Actieplan cybersecurity voor het Vlaamse onderwijs
Met de digitalisering van het onderwijs neemt ook het aantal cyberaanvallen op scholen toe. De reden? Cybercriminelen zien geld in de gevoelige informatie van je leraren en school, en de persoonlijke en andere gegevens van je leerlingen. Goede cyberbeveiliging wordt dan ook altijd belangrijker. Met andere woorden: het werd tijd om een actieplan cybersecurity voor het hele Vlaamse onderwijs op te stellen.
Planning
Om dat actieplan cybersecurity uit te werken, trekken we een periode van 3 jaar uit. Van 2024 tot 2026 zullen we de actiepunten geleidelijk aan uitrollen. Tijdens die 3 jaar zal blijken hoe en tot op welk niveau we dat kunnen doen. Dat hangt af van de beschikbare middelen en van verschillende factoren die een invloed hebben. De versie van het plan die er nu – voorjaar 2024 – ligt, is het startpunt. Het definitieve plan kan verschillen van wat we hieronder schetsen.
3 thema's
Cybersecurity is een term waar veel onder valt. Daarom ligt de focus in het actieplan op 3 grote thema’s. Ze zijn de basis voor de 7 actiepunten van het plan.
- Stap 1
Hieronder vallen 4 zaken:
de soft- en hardware van je school of scholengroep
je organisatiestructuur
je online architectuur
de interne en externe uitwisseling van je gegevens
- Stap 2
Hoe ga je om met gegevens in je school of scholengroep, rekening houdend met de AVG-wetgeving, die we ook kennen als de GDPR- of privacywetgeving?
- Stap 3
Het belang van cybersecurity wordt in het onderwijs nog altijd onderschat, en er is ook te weinig aandacht voor. Met het plan willen we je als schooldirectie en schoolbestuur bewustmaken van dat belang en je overtuigen om cybersecurity in je schoolbeleid op te nemen en te implementeren.
7 actiepunten
Met 7 acties willen we de komende jaren het cybersecurityniveau in het hele Vlaamse onderwijs naar een minimumniveau brengen.
- Stap 1
Het normenkader cybersecurity is een tool waarmee je als school een doordacht cybersecuritybeleid kunt voeren. Het bestaat uit sets van normen die aangepast zijn aan het onderwijs in Vlaanderen.
Minimumdoelstellingen
In het normenkader leggen we de maatregelen uit waar we naartoe moeten werken. Enkele van die maatregelen zijn vastgelegd als minimumdoelstellingen. We verwachten van alle scholen dat ze op relatief korte termijn aan een deel van die minimummaatregelen voldoen.
Schaalbaarheid
Heb je als school dat minimumniveau bereikt, dan kun je op eigen initiatief verder blijven groeien. Je zult sowieso inspanningen moeten blijven leveren om dat minimumniveau te behouden.
Risicoanalyse
Als schooldirectie moet je juist inschatten welke risico’s en impact elke maatregel heeft. Zo kun je een cybersecuritybeleid voeren dat 100% op je school of groep afgestemd is.
- Stap 2
Leveranciers van educatieve technologie (EdTech) kunnen nog altijd hun diensten aanbieden zonder aangepaste instellingen voor minderjarigen. Met de duidelijke eisen en verwachtingen uit het plan kun je als school bepalen welke apps veilig zijn en welke niet. Tegelijk wordt het zo voor EdTech-leveranciers duidelijk welke verwachtingen het onderwijs heeft.
Minimumvoorwaarden
Gegevens van minderjarigen worden altijd als gevoelig beschouwd. In het onderwijs volgen we dan ook strikte normen om die te beschermen. Elke app die we gebruiken, moet gebouwd zijn om al die informatie veilig te beheren en de gegevens ook veilig uit te wisselen. Met minimumvoorwaarden voor cyberbeveiliging proberen we heldere verwachtingen door te geven aan de ontwikkelaars en gebruikers.
Voorwaarden voor testplatforms
Het is niet vanzelfsprekend om een app al in de ontwikkelingsfase aan alle cybersecurityvoorwaarden te laten voldoen. Door duidelijke afspraken te maken met de ontwikkelaars en de juiste maatregelen in de app te nemen, kunnen ook de tests veilig uitgevoerd worden.
Databank met veilige apps
We willen een databank opzetten met veilige apps die voldoen aan de cybersecurityvoorwaarden. Als EdTech-bedrijven hun apps zelf analyseren en die analyses vrijgeven, of als de sector certificaten uitreikt, kun je als school vertrouwen dat de apps die je kiest ook veilig zijn.
Veiligheidsinstellingen voor scholen als standaard
EdTech-bedrijven die apps aanbieden waarin schoolprofielen en accounts voor minderjarigen aangemaakt kunnen worden, moeten de veiligheidsinstellingen voor scholen en leerlingen als standaard instellen. Als school moet je die instellingen wel kunnen aanpassen op basis van je eigen behoeften en de risicoanalyse die je uitvoert.
