Iedereen op school speelt een rol: krijg inzicht in hoe IBP de hele organisatie raakt

• De bestuurder is eindverantwoordelijk voor informatiebeveiliging en privacy en ziet erop toe dat er een goede strategie en visie is en een IBP-beleid is vastgesteld.
• De bestuurder draagt uit dat IBP belangrijk is en belegt de rollen en verantwoordelijkheden binnen de organisatie.​
• Tip 1: Zie er als bestuurder op toe dat IBP is onderdeel van de jaarcyclus.​Ben je benieuwd hoe je regie houdt op digitale veiligheid en hoe je IBP op een goede manier in de jaarcyclus meeneemt? Gebruik dan de interactieve (PDF) handreiking ‘Sturen op Digitale Veiligheid’.
• Tip 2: Vanaf het jaarverslag 2024 moet er expliciet aandacht worden besteed aan IBP. De Handreiking voor bestuursverslag helpt je bij het schrijven van een bondig verslag.

• De RvT houdt toezicht op digitale veiligheid binnen de organisatie.
• De RvT zet het onderwerp digitale veiligheid op de agenda.
• De RvT stelt bestuurders de juiste vragen over digitale veiligheid. De RvT vraagt daarbij ook door als het antwoord niet concreet genoeg is
• Tip: Gebruik de Handreiking De rol van de RvT om inzicht te krijgen in het belang van toezien op digitale veiligheid en de verantwoordelijkheden die je hebt als toezichthouder.

• De schoolleider is de verbinder tussen het beleid van het bestuur en de uitvoering van het beleid door de medewerkers.
• De schoolleider ziet toe op de uitvoering van het beleid. Zij zijn zelf soms ook informatie-eigenaar en dus ook verantwoordelijk voor de veilige verwerking van die informatie.
• De schoolleider heeft een voorbeeldfunctie om het beleid en IBP uit te dragen naar de rest van de organisatie.

• De IBP’er zorgt voor advies aan het bestuur en de organisatie over het informatiebeveiligings- en privacybeleid, inclusief strategie en implementatie.
• Organisaties kunnen deze rol en verantwoordelijkheid op verschillende manieren hebben ingericht, afhankelijk van hun structuur en behoeften.
• Tip: Aan de slag met digitale veiligheid? Gebruik het Normenkader IBP als leidraad en het Groeipad als wegwijzer door de normen. In het Groeipad zijn normen die logisch bij elkaar horen gebundeld in deelprojecten. Bij ieder deelproject vind je meer uitleg, een stappenplan en handige voorbeelddocumenten om aan de slag te gaan.

Naast de IBP’er, die een adviserende en uitvoerende rol heeft, is er ook een Functionaris Gegevensbescherming (FG). De FG houdt toezicht op de naleving van de privacywetgeving (AVG) en rapporteert jaarlijks aan het bestuur. Dit verslag kan worden geagendeerd bij de Raad van Toezicht (RvT).

• Wanneer een docent de digitale leeromgeving open laat staan en het lokaal verlaat zonder het scherm te vergrendelen, kan een leerling toegang krijgen tot vertrouwelijke informatie over andere leerlingen. Dit kan leiden tot ongewenste situaties en klachten.
• Een klik op een phishingmail kan ertoe leiden dat gijzelsoftware (ransomware) wordt geïnstalleerd. Dit kan grote gevolgen hebben voor de beschikbaarheid en veiligheid van systemen en gegevens. Controleer bij een verdachte e-mail altijd het e-mailadres en linkbestemmingen. Heb je daar hulp bij nodig? Vraag het aan een ICT’er.
• Docenten moeten duidelijke instructies krijgen over wat er wel en niet van hen wordt verwacht op het gebied van digitale veiligheid. Wanneer er wijzigingen zijn in deze instructies of het beleid, worden deze besproken met de Medezeggenschapsraad (MR).

• De financiële afdeling is betrokken bij de planning- en controlcyclus (jaarcyclus): daaronder vallen onder andere risicomanagement en begroting, accountantscontrole en het financieel jaarverslag.
• De financiële afdeling heeft meer kans op social engineering zoals babbeltrucs, phishing mails, CEO- en factuurfraude. Let daarom op spoedverzoeken, ongebruikelijke taal, of vragen om vertrouwelijke informatie. Controleer bij een verdachte e-mail altijd het e-mailadres en linkbestemmingen. Heb je daar hulp bij nodig? Vraag het aan een ICT’er. Gebruik een vast protocol voor het delen van gevoelige informatie en verifieer verzoeken via een andere weg (bijv. telefonisch) als je twijfelt over de echtheid.

