Auteur: Bert van de Bovenkamp
Gemeenten, de zorg, het middelbaar beroepsonderwijs en het hoger onderwijs hebben het reeds een aantal jaren: een op de sector toegesneden normenkader informatiebeveiliging en privacy (IBP). Wat al dan niet verplicht is voorgeschreven.
Op dit moment wordt op initiatief van het ministerie van OCW in een gezamenlijke inspanning van de PO-raad, de VO-raad, Kennisnet en SIVON ook gewerkt aan een dergelijk normenkader voor het funderend onderwijs. En de verantwoordelijk minister heeft al aangegeven dat dit normenkader een verplichtend karakter krijgt.
NBA volwassenheidsmodel als basis
Tot nu toe was de aanpak Informatiebeveiliging en Privacy (IBP) van Kennisnet grotendeels gebaseerd op de ISO 27001/27002. Een norm die ook ten grondslag ligt aan de hiervoor aangehaalde normenkaders. Echter, binnen het onderwijs zijn er steeds meer instellingen die het Volwassenheidsmodel Informatiebeveiliging van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) als uitgangspunt nemen (met als argumentatie dat dit normenkader beter aansluit op een cloudgebaseerde architectuur, die in steeds meer onderwijsinstellingen uitgangspunt is).
De NBA heeft dit model in 2016 gepubliceerd en het in 2019 geactualiseerd. Het model is bedoeld om interne en externe accountants handvatten te geven bij het beoordelen van de volwassenheid van de informatiebeveiliging van een organisatie. Het is geen normenkader (zoals ISO 27001) maar een hulpmiddel om de gewenste volwassenheid -gelet op de risico’s- in kaart te brengen, om vervolgens te bepalen waar de organisatie staat en wat er moet gebeuren om het gewenste niveau van informatiebeveiliging te bereiken.
Voordeel van dit alles is dat in feite de onafhankelijke externe controle van naleving van het normenkader IBP straks kan worden uitgevoerd door de accountant. Idee is namelijk dat de externe verantwoording over naleving van het normenkader ook wordt meegenomen in het jaarverslag. En de accountants zijn zoals gezegd bekend met het normenkader.
Invoering in 2023/2024
Het normenkader IBP voor het funderend onderwijs is inmiddels in concept gereed. De bedoeling is dat scholen in 2023/2024 een eerste nulmeting op basis van de norm uitvoeren zodat zij weten waar zij staan en welke ontwikkeling zij moeten doormaken. Naar verwachting krijgen scholen een aantal jaren de tijd om aan de norm te voldoen. Waarbij het naar verwachting zo zal zijn dat zij op een bepaald moment een bepaald volwassenheidsniveau moeten hebben bereikt.
Onderdeel van bredere aanpak
Het voorschrijven is onderdeel van een bredere aanpak van het ministerie van OCW om informatiebeveiliging en privacy binnen het funderend onderwijs naar een hoger niveau te tillen. Een aanpak waarvoor men 6 miljoen Euro structureel heeft vrijgemaakt.
Naast het normenkader wordt ook gewerkt aan de inrichting van een Computer Emergency Response Team (CERT): een ‘digitale brandweer’ waar je terecht kan bij een cyber-incident. Ook wordt er geïnvesteerd in een veilige digitale infrastructuur. Na eerdere succesvolle DPIA’s (Data Protection Impact Assessments) op onder andere producten en diensten van Microsoft, Google en Zoom, wordt de samenwerking tussen SIVON, SURF en scholen op dit gebied verder uitgebreid. Zo lopen er op het moment van schrijven DPIA’s voor de meest gebruikte personeels- en salarisadministratie systemen.
Tenslotte wordt ook geïnvesteerd in bewustwording en professionalisering van schoolbestuurders, schoolleiders, ICT-verantwoordelijken en leraren. Onder andere met een centraal scholingsaanbod en cyber crisisoefeningen. Iets wat hard nodig is. Zoals ik in een eerder artikel al aangaf zijn er namelijk nog steeds bestuurders die bijvoorbeeld het naleven van de AVG vooral zien als overregulering. Zij zijn zich te weinig bewust van de risico’s die zij lopen in de huidige tijd van cybercrime.
Nut en noodzaak van een bindend normenkader
Nut en noodzaak van een bindend normenkader worden door menigeen die actief is op online fora betwist. Zij hebben mijns inziens in die zin een punt dat bijvoorbeeld de bestuurders die de AVG als overregulering zien zich nogmaals bevestigd zien in hun denkbeelden. Hetgeen het risico verhoogt dat zij “de kantjes eraf gaan lopen” en niet intrinsiek gemotiveerd met het vraagstuk aan de slag gaan en bereid zijn een stapje verder te gaan dan strikt noodzakelijk. Het bindende karakter zou wat mij betreft dan ook niet hoeven.
Een normenkader op zich is wat mij betreft geen slecht idee. Het kan mijns inziens bijdragen aan bewustwording doordat het inzichtelijk maakt welke risico’s er zijn en hoe je die kunt afdichten. Daar komt bij dat een normenkader helpt om structuur aan te brengen in je aanpak om informatiebeveiliging en privacy op niveau te krijgen. In die zin is het een handig hulpmiddel, ongeacht of je nut en noodzaak van informatiebeveiliging onderkent.