- Stap 3
De identiteit van een gebruiker moet tijdens het inschrijvingsproces grondig en op verschillende manieren gecontroleerd kunnen worden. Zo kunnen de leveranciers voorkomen dat gehackte gebruikers toegang krijgen. Een gebruiker mag alleen maar toegang krijgen tot de gegevens die voor hem of haar belangrijk zijn. Als school moet je ook aan alle leerlingen en personeelsleden kunnen duidelijk maken welke gegevens je met wie deelt.
Authenticatie
Meervoudige authenticatie (MFA) is een efficiënte veiligheidsmaatregel om gebruikers zich te laten identificeren en toegang te geven. Naast MFA zijn er nog andere authenticatiemethoden. Daarom moeten er per methode minimumvoorwaarden vastgelegd worden die consistent toegepast worden in alle apps die gegevens verwerken.
Toegang tot data
Het is enorm belangrijk dat gebruikers alleen maar toegang krijgen tot de gegevens die ze nodig hebben voor hun functie. Is dat niet zo? Dan kunnen hackers bij een cyberaanval inzage krijgen in gegevens waartoe de gehackte persoon eigenlijk geen toegang mag hebben.
Registratietool voor data
De AVG-wetgeving verplicht je als school om iedereen die erom vraagt te laten weten welke gegevens je met wie deelt. Een al dan niet automatische registratietool kan dat dataverkeer in kaart brengen, opvolgen en actueel houden.
LeerID
LeerID is de authenticatietool van de Vlaamse overheid waarmee minderjarigen zich met 1 gebruikersnaam en wachtwoord veilig op verschillende applicaties kunnen aanmelden. Op basis van afspraken met de leveranciers van de apps en de manier waarop scholen de toestemmingen beheren om gegevens te gebruiken, kan ook LeerID het dataverkeer in kaart gaan brengen.
- Stap 4
De AVG-wetgeving verplicht je als school ook om – afhankelijk van de hoeveelheid gegevens en de gevoeligheid ervan – elk gegevensverlies te melden. Die meldingen helpen om het aantal cybersecurityproblemen in het onderwijs in kaart te brengen en het beleid erop af te stemmen. Na elke melding krijg je informatie of hulp om de aanval en/of het gegevenslek aan te pakken.
Meldingstool
In de meldingstool kun je registreren dat je gegevens verloren bent of een cyberaanval te verwerken hebt gehad. Door een vragenlijst in te vullen, weet je of je het lek of de aanval ook bij andere instanties moet melden. Als je daarvoor toestemming geeft, kunnen die meldingen automatisch gebeuren.
Cyberresponsteam
Na elke melding krijg je als school gerichte informatie of hulp om op de beste manier met het gegevensverlies of de aanval om te gaan.
- Stap 5
Software om netwerken te monitoren is een efficiënte manier om het gegevensverkeer in de gaten te houden. De software:
detecteert verdachte activiteiten en kan ze automatisch aanpakken
zoekt automatisch naar apparaten in het netwerk
houdt bij wat de updatestatus van elk toestel is
houdt bij hoeveel keer elk toestel gebruikt wordt.
Software voor scholen
Er bestaat veel monitoringssoftware die gebruikt kan worden door educatieve organisaties. Maar welke functionaliteiten hebben ze en welke software is het meest geschikt voor scholen? Met een gedetailleerd overzicht brengen we dat voor je in kaart. Zo hopen we je planlast te verminderen. Er kunnen eventueel ook raamovereenkomsten gesloten worden waarop je als school kunt intekenen.
Opleiding
Omdat die software snel evolueert, zijn goede opleidingen en bijscholingen belangrijk. Om de software efficiënt te gebruiken, volg je dan ook het best trainingen om ze te configureren. Ook de analyserapporten moet je nauwkeurig kunnen opvolgen en interpreteren.
Beleid rond shadow-IT
Het schoolnetwerk afsluiten voor minder goede software kan ervoor zorgen dat gebruikers die software toch via persoonlijke accounts of op andere manieren proberen te gebruiken. Daardoor brengen ze het netwerk en de privacy in gevaar. Met een beleid rond die shadow-IT kun je medewerkers de juiste informatie over de risico’s geven en afspraken met hen maken.
- Stap 6
Voor IT levert schaalvergroting vaak voordelen op. Vooral omdat IT specialisatie nodig heeft en er maar weinig specialisten zijn.
Gegevensbeschermingseffectenbeoordeling (GEB)
Tijdens een GEB worden de privacyrisico’s van de gegevensverwerking van software uitgebreid beoordeeld. Het doel: de impact op de privacy van de gebruikers zo klein mogelijk te houden. Door GEB’s op Vlaams niveau uit te voeren, zien we welke risico’s elke school loopt en hoef je dat als school niet apart te doen. Omdat Vlaanderen specialisten in huis heeft om een GEB uit te voeren, betekent dat een grote efficiëntiewinst.