• Als ICT’er zorg je ervoor dat systemen en digitale leermiddelen regelmatig worden geüpdatet. Dit voorkomt kwetsbaarheden, biedt bescherming tegen hackers en zorgt ervoor dat de integriteit van digitale middelen gewaarborgd blijft. Zo voorkom je dat onbevoegden toegang krijgen tot systemen, dat leerlingen hun eigen cijfers kunnen aanpassen of dat docenten per ongeluk verkeerde cijfers invoeren.
• Een goed gesegmenteerd netwerk is essentieel. Als er ergens in het netwerk iets misgaat, voorkomt segmentatie dat het hele netwerk wordt overgenomen of aangetast.
• Door digitale omgevingen actief te monitoren, kunnen onveilige situaties tijdig worden herkend en aangepakt. Zo ontvangen leerlingen, leraren en ouders altijd de juiste informatie- zoals correcte cijfers in leerlingadministratiesystemen, betrouwbare links en het juiste rekeningnummer voor schoolactiviteiten.
• Door het – zo goed mogelijk - voorkomen van incidenten kan ook de vertrouwelijkheid van de gegevens worden geborgd.

• Facilitair is verantwoordelijk voor de fysieke veiligheid op locatie. Dit speelt een belangrijke rol, bijvoorbeeld bij:
  • Printers die niet goed worden geüpdatet, wat een ingang kan vormen voor een gijzelsoftware (ransomware)-aanval.
  • Netwerkaansluitpunten die niet altijd worden afgesloten, waardoor onbevoegde toegang mogelijk is.
• Facilitair is verantwoordelijk voor de serverruimtes waarin gegevens worden opgeslagen. Deze ruimtes moeten goed beveiligd zijn - bij voorkeur digitaal, bijvoorbeeld met een toegangscode. Een leerling, of docent zonder ICT-rol, mag niet zomaar toegang hebben tot deze ruimtes. Hier staan vaak belangrijke systemen, zoals een intern beheerd VOIP-systeem (Voice over Internet Protocol) voor videobellen of afstandsonderwijs.
• Goed sleutelbeheer is essentieel. Onbevoegde personen die zomaar het pand binnenlopen en zo toegangkrijgen tot(onbewaakte)apparatuur en systemen, kunnen de veiligheid van leerlingen en medewerkers in gevaar brengen.
• Apparaten zoals printers, digitale borden, slimme apparatuur, camera’s en gebouwbeheerssystemen moeten goed beveiligd zijn. Het is belangrijk om regelmatig te controleren hoe veilig deze systemen zijn en of ze voldoen aan de eisen voor fysieke en digitale veiligheid.

• Medewerkers binnen inkoop lopen verhoogd risico op het ontvangen van phishingmails - met alle gevolgen van dien wanneer er op een kwaadaardige link wordt geklikt. Controleer bij een verdachte e-mail altijd het e-mailadres en linkbestemmingen.
• Een inkoper maakt duidelijke afspraken met leveranciers, ook op het gebied van IBP. Heldere contractuele afspraken zorgen ervoor dat leveranciers zich houden aan de gestelde eisen en dat de organisatie grip houdt op risico’s.

• HR is niet verantwoordelijk voor de toegang tot applicaties en omgevingen; dat regelt ICT. HR is wel betrokken, omdat zij de in-, door- en uitstroom van medewerkers coördineren. Stel dat een docent ontslag neemt of wordt ontslagen: als HR de uitstroom niet goed afhandelt en IT niet op de hoogte stelt, kan deze persoon mogelijk (onbevoegd) toegang blijven houden tot systemen.
• HR is verantwoordelijk voor het werven van competent personeel. Medewerkers met toegang tot systemen kunnen veel schade aanrichten. Denk bijvoorbeeld aan een IT’er die per ongeluk alle data uit een systeem verwijdert. De kans op zo’n incident is kleiner wanneer het wervingsproces beter is ingericht.
• HR kan een belangrijke rol spelen in het opleiden en professionaliseren van medewerkers. Er is niet altijd deskundig personeel beschikbaar. In dat geval kun je kijken of er medewerkers zijn die bereid zijn om zich hierin te ontwikkelen, en passende opleidingen aanbieden.

• Het secretariaat moet, net als alle andere medewerkers, duidelijke instructies krijgen over het veilig omgaan met gegevens. Het secretariaat moetweten hoe je informatie met persoonsgegevens veilig kunt opslaan en delen.Menselijke foutjes - zoals een verkeerde bijlage mailen-probeerje hiermee te voorkomen.
• Het secretariaat ontvangt veel e-mails en loopt daardoor een verhoogd risico om phishingmails te ontvangen en hierop te klikken. Controleer bij een verdachte e-mail altijd het e-mailadres en linkbestemmingen voordat je klikt of reageert. Heb je daar hulp bij nodig? Vraag het aan een ICT’er.