In 2024 zijn binnen de scholengroep opnieuw belangrijke stappen gezet om de informatiebeveiliging en privacy van onze leerlingen, ouders en medewerkers te versterken. Met de toenemende digitalisering van het onderwijs voelt het extra noodzakelijk om zorgvuldig en veilig met gegevens om te gaan. Hieronder wordt een toelichting gegeven op de belangrijkste acties en ontwikkelingen op dit gebied.
Om risico’s op het gebied van informatiebeveiliging te verkleinen zijn beveiligingsmaatregelen geïmplementeerd, waaronder strenge toegangscontrole, logging en monitoring van dataverkeer en verplichte multi-factor authenticatie (MFA) voor toegang tot gevoelige systemen. In 2024 is een securityscanner geïnstalleerd die continu het netwerk monitort en mogelijke kwetsbaarheden vroegtijdig signaleert. Op basis van de resultaten van deze scans zijn passende maatregelen genomen om de beveiliging te verbeteren. Daarnaast is gestart met de implementatie van het Normenkader Informatiebeveiliging en Privacy (IBP) voor het funderend onderwijs. Dit normenkader biedt richtlijnen om te voldoen aan de AVG en stelt minimumeisen aan de beveiligingsmaatregelen. Dit traject verloopt gefaseerd: in 2027 wordt de basisimplementatie afgerond en in 2028 volgt een audit om te toetsen of alle gestelde normen worden behaald.
Om het bewustzijn onder medewerkers te vergroten, heeft de IT-afdeling samen met het privacyteam specifieke bewustwordingsacties georganiseerd. Dit betrof onder andere interne communicatie over concrete beveiligingsrisico’s en praktische tips voor veilig digitaal gedrag.
In 2024 is een integraal Informatiebeveiliging en Privacybeleid (IBP) opgesteld en door het College van Bestuur vastgesteld. Dit beleid vormt de basis voor het zorgvuldig omgaan met persoonsgegevens van leerlingen, ouders en medewerkers. Daarnaast is het privacyreglement herzien en opnieuw vastgesteld om beter aan te sluiten bij actuele wetgeving en best practices binnen de onderwijssector. Ook is een begin gemaakt met het opstellen van een bewaartermijnenbeleid, dat in 2026 zal worden afgerond. Dit beleid zal duidelijk maken hoe lang verschillende soorten persoonsgegevens worden bewaard en hoe deze veilig worden verwijderd wanneer ze niet langer nodig zijn. Het IBP-beleid wordt jaarlijks geëvalueerd door de Functionaris Gegevensbescherming (FG) en de IT-afdeling. Tot en met 2027 vindt deze evaluatie plaats aan de hand van de voortgang van de implementatie van het Normenkader IBP.
Gedurende het verslagjaar zijn vijf datalekken gemeld, waarvan één melding moest worden gedaan bij de Autoriteit Persoonsgegevens. Alle meldingen zijn zorgvuldig afgehandeld volgens het geldende protocol. Op basis van de gemelde datalekken worden verbetermaatregelen doorgevoerd, zoals een training voor medewerkers en wordt het autorisatiebeleid voor toegang tot leerlinggegevens aangescherpt door het herdefiniëren van de gebruikersrollen.
Het Bewustwordingsplan Privacy 2024-2027 is vastgesteld. Dit plan beschrijft de maatregelen die zullen worden genomen om het bewustzijn rondom privacy te vergroten. De implementatie van het plan start in 2025 en omvat onder meer periodieke trainingen en phishing-simulaties om de alertheid van medewerkers te vergroten. Vanaf het schooljaar 2025/2026 zullen alle medewerkers jaarlijks een e-learningmodule volgen over het zorgvuldig omgaan met persoonsgegevens. Voor nieuwe leidinggevenden zal daarnaast een specifieke introductiecursus worden ontwikkeld. Er zal worden bijgehouden hoeveel medewerkers de e-learningmodule succesvol afronden.
Het crisismanagementplan is in 2024 geüpdatet, waarbij specifieke aandacht is besteed aan de respons op cybersecurity-incidenten. Binnen de vernieuwde crisisstructuur spelen het privacyteam en de IT-afdeling een belangrijke rol. Bij incidenten wordt volgens een vast protocol gehandeld, waarbij snelle communicatie en zorgvuldige afhandeling centraal staan. Het plan benadrukt het belang van tijdige opschaling en heldere interne en externe communicatie. In 2025 zal het plan worden geoefend met specifieke aandacht voor incidentrespons en preventieve maatregelen.
Voor 2025 staan de verdere implementatie van het Normenkader IBP en de afronding van het bewaartermijnenbeleid op de agenda. Daarnaast wordt gestart met de eerste trainingen uit het Bewustwordingsplan Privacy. We blijven ons onverminderd inzetten om een veilige digitale leeromgeving te bieden en de privacy van alle betrokkenen te waarborgen.
We beseffen dat onze verantwoordelijkheid niet ophoudt bij het invoeren van maatregelen: een blijvende focus op veilige technologie, duidelijke procedures én bewustwording bij alle medewerkers is nodig om ieders gegevens te beschermen. Met deze aanpak hopen we te laten zien dat we de bescherming van gegevens serieus nemen en blijven toewerken naar een steeds hogere mate van veiligheid en privacy.