De Nederlandse overheid trekt de portemonnee om de digitale veiligheid van het primair en voortgezet onderwijs te verbeteren. Deze sectoren krijgen structureel 6 miljoen euro om de digitale veiligheid en privacy aan te pakken. Zo wil het kabinet een veilige leer- en werkomgeving te creëren, zowel fysiek als digitaal. Dat schrijven minister van Onderwijs, Cultuur en Wetenschap Robbert Dijkgraaf en minister voor Primair en Voortgezet Onderwijs Dennis Wiersma in een brief aan de Tweede Kamer.
Onderwijsinstellingen zijn steeds vaker het doelwit van cyberaanvallen. Ondanks alle maatregelen om de cyberweerbaarheid te vergroten, zijn ze nog altijd vatbaar voor digitale aanvallen. Dat concludeerde de Inspectie van het Onderwijs in september 2021. Toenmalig minister van Onderwijs Ingrid van Engelshoven deelde deze zorgen en kondigde aan met maatregelen te komen om de digitale weerbaarheid van de onderwijssector te vergroten.
Het is aan minister Dijkgraaf en Wiersma om gehoor en vervolg te geven aan deze belofte. En dat is precies wat de bewindslieden doen. Omdat onderwijsinstellingen steeds meer gegevens over leerlingen en studenten opslaan en uitwisselen, is het belangrijk om hen te beschermen voor cyberaanvallen en andere digitale dreigingen.
“De digitale weerbaarheid moet daarom bij alle instellingen worden verhoogd naar een niveau dat aantoonbaar veiligheid biedt”, zo schrijven de ministers aan de Tweede Kamer. “Vrijblijvendheid is geen optie als het gaat om digitale weerbaarheid en privacy. Het hele onderwijs en alle betrokken partijen moeten stappen nemen om de digitale weerbaarheid in de hele sector te verhogen, en om de continuïteit en kwaliteit van het onderwijs en onderzoek te waarborgen.”
Onderwijsinstellingen zijn als verwerkingsverantwoordelijk weliswaar zelf verantwoordelijk voor de wijze waarop persoonsgegevens worden verwerkt. Dat betekent nog niet dat de overheid langs de zijlijn moet staan. Integendeel: de regering heeft volgens minister Dijkgraaf en Wiersma een “sterke, anticiperende rol”.
Door de toenemende digitalisering in het onderwijs, wordt het voor instellingen steeds moeilijker om de privacy te waarborgen. Daarom gaat het kabinet zich hier actiever mee bemoeien. Om te beginnen worden Data Protection Impact Assessments (DPIA’s) op digitale producten in het onderwijs centraal uitgevoerd. “Daardoor kunnen instellingen beter geïnformeerde keuzes maken over de privacy van leerlingen en studenten”, schrijven de bewindslieden.
Daarnaast werkt het ministerie van Onderwijs naar een gedeeld normenkader voor digitale veiligheid voor de gehele onderwijssector toe. Het uitgangspunt daarvoor zijn de ISO 27002-normen. Het middelbaar beroepsonderwijs, het hoger onderwijs en de onderzoeksector gebruiken dat normenkader al. Minister Dijkgraaf en Wiersma willen dit invoeren in het primair en voortgezet onderwijs.
Verder krijgt de Inspectie van het Onderwijs een grotere rol. De Inspectie heeft geen aparte bevoegdheden op het vlak van cybersecurity. De ministers hopen echter dat de Inspectie stimulerend kan optreden om de cyberweerbaarheid in de gehele sector te verbeteren. Tot slot zetten de ministers in op meer training. Door het bewustzijn over digitale dreigingen te vergroten, moet de digitale weerbaarheid een stimulans krijgen.
Om deze maatregelen door te voeren, tast het ministerie van Onderwijs in de buidel. Het primair en voortgezet onderwijs krijgen er structureel 6 miljoen euro bij om de digitale veiligheid te verbeteren. Dat geld is onder meer bedoeld om een normenkader voor informatiebeveiliging en privacy in het leven te roepen. Dat vergt specialistische en juridische kennis “die niet op iedere school aanwezig is”. Dat zorgt voor ongelijkheid tussen scholen en verschillen in digitale veiligheid van leerlingen.
Om dat tegen te gaan is wil de overheid deze kennis centraliseren. Met behulp van externe audits kan de overheid ingrijpen als dat nodig is. Onderwijsorganisaties als Kennisnet, de PO-Raad en SIVON helpen bij het opstellen van het normenkader. De overheid streeft ernaar om begin volgend jaar een nulmeting uit te voeren.
Om ervoor te zorgen dat schoolbesturen meer aandacht schenken aan informatiebeveiliging en privacy, moeten ze in hun jaarverslag expliciet aandacht besteden aan deze onderwerpen. Deze maatregel treedt in werking vanaf het schooljaar dat in 2023 begint.
Tot slot komt er een Computer Emergency Response Team (CERT) voor het primair en voortgezet onderwijs dat als “digitale brandweer” gaat optreden. Een school die het doelwit is van een cyberaanval, kan zich dan hier melden. CERT helpt de instelling dan bij de afhandeling daarvan. Het CERT sluit zich aan bij het Landelijk Dekkend Stelsel (LDS). Dat is een samenwerkingsverband tussen vitale en niet-vitale bedrijven en instanties op het gebied van cybersecurity die onderling relevante dreigingsinformatie delen.