Het ministerie van Onderwijs, Cultuur en Wetenschappen (OCW) presenteert in een brief aan de Tweede Kamer een plan voor het aanscherpen van de digitale veiligheid van het primair en voortgezet onderwijs. Naast investeringen en beleidsmaatregelen worden ook speciale afspraken gemaakt met softwareleveranciers als Google, Microsoft en Zoom.

Volgens het ministerie lopen het primair en voortgezet onderwijs flink achter als het gaat om digitale veiligheid en privacy. Dit is volgens OCW een verontrustende ontwikkeling aangezien onderwijsinstellingen en onderzoeksinstellingen in toenemende mate het doelwit zijn van cyberaanvallen. De gegevens van en over leerlingen en studenten kunnen op straat komen te liggen en de continuïteit van het onderwijs kan in gevaar komen wanneer systemen niet meer benaderbaar zijn.

Investeringen en maatregelen

Het ministerie concludeert daarom dat de digitale veiligheid van het primair en voortgezet onderwijs naar een hoger niveau moet. Hiervoor wordt de komende jaren maar liefst 6 miljoen euro vrijgemaakt.

De maatregelen komen erop neer dat de overheid meer centrale regie gaat voeren over het digitale veiligheidsbeleid voor het primair en voortgezet onderwijs. Eerder werd dit nog aan de scholen zelf overgelaten. Kernelementen van deze regie zijn normen, het ondersteunen van scholen met raad en daad, het uitvoeren van externe audits en sneller optreden bij incidenten.

Er wordt een normenkader opgesteld voor informatiebeveiliging en privacy in het primair en voortgezet onderwijs. Omdat er nu geen normenkader is, weten scholen niet altijd wat ze moeten doen om hun systemen te beveiligen. Ook privacymaatregelen vergen specialistische juridische kennis die niet op iedere school aanwezig is. Dit kan leiden tot grote verschillen tussen scholen.

Het normenkader wordt ontwikkeld door Kennisnet, in samenwerking met onderwijsorganisaties als de PO-Raad, VO-raad en SIVON. Zij nemen daarbij het normenkader van SURF, een onderwijsvereniging voor universiteiten en hogescholen, als uitgangspunt.

Daarnaast verplicht het ministerie schoolbesturen om vanaf schooljaar 2023/2024 in hun jaarverslag expliciet aandacht te geven aan informatiebeveiliging en privacy (IBP). Dat zorgt ervoor dat besturen zich bewust worden van hun verantwoordelijkheid ten aanzien van digitale veiligheid en privacy. Verder wordt er een computer emergency response team (CERT) voor het primair en voortgezet onderwijs opgericht. Scholen kunnen hierbij incidenten melden en worden geholpen met de afhandeling ervan. Tot nu toe ontbrak een openbaar CERT voor het primair en voortgezet onderwijs.

Afspraken met leveranciers

Het ministerie heeft ook afspraken gemaakt met leveranciers van software die veel wordt gebruikt in het primair en voortgezet onderwijs. Denk daarbij aan aanbieders als Google, Microsoft en Zoom. De producten en diensten moeten voldoen aan zogenoemde Data Protection Impact Assessments (DPIA’s) van SVION en SURF.

Het overleg met deze leveranciers heeft geleid tot aanvullende afspraken en verbeterplannen bij deze leveranciers. Daarnaast lopen er onderzoeken en gesprekken met Google over Chrome OS en het Google Cloud Platform. Google heeft aangegeven in augustus 2023 een nieuwe versie van Chrome OS en Chrome browser gereed te willen hebben.

Het ministerie verwacht dat voor deze producten en diensten straks dezelfde maatregelen gelden als die in 2021 voor Google Workspaces door SVION en SURF zijn vastgelegd.