Elke onderwijsinstelling of zelfstandige school in het po, vo, mbo en ho werkt met verschillende digitale systemen en kan risico’s rond cyberveiligheid tegenkomen. Als bestuurder bent u verantwoordelijk voor de continuïteit van het onderwijs en de beveiliging van persoonsgegevens van leerling, studenten en andere betrokkenen. In het najaar organiseert de Inspectie van het Onderwijs voor bestuurders uit het hele onderwijsveld rondetafelbijeenkomsten over cyberveiligheid. Gaat u met de inspectie en andere bestuurders in gesprek?

Het doel van de bijeenkomsten is het leren van elkaar. Want wat betekent cyberveiligheid voor uw instelling? Welke uitdagingen komen op uw scholen en opleidingen af? Iedereen gebruikt verschillende digitale systemen en kan te maken krijgen met de keerzijde hiervan. Het maakt niet uit of u een grote onderwijsinstelling bent of een zelfstandige school (eenpitter), iedereen is welkom. Door praktijkervaringen uit te wisselen en dilemma’s te bespreken kunnen bestuurders nadenken over de weerbaarheid van de eigen instelling. Ook hoort de inspectie graag wat er binnen besturen, scholen en opleidingen leeft op het gebied van cyberveiligheid.

Data en locaties 

  • dinsdagmiddag 11 oktober 2022 in Zwolle
  • donderdagmiddag 10 november 2022 in Den Bosch
     

Het programma begint om 13.00 uur, de inlooptijd is 12.00 uur. 

Gespreksonderwerpen
 

1. Hoe cyberweerbaar is mijn onderwijsinstelling?

Bij dit thema bespreken we: Wat moet ik als bestuurder weten? Waarom moet ik inzicht hebben in de cyberweerbaarheid van de hele onderwijsinstelling? Welke acties moet ik (mogelijk) ondernemen? Hoe zorg ik, als ik het normenkader onderwijs gebruik, dat het volwassenheidsniveau van het IT-landschap werkelijk verhoogt? 

Pas bij een stroomstoring merken we hoe gewoon ICT middelen zijn geworden en hoe afhankelijk we er van zijn. Elke onderwijsinstelling moet proberen te voorkomen dat (een deel van) de ICT omgeving lang uitvalt. Wat doet uw onderwijsinstelling hieraan? Denk daarbij aan een actieplan om incidenten op te sporen en de gevolgen te beperken. En het toetsen van uw informatie-beveiligingsbeleid in de praktijk of het bespreken van de uitkomsten van een bewustwordingscampagne, een IT-audit of pentest binnen uw instelling. Hoe weet u hoe het met de cyberweerbaarheid gesteld is en welk gesprek u aan zou moeten gaan binnen uw onderwijsinstelling?

2. Wie is verantwoordelijk voor veilig digitaal onderwijs

Bij dit thema bespreken we: Hoe cyberweerbaar is het Nederlandse onderwijssysteem? Wat doet elk onderwijsbestuur zelf en waarvoor is een gezamenlijke aanpak nodig? Wie doet wat in Nederland aan preventie of bij een incident? 

Om digitaal veilig te werken in het onderwijs hebben scholen, stelselpartijen en de overheid een rol. Elke school brengt zelf de basis op orde en zorgt dat die zo blijft. Daarbij zijn controle en verantwoording nodig evenals aandacht voor mogelijke nieuwe dreigingen. Er zijn initiatieven op het gebied van kennisdeling en cyberoefeningen. Ook zijn er maatregelen die voor individuele onderwijsinstellingen niet haalbaar zijn, maar wel gezamenlijk kunnen worden opgezet. Cyber is een onderwerp dat elke onderwijsinstelling aangaat. We gaan daarom in gesprek over de (gewenste) bijdragen van onderwijsinstellingen, netwerkpartijen en de overheid op weg naar een cyberweerbaar onderwijsstelsel.

