*

Leerlingen en medewerkers moeten kunnen leren en werken in een digitaal veilige schoolomgeving. Om dat waar te maken, moeten scholen investeren in hun kennis van informatiebeveiliging en privacybescherming. Wat is daarbij de rol van de schoolleider?

In een tijd waarin digitale technologieën de ruggengraat vormen van het onderwijs, is digitale veiligheid belangrijker dan ooit. Het waarborgen van deze veiligheid is uitdagend en een nauwe samenwerking tussen de Raad van Toezicht (RvT) en het Bestuur van onderwijsinstellingen kan daarbij erg helpend zijn. Stichting Carmelcollege is een goed voorbeeld van hoe deze samenwerking in de praktijk vorm krijgt. In een uitgebreid interview delen Jan Kees Meindersma, bestuurder bij Carmel, en Oscar van Leeuwen, RvT-lid en voorzitter van de auditcommissie, hun inzichten en ervaringen rondom digitale veiligheid binnen hun schoolorganisatie.

Weet jij wat je moet doen als jouw school of bestuur wordt getroffen door ransomware, een phishingaanval, datalek of een andere cybercrisis? Vanaf 15 oktober kun je in zo’n geval het School-CERT bellen. Dit team is er voor alle scholen en besturen in het primair en voortgezet onderwijs.

Van de cultuursector tot het hoger onderwijs en gemeenten, wanneer het gaat om cyberincidenten zoals phishing en ransomware aanvallen of datalekken blijft geen sector gespaard. Daar waar een (fysieke of digitale) deur openstaat kunnen cybercriminelen naar binnen glippen om hun slag te slaan. In dit artikel zijn praktijkvoorbeelden uit diverse sectoren gebundeld, om als bestuurders sectoroverstijgend van elkaar te kunnen leren. Want ook in het onderwijs zijn bestuurders eindverantwoordelijk voor informatiebeveiliging en privacy. Wanneer je organisatie getroffen wordt door een cyberincident en je niet goed voorbereid bent, kunnen de continuïteit van het onderwijs, het voortbestaan en het imago van de organisatie op het spel staan. Lees dus snel de lessen van andere bestuurders.

In mei 2023 werd de gemeente Meierijstad geconfronteerd met (digitale) CEO-fraude, waarbij een bedrag van €37.200 naar criminelen werd overgemaakt. Het incident was een wake-up call voor de gemeente en een bevestiging van de noodzaak van cyberveiligheid. Kees van Rooij, (cyber)Burgemeester van Meierijstad en Regionaal Beleidsadviseur Integrale Veiligheid Ronny van Gerven delen ervaringen, inzichten, en belangrijke lessen die voor schoolbestuurders van onschatbare waarde kunnen zijn.

Stichting Keizer Karel wil zijn leerlingen optimaal voorbereiden op de uitdagingen van de toekomst. En dat die toekomst digitaal is beseffen ze daar heel goed. Ontwikkelingen rondom digitalisering brengen ook uitdagende vraagstukken met zich mee. Deelnemen aan het leertraject Regie op Digitalisering ‘23/’24 zag Arend Smit, bestuurder van Stichting Keizer Karel, als een kans om te kunnen aanhaken bij actuele ontwikkelingen op digitaal gebied.

Digitale veiligheid is in het onderwijs van cruciaal belang. Leerlingen, ouders en medewerkers vertrouwen ons immers hun gegevens toe. Maar wat is ‘veilig genoeg’? Vereniging OMO heeft een organisatiebrede aanpak voor al haar (ruim zestig) scholen in Noord-Brabant.

Maandagochtend: je start je computer op. Alle bestanden zijn geblokkeerd, je kunt niets openen. ‘Ik dacht meteen aan een hack en besefte dat dit groot was. Onze ICT-experts hebben alles direct offline gezet en ik heb samen met mijn medebestuurder een crisisteam opgezet’, vertelt Tijs van der Wielen, lid Raad van Bestuur bij de Koninklijke Auris Groep. Hij kijkt terug op intense weken om de schade voor de zorg- en onderwijsorganisatie te beperken.

Wie kent het niet: een drukke dag, nog even snel een mailtje opstellen, bijlage erbij en hup, klik op Verzenden. Een vergissing is snel gemaakt, zo merkt een school van de stichting Comprix. Een medewerker stuurde per ongeluk een mail met vertrouwelijke informatie over een leerling naar de verkeerde ouders. Hoe pak je dit aan? Bastiaan Kooij, verantwoordelijk voor ICT: ‘Wees open naar de betrokkenen en vooral: hou digitale veiligheid hoog op de agenda.’

