijn nodig, vindt ook Heere. “Het vraagstuk centrale aansturing versus autonomie blijft vaak onderbelicht. Daar moet je als bestuur of schoolleiding goed over nadenken. De complexiteit van het onderwerp vraagt om een zekere mate van sturing. Dat heeft niets met verlies van autonomie te maken. Het gaat erom dat je grote ongelukken wilt voorkomen, zodat iedereen veilig kan werken.” “Zorg voor voldoende bewustwording”, vat Buitendijk samen. “Waarom zijn de regels er? Hoe helpen ze ons? Zorg dat er voldoende urgentie gevoeld wordt op alle plekken in de organisatie, ook van bovenaf.”

Leertraject Regie op Digitalisering

Speciaal voor bestuurders, stafmedewerkers en eindverantwoordelijk schoolleiders organiseert de VO-academie het Leertraject Regie op Digitalisering: een tactisch-strategische leergang waarin alle aspecten van digitalisering in het onderwijs aan bod komen en waarin je leert hoe je in control blijft. Aanleiding is dat de impact van digitalisering op scholen en het onderwijs blijft groeien. Aan de ene kant biedt dit kansen: digitalisering kan zorgen voor minder administratie, meer inzicht en maatwerk en rijkere leermogelijkheden. AI en geavanceerde robotica veranderen steeds meer de manier waarop we werken en leren. Tegenover die kansen en mogelijkheden staan zorgen over kansenongelijkheid, gebrek aan professionele autonomie en menselijk contact. Door een fout of hack kunnen gegevens van minderjarigen op straat komen te liggen, of wordt de continuïteit van het onderwijs, en soms zelfs de organisatie, bedreigd. Schoolbesturen hebben de complexe uitdaging om de digitale transitie in het onderwijs in goede banen te leiden. Dat vraagt om een sterke visie op digitalisering, die continu mee-ontwikkelt.

Interesse in het Leertraject Regie op Digitalisering? Voor meer informatie en aanmelden kun je terecht op vo-academie.nl.