Wat is het Normenkader IBP?
Het Normenkader IBP is dé landelijke standaard voor digitale veiligheid in het onderwijs. Het beschrijft aan welke eisen scholen moeten voldoen op het gebied van informatiebeveiliging en privacy.
Het normenkader:
- bundelt alle normen op één plek
- helpt risico’s inzichtelijk te maken
- biedt concrete maatregelen en richtlijnen
Het doel?
Een schoolomgeving waarin leerlingen en medewerkers veilig kunnen leren en werken en persoonsgegevens goed beschermd zijn.
Wie heeft het normenkader ontwikkeld?
Het normenkader is ontwikkeld door en voor het onderwijs. Het is een samenwerking van:
- Ministerie van OCW
- Kennisnet
- SIVON
- PO-Raad
- VO-raad
Samen vormen zij het programma Digitaal Veilig Onderwijs.
Waarom is het normenkader er?
Bescherming tegen cyberdreigingen
Voorkom incidenten zoals ransomware en hacking met duidelijke richtlijnen en maatregelen.
Veilig omgaan met leerlinggegevens
Bescherm privacygevoelige informatie en verklein de kans op datalekken.
Voldoen aan wet- en regelgeving (AVG)
Werk aantoonbaar volgens de geldende privacywetgeving en voorkom boetes of risico’s.
Meer controle over digitale systemen
Krijg inzicht en grip op alle digitale middelen en afhankelijkheden binnen de school.
Risico’s structureel verkleinen
Werk planmatig aan digitale veiligheid in plaats van ad hoc oplossingen.
Bewustwording en vertrouwen
Laat zien dat veiligheid en privacy serieus worden genomen binnen de school.
Het proces voor je school
In deze fase leg je de fundering. Je zorgt voor inzicht, structuur en eerste maatregelen.
Waar moeten scholen aan voldoen?
Het normenkader bestaat uit 69 normen voor informatiebeveiliging en 25 normen voor privacy.
Deze normen beschrijven:
- beleid en governance
- processen en organisatie
- technische maatregelen
Belangrijk: scholen moeten aantoonbaar maken dat ze deze normen naleven.
Wanneer moet je voldoen?
De sector heeft afgesproken dat uiterlijk in 2030 iedere school moet voldoen aan minimaal volwassenheidsniveau 3.
Dit betekent:
- risico’s zijn in kaart
- maatregelen zijn geïmplementeerd
- processen zijn aantoonbaar en geborgd
Hoe pak je dit aan?
Je hoeft het niet in één keer perfect te doen. Het normenkader werkt met een groeipad in 5 fases:
1. Inrichten – randvoorwaarden op orde
2. Ontwikkelen – grootste risico’s aanpakken
3. Uitbreiden – maatregelen verbreden
4. Verfijnen – optimaliseren en verbeteren
5. Optimaliseren – continu verbeteren
Je stapt in waar jouw school nu staat.
De 15 domeinen van informatiebeveiliging
1. Bestuur
De directie stelt de visie en strategie vast om digitale veiligheid stevig te verankeren in de schoolorganisatie.
2. Organisatie
Hierin worden alle rollen en verantwoordelijkheden voor informatiebeveiliging duidelijk verdeeld binnen het team.
3. Risicomanagement
De school brengt mogelijke digitale gevaren in kaart om onderbouwde keuzes te maken voor de juiste bescherming.
4. Personeelsbeheer
Dit domein zorgt dat medewerkers getraind en bewust zijn van hun eigen rol in een veilige schoolomgeving.
5. Configuratiemanagement
Alle systemen en apparaten worden centraal beheerd en voorzien van de juiste, veilige instellingen.
6. Incident- en problemmanagement
Er is een strak plan om digitale incidenten snel te herkennen, op te lossen en ervan te leren.
7. Changemanagement
Aanpassingen aan de IT-omgeving worden gecontroleerd doorgevoerd om onverwachte veiligheidslekken te voorkomen.
8. Systeemontwikkeling
Veiligheid staat vanaf het eerste moment centraal bij de aanschaf, bouw of aanpassing van onderwijssystemen.
9. Datamanagement
Dit regelt hoe informatie veilig wordt opgeslagen, gebruikt en vernietigd gedurende de hele levenscyclus.
10. Identity- en accessmanagement
Alleen de juiste personen krijgen op het juiste moment toegang tot de systemen die zij nodig hebben.
11. Securitymanagement
Er is constant toezicht en controle op de werking van alle genomen beveiligingsmaatregelen.
12. Fysieke beveiliging
De hardware, zoals het Prowise Touchscreen Ultra, en de schoolgebouwen worden fysiek beschermd tegen onbevoegden.
13. IT-operatie
Het dagelijkse beheer van de IT-infrastructuur is gericht op stabiliteit, veiligheid en betrouwbaarheid voor de gebruiker.
14. Bedrijfscontinuïteitsmanagement
Dit borgt dat het onderwijs altijd door kan gaan, zelfs bij grote technische storingen of calamiteiten.
15. Ketenbeheer
De school maakt heldere afspraken met leveranciers om de veiligheid in de gehele onderwijsketen te garanderen.
De 7 domeinen van privacy
1. Beleid
De school legt in duidelijke regels vast hoe zij de privacy van leerlingen en personeel beschermt, zodat voor iedereen de kaders helder zijn.
2. Processen
Dit domein zorgt voor een actueel overzicht van alle gegevens die de school verwerkt, inclusief het maken van risico-analyses (DPIA’s) bij nieuwe software.
3. Organisatorische inbedding
Hierin wordt geregeld dat er een Functionaris Gegevensbescherming (FG) is en dat het hele team weet hoe zij veilig met persoonsgegevens moeten omgaan.
4. Rechten van betrokkenen
De school zorgt dat ouders, leerlingen en medewerkers hun rechten, zoals het inzien of laten verwijderen van gegevens, makkelijk kunnen uitoefenen.
5. Samenwerking
Er worden strikte juridische afspraken gemaakt met leveranciers (verwerkersovereenkomsten) om te garanderen dat zij net zo zorgvuldig met data omgaan als de school zelf.
6. Beveiliging
Dit domein richt zich op het tijdig herkennen, melden en afhandelen van datalekken om de impact op betrokkenen zo klein mogelijk te houden.
7. Verantwoording
De school laat via rapportages en het jaarverslag actief zien dat zij aan alle privacyregels voldoet en de regie voert over haar data.
Hoe Prowise helpt
Het Normenkader IBP is complex. Maar de uitvoering hoeft dat niet te zijn. Prowise helpt scholen met:
- inzicht in jouw huidige situatie
- praktische stappen richting compliance
- veilige en toekomstbestendige oplossingen
- ondersteuning bij implementatie en borging
Zodat jij grip krijgt op digitale veiligheid, zonder gedoe.
Klaar om te starten?
Klaar om te starten? Wil je weten waar jouw school staat? Of direct stappen zetten richting het normenkader? Neem contact op en ontdek hoe wij je helpen naar een digitaal veilige school.
