In 2025 heeft de scholengroep verder gewerkt aan het versterken van informatiebeveiliging en privacy voor leerlingen, ouders en medewerkers. We verwerken dagelijks veel persoonsgegevens en vinden het belangrijk dat dit zorgvuldig en veilig gebeurt, zeker nu digitale dreigingen toenemen. Hieronder lichten we de belangrijkste acties en ontwikkelingen toe.
In 2025 zijn bestaande beveiligingsmaatregelen verder geborgd, zoals toegangsbeheer, logging en monitoring en het gebruik van multi-factor authenticatie (MFA) voor toegang tot systemen met gevoelige gegevens. Daarnaast is het signaleren en opvolgen van kwetsbaarheden en verdachte situaties nadrukkelijk onderdeel geworden van het dagelijks beheer. Hierdoor konden signalen tijdig worden opgepakt en is de impact van incidenten beperkt gebleven.
Ook is in 2025 gestart met de verdere implementatie van het Normenkader Informatiebeveiliging en Privacy (IBP). Dit normenkader helpt om structureel te werken aan passende organisatorische en technische maatregelen en ondersteunt het voldoen aan de AVG. De implementatie vindt gefaseerd plaats. De komende jaren ligt de focus op het behalen van de normen die voor 2030 van toepassing zijn, en op het borgen daarvan in de organisatie.
Het in 2024 vastgestelde Informatiebeveiligings- en Privacybeleid (IBP) vormt het kader voor de manier waarop wij omgaan met persoonsgegevens en digitale veiligheid. In 2025 is gestart met de uitvoering van dit beleid. Een belangrijk onderdeel daarvan is het opzetten van een risicomanagementproces voor IBP. Dit proces kent vier stappen: identificatie, analyse, beheersing en monitoring & rapportage.
Om dit proces goed te kunnen uitvoeren, zijn in 2025 alle applicaties en systemen binnen de scholengroep geïnventariseerd. In totaal zijn meer dan 200 softwarepakketten in beeld gebracht. In 2026 wordt het risicomanagementproces toegepast op deze inventarisatie, zodat risico’s en beheersmaatregelen per toepassing planmatig kunnen worden vastgesteld en gevolgd.
Het IBP-beleid wordt jaarlijks geëvalueerd door de Functionaris Gegevensbescherming (FG) en de IT-afdeling. Deze evaluatie is tot en met 2030 nadrukkelijk gekoppeld aan de voortgang op het Normenkader IBP.
In 2025 zijn zes datalekken gemeld. Geen van deze meldingen hoefde te worden doorgezet naar de Autoriteit Persoonsgegevens. Alle meldingen zijn afgehandeld volgens het geldende protocol, inclusief registratie, beoordeling en – waar nodig – opvolging met verbetermaatregelen. Op basis van deze meldingen zijn acties ingezet, zoals gerichte instructie en aandacht voor autorisaties en gebruikersrollen bij systemen met leerlinggegevens.
Het Bewustwordingsplan Privacy 2024–2027 vormt de basis voor het vergroten van privacy- en informatiebeveiligingsbewustzijn. In 2025 is een verplichte jaarlijkse e-learningmodule voor alle medewerkers geïntroduceerd. De organisatie registreert of medewerkers deze module succesvol afronden. Daarnaast delen het IT- en privacyteam gedurende het jaar concrete aandachtspunten en praktijkvoorbeelden, gekoppeld aan actuele risico’s en incidentmeldingen.
Het crisismanagementplan is in 2024 geactualiseerd, met aandacht voor de respons op cybersecurity-incidenten. Binnen de crisisstructuur hebben het privacyteam en de IT-afdeling een vaste rol. Bij incidenten wordt gewerkt volgens een vastgesteld protocol, met aandacht voor tijdige opschaling en heldere interne en externe communicatie. In 2026 wordt het plan geoefend, met focus op incidentrespons en preventieve maatregelen.
In 2026 richten we ons op verdere implementatie van het Normenkader IBP en op het toepassen van het IBP-risicomanagementproces op de geïnventariseerde applicaties. Daarnaast evalueren we de eerste cyclus van de jaarlijkse e-learning en scherpen we de aanpak aan waar nodig. Zo blijven we werken aan veilige technologie, duidelijke procedures en blijvende bewustwording, om gegevens van leerlingen, ouders en medewerkers zorgvuldig te beschermen.