Oplossingsgericht werken
Het is niet de bedoeling van een GEB om software en apps te weren. Door de privacyrisico’s in kaart te brengen, kunnen eventuele problemen met leveranciers opgelost worden.
Verantwoordelijkheid voor scholen
Een generieke GEB gaat uit van de functies die in onderwijsapps het meest gebruikt worden. Gebruik je als school andere functies die de generieke GEB niet covert, dan moet je voor die functies zelf een GEB maken en uitvoeren. Dat geldt ook voor apps waarvoor er geen generieke GEB is.
Snelle scan voor leraren en scholen
Het is interessant om een snelle scan uit te voeren om te zien of een app privacyrisico’s inhoudt. Die scan kan aangeven of de school of een data protection officer (DPO) de app nog verder moet analyseren voor die gebruikt kan worden.
DPO-as-a-service
Data Protection Officers (DPO’s) zijn er niet veel. Gelukkig heeft elke onderwijsverstrekker en koepel een DPO die je kan helpen. Toch kun je als school of scholengroep een extra DPO nodig hebben om een GEB uit te voeren of te helpen bij privacy-issues. Dankzij DPO-as-a-service kun je een DPO tijdelijk inhuren.
- Stap 7
Cybersecurity maakt maar in enkele zeldzame gevallen deel uit van het beleid van scholen. Omdat cybersecurity de laatste jaren alleen maar belangrijker geworden is, willen we met het actieplan cybersecurity tot beleidsthema verheffen.
Bewustzijn
Wil je als school een doordacht beleid rond cybersecurity voeren, dan moet je je bewust zijn van de verplichtingen en verwachtingen errond.
Leraren en leerlingen bewegen
Veel organisaties leren leraren en leerlingen om cybersecurity toe te passen. Maar omdat dat niet effectief wordt toegepast in een schoolomgeving, gebruiken ze dus niet wat ze leren. Daarom moet je als school een beleid ontwikkelen dat je leraren en leerlingen in de praktijk de juiste houding laat aannemen tegenover cybersecurity. Alleen zo garandeer je een blijvende impact.
Ethisch belang
Het cybersecuritybeleid dat je als school voert, heeft een directe invloed op je digitale systemen, gegevens en communicatie. Maar pas op: het zal niet zorgen dat je onderwijsniveau stijgt. Wel heeft het een belangrijk ethisch aspect. Omdat je minderjarige leerlingen vaak zelf geen verantwoordelijkheid voor hun privacy kunnen nemen, ben je daar als school verantwoordelijk voor. Een veilige digitale omgeving is dan ook belangrijk voor hun welbevinden en hun ontwikkeling.
Actiepunten
In het actieplan staat veel informatie. Die willen we stap voor stap, duidelijk en verschillende keren aan het onderwijsveld en de EdTech-sector doorgeven.
Lang volhouden
Onze bedoeling is om de acties lang vol te houden. Want alleen zo kunnen we het cybersecurityniveau in het onderwijs de komende jaren stap voor stap verhogen.
5 ontwerpcriteria
Om die 7 actiepunten te ontwerpen, houden we 5 criteria voor ogen.
- Stap 1
Omdat cybersecurity zich snel ontwikkelt, zullen we de tools en normenkaders regelmatig up-to-date brengen en aanpassen.
- Stap 2
Door alle informatie over cybersecurity op 1 plek te centraliseren, heb je er als school een duidelijk overzicht van.
- Stap 3
Door alle aspecten per thema overzichtelijk aan te bieden, wordt het duidelijk dat er structuur in cybersecurity zit.
- Stap 4
Veel scholen zitten op het vlak van cybersecurity nog maar in een beginfase. Dankzij de verwachtingen in het plan zal dat niveau de komende jaren verbeteren. Als school krijg je de tijd – maar niet onbeperkt – om je cyberbeveiliging tot een minimumniveau op te schalen.
- Stap 5
De actiepunten ontwikkelen we in nauwe samenwerking met alle betrokken partijen. We willen kaders en tools maken die met het onderwijs in gedachten ontworpen zijn en ook door scholen gebruikt kunnen worden. Om tot nog efficiëntere en betere resultaten te komen, willen we ook zo veel mogelijk bestaande initiatieven toegankelijk maken voor het onderwijs.
Kunnen we je helpen?
Foutje gezien? Een link die niet werkt? Laat het ons weten!
Krijg je graag ergens meer informatie over? We bekijken je vraag en zien wat we kunnen doen.
Schrijf je in op onze nieuwsbrief
Blijf je graag op de hoogte van de laatste nieuwtjes? Schrijf je dan nu in voor onze maandelijkse nieuwsbrief.