1 Waarom houdt de Inspectie zich bezig met digitale weerbaarheid?

‘Lange tijd heerste de gedachte dat hackers geen interesse zouden hebben in het onderwijs en de zorg. Dit werd veelvuldig gezegd, in het voortgezet onderwijs ook nog na de “hack bij Maastricht”. Eind 2019 werd het netwerk van de Universiteit Maastricht gegijzeld en kwamen onderwijs en onderzoek stil te liggen. Maar het bleef niet alleen bij hoger onderwijs: ook in het funderend onderwijs kregen scholen en onderwijsorganisaties te maken gehad met digitale incidenten. Sinds het incident in Maastricht ben ik als inspecteur hoger onderwijs bij dit thema betrokken. Ik kijk mee in alle sectoren, zo ook het voorgezet onderwijs. De inspectie wil niet wachten tot het onderwijs is getroffen door een digitaal incident. Daarom houdt de inspectie zich ook bezig met toezicht op digitale weerbaarheid.’ 

 

‘Uitdagingen scholen in kaart brengen’

 

‘Scholen kunnen ook getroffen worden door een digitaal incident bij een leverancier. Zo had de cyberaanval op leermiddelenleverancier Iddink in april 2024 consequenties voor veel scholen in het voortgezet onderwijs. Vooral het datalek en de afhandeling kwamen in het nieuws. Minder in de aandacht kwam dat het een grote uitdaging was leerlingen schoolboeken op tijd te kunnen leveren voor het nieuwe schooljaar. Met dat laatste trekt zo’n incident de aandacht van de Inspectie. Kan het gevolgen hebben voor het opstarten van het nieuwe schooljaar en wat gaan scholen hieraan doen? De inspectie verwacht van scholen dat ze zorgen voor continuïteit van onderwijs, een passende leerlijn bieden op basis van data die niet gemanipuleerd zijn en de diploma’s baseren op de cijfers die de leerling heeft gehaald.’

‘Mochten de incidenten die de media haalden niet overtuigend genoeg zijn: de meeste digitale incidenten ontstaan binnen de eigen organisatie. Daarom heeft het bestuur de verantwoordelijkheid na te gaan welke digitale risico’s er voor de school of scholen binnen de organisatie zijn en te bepalen hoe ze hiermee om moet gaan. Iedere school en elk bestuur moet zich realiseren dat aandacht voor digitale veiligheid essentieel is om vandaag, volgende week en volgend jaar onderwijs te kunnen blijven geven. De Inspectie vindt het van belang zicht te krijgen op hoe scholen en besturen zich weerbaar maken tegen digitale dreigingen en zich voorbereiden om de gevolgen van een digitaal incident zo klein mogelijk te houden.’ 

2 Hoe krijgt de Inspectie zicht op digitale weerbaarheid in het onderwijs?

‘We hebben in het verleden rondetafelbijeenkomsten georganiseerd. Recent hebben we een onderzoek gepubliceerd op basis van de jaarverslagen van scholen. Daarin maken schoolbesturen bekend hoe ze werken aan digitale weerbaarheid en wat ze hebben bereikt. De resultaten laten ons zien welke onderwerpen een schoolbestuur belangrijk genoeg vindt om op te nemen in het jaarverslag. Digitale weerbaarheid staat steeds vaker in het jaarverslag. In het voortgezet onderwijs is veel aandacht voor privacy, ofwel het beveiligen van gegevens van leerlingen en medewerkers. Aandacht voor beveiligingsmaatregelen komt minder aan bod, maar ook als de IT wordt uitbesteed, blijft de school verantwoordelijk. Als de uitbestede IT niet meer werkt, hoe zorg je dan dat er onderwijs gegeven wordt? Digitale weerbaarheid is niet alleen iets van het schoolbestuur. Op dit moment worden in de jaarverslagen organisatorische en gedragsmaatregelen om met elkaar de schoolomgeving digitaal veilig te houden onderbelicht.’


‘Draag een steentje bij’

 

‘De jaarverslagen zijn geen doel op zich maar een middel waarmee het bestuur de voortgang en uitdagingen op een thema zichtbaar kan maken. Dit jaar doen we onderzoek om zicht te krijgen op wat scholen en besturen ondernemen. Deze zomer heeft de Inspectie vragenlijsten verstuurd en ze voert op dit moment verdiepende gespreken om de aanpak en uitdagingen van besturen verder in kaart brengen.’ 

Losgeld

Het is onverstandig om als onderwijsinstelling bij een hack losgeld te betalen. Daar is overheidsgeld niet voor bedoeld. Ook betalen uit private middelen is onverstandig: dan blijven scholen doelwit voor economisch gewin van criminelen.

3 Hoe kun je als docent digitaal veilig werken?

‘Zoals vermeld beginnen veel incidenten binnen scholen zelf. Vraag je je wel eens af wat je school heeft georganiseerd om veilig digitaal te kunnen werken? Weet je welke leerlinggegevens je waar mag opslaan en wat je wel en niet via e-mail mag versturen? En andersom: als je een linkje op je schoolaccount ontvangt, hoe weet jij dan of dat veilig is? Iedereen in de organisatie moet zich bewust zijn van veilig werken en een rol spelen bij de digitale weerbaarheid van de school.’

‘Een tweede vraag om jezelf te stellen is: draag ik misschien bij aan cyberrisico’s, zonder dat ik me daarvan bewust ben? Als je in het onderwijs met digitale middelen aan de slag wilt, weet je dan onder welke condities dat is toegestaan? Vraag naar het schoolbeleid en kijk samen met de verantwoordelijke of en hoe je je aan de slag kunt. Daarmee voorkom je ‘schaduw-ICT’. Dat brengt me dan terug bij één van de lessen van verschillende grote hacks. Bij het herstellen na een incident blijkt vaak dat niet bekend is wat er allemaal voor IT wordt gebruikt. Om systemen weer op gang te krijgen, is een volledig beeld nodig.’ 

‘Tot slot, ben je lid van de medezeggenschap, vraag dan de schoolleiding en het bestuur eens welke digitale risico’s de organisatie onderkent en hoe ze daarmee omgegaan. Zo kan iedereen een steentje bijdragen aan een digitaal weerbare schoolomgeving voor het onderwijs nu en later.’ 

Ga naar praktijkverhalen over cyberincidenten in het voortgezet onderwijs.

Oproep

Heb je ook vragen aan de Inspectie van het Onderwijs? Mail ze naar [email protected].