Uitstel normenkader IBP verhoogt belang risico-gebaseerde benadering

In de wandelgangen ging het gerucht al langer rond maar sinds kort is het officieel: scholen in het funderend onderwijs krijgen meer tijd om te voldoen aan het Normenkader IBP. Volgens de kamerbrief d.d. 5-11 hoeven scholen niet meer in 2027 niveau 3 van het Normenkader te hebben gehaald maar moeten zij dan een nulmeting hebben uitgevoerd en over een plan van aanpak beschikken waaruit blijkt hoe zij in 2030 denken te gaan voldoen aan het Normenkader. Hoewel dit niet expliciet vermeld is mogen we ervan uitgaan dat dit betekent dat dan niveau 3 bereikt moet zijn. Anders zou er effectief geen sprake zijn van uitstel.

Goede zaak?

Je kunt je afvragen of het een goede zaak is dat scholen meer de tijd krijgen.  Want: ja, voor bijvoorbeeld een één-pitter is het inderdaad nauwelijks te doen om in 2027 aan het normenkader te voldoen. Daar staat tegenover dat het maar de vraag is of een één-pitter in 2030 tegen acceptabel kosten wél aan het Normenkader kan voldoen. In ieder geval alleen tegen een onevenredig hoge inspanning op het gebied van IBP. Of men moet op basis van een adequate risico-afweging op diverse punten gemotiveerd afwijken van de norm. Maar hoe wordt daar dan straks door de toezichthouder mee omgegaan?

Bovendien, zo stelt ook de verantwoordelijke staatssecretaris in de brief aan de kamer: het dreigingsbeeld is de afgelopen tijd alleen maar toegenomen. De risico’s op het gebied van cybersecurity nemen alleen maar toe. Dus de indruk moet niet gewekt worden dat iedereen nu wel even rustig achterover kan leunen. Overigens, op basis van de gesprekken in het veld krijg ik niet de indruk dat dit de houding is.

Risico gebaseerde benadering is key

Volgens mij is het nu meer dan ooit belangrijk dat scholen hun risicomanagement -inderdaad, ook een onderdeel van het normenkader - op orde brengen en op basis daarvan tijdig de juiste maatregelen nemen. 

In het verlengde van wat de staatsecretaris stelt, namelijk dat scholen in ieder geval moeten zorgen dat zij de in het Normenkader benoemde basismaatregelen hebben doorgevoerd, zou iedereen dan daarmee kunnen beginnen. Waarbij op basis van een risico-inschatting (kans x impact) nog weer prioriteiten kunnen worden gesteld.

Door vervolgens een nulmeting uit te voeren ten aanzien van de overige maatregelen uit het Normenkader en voor de openstaande punten een risicoscore te bepalen (kans x impact) kunnen ook voor de overige punten de prioriteiten worden bepaald. Met het risico dat je niet meer gelijk op loopt met het nog aan te passen groeipad. Als daar tenminste een nieuwe versie voor komt.

Maar op deze manier borg je wel dat je de juiste maatregelen op het juiste moment neemt. En tegelijkertijd voldoet aan de richtlijnen vanuit het ministerie.

Programma Digitaal Veilig Onderwijs verlengd

Tegelijk met het aan de scholen geboden uitstel wordt het Programma Digitaal Veilig onderwijs (DVO) tot 2030 verlengd, zo valt eveneens te lezen in de brief aan de kamer. Naast het bestaande aanbod van o.a. handreikingen, verdiepende workshops en hulp bij incidenten en dreigingen (CERT), richt het programma zich in de nieuwe fase ook op:

1. Gerichte ondersteuning voor scholen, met extra aandacht voor achterblijvers, maatwerk en regionale samenwerking. Bijvoorbeeld in de vorm van gezamenlijke inkoop of inhuur van IT-expertise.
2. Het vergroten van inzicht in waar individuele schoolbesturen staan en waar de sector staat, o.a. via periodieke monitoring en zelfevaluatie.
3. De verantwoording die scholen afleggen over hun digitale veiligheid. Digitale veiligheid is reeds onderdeel van het interne toezicht. Onderzocht wordt of digitale veiligheid vanaf 2027 opgenomen kan worden in het toetsingskader van de Onderwijsinspectie.

Goed nieuws, in ieder geval voor de scholen die er reeds gebruik van maken, is dat ook de subsidie op de dienst Veilig Internet van SIVON en Kennisnet tot 2030 wordt verlengd.