3. Data delen: van wie zijn de gegevens van leerlingen en studenten?

Bij dit thema bespreken we: Welke gegevens heb ik in huis en welke deel ik met anderen? Wat moet ik rond cybersecurity en privacy (AVG) regelen? Hoe houd ik zicht op de informatiebeveiliging die de leverancier/clouddienst werkelijk levert? Welke risico’s bestaan er en hoe kan ik die aanpakken? 

Bij het gebruik van digitale leermiddelen worden gegevens over het leerproces vastgelegd. Zo kan direct feedback worden gegeven aan leerlingen of studenten. Het onderwijs gebruikt veel learning analytics: het verwerken en analyseren van data van individuele leerlingen en studenten om het leerproces te verbeteren. Vaak gaat dit om privacygevoelige gegevens. De leverancier van de digitale toepassingen slaat deze gegevens op, als onderwijsinstelling bent u verantwoordelijk voor het maken van afspraken over het gebruiken en beschermen van de data van uw leerlingen en studenten. Wat kunt u doen om afspraken te maken en na te gaan hoe deze afspraken in praktijk werken?

4. Ketensamenwerking: aandacht voor persoonsgegevens

Bij dit thema bespreken we: Wie is de verantwoordelijke voor data in ketens en wat doet deze partij om zicht te houden op de informatiebeveiliging? Hoe ga je als partijen gezamenlijk om met een leerlingzorgdossier? Wat is mijn rol als onderwijsinstelling als afnemer van diensten om gegevens te kunnen uitwisselen? 

Door samenwerking met verschillende organisaties ontstaan ketens waarin data wordt verwerkt en opgeslagen. Denk bijvoorbeeld aan de afstemming in het kader van maatwerk voor individuele leerlingen. Of onderzoeksprojecten van leerlingen of onderzoekers met anderen buiten de eigen onderwijsinstelling. En het gebruik van IT-diensten van andere bedrijven, zoals het gebruiken van cloud toepassingen. Iedereen is onderdeel van 1 of meer van zulke ketens waarin data wordt gedeeld. Deze data moet niet alleen beschikbaar zijn voor het onderwijs en onderzoek, maar ook goed beschermd worden. Wat vraagt dit van een onderwijsinstelling?

5. Help ik ben gehackt?!

Bij dit thema bespreken we: Wat komt er op bestuurders af als er bij je onderwijsinstelling een hack wordt ontdekt? Wat hebben incidenten bijgedragen aan de cybersecurity aanpak van vandaag bij deze onderwijsinstellingen? En wat kan mijn onderwijsinstelling hiervan leren?

We gaan in gesprek met bestuurders die slachtoffer zijn geworden van een cyberincident om ervaringen uit te wisselen en hiervan te leren. Waar werden ze mee geconfronteerd. Hoe hebben zij dit bestreden en waar werden ze het meest door verrast? Wat heeft hun ervaring betekend voor het cybersecuritybeleid dat deze onderwijsinstellingen nu hebben? Kom meepraten over hoe u met kleinere en grotere incidenten omgaat en hoe u de eigen organisatie hierop voorbereidt. Er zal namelijk altijd een volgend incident plaatsvinden. We weten alleen nog niet waar en wanneer. Hoe bereidt u zich hierop voor?

Vooraanmelding

Uw kunt uw interesse in deelname mailen naar rondetafels@onderwijsinspectie.nl. Vermeld hierbij uw naam en e-mail, uw functie, uw onderwijsinstelling (en Brin) en de voorkeursdatum: dinsdag 11 oktober / donderdag 10 november / geen voorkeur.

Het gaat hierbij om een vooraanmelding, het is nog geen bevestiging van deelname. Omdat de Inspectie streeft naar een brede vertegenwoordiging uit alle onderwijssectoren, wordt hier rekening mee gehouden bij de selectie van de deelnemers. Na de zomervakantie hoort u of en op welke dag u kunt deelnemen. De deelnemers ontvangen uiterlijk een week voor de bijeenkomst nadere gegevens over het programma en de locatie.