Veel websites van scholen zijn mogelijk kwetsbaar door het gebruik van een onbeveiligde verbinding. Uit onderzoek van de Open State Foundation blijkt dat 68 procent van de onderzochte websites van scholen geen gebruik maakt van het zogeheten https-protocol. Deze beveiliging zorgt ervoor dat de gegevens van de bezoeker en van de website versleuteld worden. Dit verkleint de kans op afluisteren of onderscheppen van gegevens die online worden ingevoerd.

Browsers tonen steeds zichtbaarder wanneer een website geen gebruik maakt van https. Meestal door een plaatje van een open hangslotje of een melding bij het adres. Er zijn manieren om gratis zelf de benodigde certificaten te regelen. Veel hostingpartijen bieden het ook aan. Voor technische vragen kunnen scholen de IBP-helpdesk raadplegen.

Snel website beveiligen

De VO-raad adviseert scholen met klem websites met een inlog- en/of aanmeldscherm, waarbij dus gevoelige gegevens of persoonsgegevens worden ingevuld, zo snel mogelijk te beschermen via een https-verbinding. Voor websites die alleen maar publieke informatie tonen is https om andere redenen ook wenselijk en zouden scholen ook moeten regelen. 

Veilige website onderdeel van IBP-beleid

Het ontbreken van een https-verbinding betekent nog niet dat persoonsgegevens op straat liggen. Veel schoolwebsites presenteren namelijk alleen informatie over de school en hebben geen inlogoptie voor een schoolsysteem via de website. Het focussen op één technische maatregel als https is dan ook onvoldoende om te bepalen of een school veilig omgaat met persoonsgegevens. Een veilige website is wel een belangrijk onderdeel van een goed beleid voor Informatiebescherming en Privacy (IBP). Hiervoor bestaat er de aanpak IBP van Kennisnet en de VO-raad.

Eerder onderzoek van de Open State Foundation bij websites van de overheid had een soortgelijk resultaat en inmiddels maakt 70% van de overheidswebsites wél gebruik van https. Ook de Autoriteit Persoonsgegevens noemt naar aanleiding van de onderzoeken een beveiligde verbinding een basismaatregel en zegt "Er is geen reden om je site niet te beveiligen via een beveiligde verbinding".