Een hack van het ict-systeem, waardoor gijzelsoftware kon worden geïnstalleerd en alle servers en gegevens onbereikbaar waren, dat gebeurde bij OSG Hengelo. ‘Heel vervelend, maar we huren experts in en die lossen dat met onze ict-mensen wel op. Dat dacht ik even. Maar het werd een nachtmerrie waarin we voor duivelse dilemma’s kwamen te staan’, zegt schoolbestuurder Arjan Brunger.

Terwijl je op zaterdagavond op een feestje staat, ontploft de team-app van je collega’s. Een leerling dreigt via leerlingvolgsysteem Magister met een schietpartij op school. Wat gaat er dan door je heen en wat doe je? Directeur Joyce Vijverberg van Stanislas Pro weet dat nu. ‘Even een gevoel van ongeloof en paniek, en direct daarna: handelen. Gelukkig konden we snel een crisisteam opstarten en bleek mijn uitgebreide netwerk goud waard. ’

Scholen hebben veel vragen over wat er wel en niet wettelijk is toegestaan ten aanzien van het registreren van een eventuele coronabesmetting. Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen gezondheidsgegevens niet geregistreerd worden. Wat mogen scholen in dit kader volgens de AVG wel en niet doen? Om scholen te ondersteunen hebben de PO-Raad en VO-raad een Q&A ontwikkeld.

Scholen zijn verplicht zich in te spannen voor een veilige leer- en werkomgeving voor leerlingen en leraren. Om coronabrandhaarden te voorkomen willen scholen graag weten bij een ziekmelding of een leraar of leerling afwezig is vanwege corona maar de AVG verbiedt het om gezondheidsgegevens te registreren.

Scholen zijn volop bezig om online lessen of andere vormen van leren op afstand te organiseren voor hun leerlingen. Een belangrijk aandachtspunt hierbij blijft de privacy van leerlingen en de verplichtingen van het schoolbestuur om aan de AVG te voldoen.

Sommige ICT-vraagstukken zijn te groot om als individueel bestuur op te pakken. SIVON wil vraagmacht bundelen, zodat marktpartijen gehoor geven aan de wensen van scholen. Ook kunnen scholen binnen SIVON gezamenlijk hun ICT inkopen. Wat zijn redenen om lid te worden van SIVON? We spraken met Tijmen Smit, bestuurslid van de Gooise Scholen Federatie, een schoolorganisatie in de Gooi- en Vechtstreek waarin acht scholen samenwerken.

Aan het begin van dit nieuwe kalenderjaar zijn scholen druk met activiteiten rondom het aanmelden en inschrijven van nieuwe leerlingen. Het is belangrijk om in alle fases van die processen dataminimalisatie te hanteren voor alle informatie die scholen met elkaar en met ouders uitwisselen. Dit houdt in dat alleen de echt relevante gegevens worden gedeeld (die noodzakelijk zijn voor de ontvangende school om de leerling zo goed mogelijk te kunnen begeleiden). Hoe hoort dat in de praktijk plaats te vinden? Kennisnet heeft in kaart gebracht welke regels hierover bestaan.

Scholen zijn goed op weg om hun informatiebeveiliging en privacy (IBP) op orde te krijgen, zo blijkt uit recent onderzoek. Toch blijft aandacht nodig om iedereen in de organisatie goed te informeren over de do’s en don’ts op dit gebied. Bijvoorbeeld om snel te handelen als je geconfronteerd wordt met een DDoS-aanval of een datalek.

In het kader van de nieuwe Europese privacywet (AVG) moeten scholen onder meer de ‘rechten van betrokkenen’ regelen. Kennisnet heeft - als onderdeel van de Aanpak IBP po/vo - samen met de VO-raad, PO-Raad en het ministerie van OCW hierover een vernieuwde handreiking gepubliceerd. Hierin wordt beschreven wat de (nieuwe) rechten zijn en wat scholen moeten regelen op dit vlak. U leest meer daarover in onderstaand artikel.

De VO-raad schreef op 1 mei 2017 voor het eerst publiekelijk over de nieuwe Europese privacywet die we in Nederland kennen als de AVG. Achter de schermen voerden de betrokken beleidsmedewerkers van de VO-raad al langer overleg met de overheid en partijen waar scholen gegevens mee uitwisselen. Wat moesten scholen in kaart brengen aan gegevensstromen, en wat betekende dit voor de schoolorganisatie? En natuurlijk, wat moet het bureau van de VO-raad zelf doen?

Scholen hebben hard gewerkt om hun organisatie aan te passen aan de nieuwe privacywetgeving. Maar dan nog is bewustwording omtrent privacy een blijvend aandachtspunt, zo bleek tijdens een workshop op het VO-raad congres.