De bescherming van persoonsgegevens is allang geen IT-vraagstuk meer, maar een bestuurlijke verantwoordelijkheid. Voor onderwijsinstellingen, in het bijzonder het primair en voortgezet onderwijs, komt die verantwoordelijkheid met name scherp naar voren. Scholen verwerken gevoelige gegevens van minderjarigen, en dat maakt hen bij uitstek kwetsbaar. Maar ook verplicht. Wettelijk, organisatorisch en maatschappelijk.
Waar veel sectoren nog zoeken naar structuur en richting, laat het onderwijs sinds enkele jaren een opvallend volwassen aanpak zien op het gebied van informatiebeveiliging en privacy (IBP). Maar die ontwikkeling komt niet uit de lucht vallen.
Juridisch kader en context
Op basis van de Algemene Verordening Gegevensbescherming (AVG) zijn onderwijsinstellingen aan te merken als verwerkingsverantwoordelijken. Zij dragen de plicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Dit geldt temeer bij de verwerking van bijzondere categorieën van gegevens, zoals informatie over gezondheid, leerprestaties of sociaal-emotioneel functioneren.
De toename van datalekken in het onderwijs wordt jaarlijks bevestigd door het ministerie van OCW. In het Jaarverslag 2023 wordt expliciet gemeld dat het funderend onderwijs kampt met een stijgend aantal meldingen bij de Autoriteit Persoonsgegevens. Het betreft zowel menselijke fouten als digitale aanvallen, zoals phishing en ransomware.
Governance en toezicht: nieuwe verantwoordingseisen
In het licht van deze ontwikkeling is de verplichting die sinds 2024 geldt voor onderwijsinstellingen van groot belang: het is op grond van de Regeling Jaarverslaggeving Onderwijs verplicht om in het jaarverslag op te nemen welke maatregelen zijn getroffen op het gebied van informatiebeveiliging en privacy. Daarmee wordt IBP formeel onderdeel van de bestuursverantwoording, en dus zichtbaar voor toezichthouders, medezeggenschapsraden en de samenleving.
Daarnaast besteedt de Inspectie van het Onderwijs in haar toezicht expliciet aandacht aan informatiebeveiliging, onder meer als onderdeel van het bestuurlijk kwaliteitsonderzoek.
Sectorale aanpak: normenkaders en operationele ondersteuning
De onderwijssector heeft een eigen normatief kader ontwikkeld voor IBP. Het zogeheten IBP-normenkader is opgesteld door PO-Raad, VO-raad en Kennisnet. Dit kader biedt houvast aan schoolbesturen bij het implementeren van informatiebeveiligingsmaatregelen. Het bevat onder meer handreikingen voor risicoanalyse, beleidsvorming, beveiligingsmaatregelen en bewustwording van personeel.
Ook beschikt het onderwijs sinds enkele jaren over een eigen Computer Emergency Response Team (school-CERT), dat scholen bijstaat bij incidenten en dreigingen. Deze sectorale infrastructuur, inclusief ondersteunende netwerken en formats, is in andere sectoren nog niet vanzelfsprekend aanwezig.
Conclusie
De juridische verplichtingen zijn helder, en de maatschappelijke druk neemt toe. Toch blijkt juist het onderwijs, ondanks beperkte middelen, in staat om op sectorniveau een robuuste aanpak neer te zetten. De combinatie van normering, inspectiedruk en bestuurlijke betrokkenheid werpt zijn vruchten af.
Vooralsnog lijkt het onderwijs zich in positieve richting te ontwikkelen op het gebied van informatiebeveiliging. Of het voldoende is om alle risico’s het hoofd te bieden, zal de tijd leren. Maar dat andere sectoren hier lering uit kunnen trekken, staat buiten kijf.
Talha Yilmaz
Advocaat – Compliance Expert
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?