5 vragen over cyberveiligheid in het mbo
“Wat je niet hebt, kan niet gestolen worden”
Op 25 en 26 juni ontvangt het Rotterdamse Zadkine de bezoekers van de SURF Security & Privacy Conferentie. Een mooie aanleiding om, in aanloop naar dit jaarlijkse evenement, eens stil te staan bij een aantal actuele onderwerpen rond cyberveiligheid in het mbo. We stellen vijf prangende vragen aan Richard de Koning (manager Informatieveiligheid en Privacy Zadkine) en Martijn Bijleveld (programmamanager Cyberveiligheid MBO Digitaal).

Richard de Koning
Richard de Koning werkt al ruim 15 jaar bij het Rotterdamse Zadkine. Eerst als Projectleider ICT, maar inmiddels als manager Informatieveiligheid en Privacy. Hiervoor heeft hij, eveneens als projectleider, bij het Ministerie van Justitie en Veiligheid gewerkt.
Richard: “Vanuit mijn rol bij Zadkine gaat het vooral om bewustwording van de risico’s. We werken met veel gevoelige informatie over studenten en medewerkers. Als je kijkt naar dreigingen rond die informatie, dan denken we al snel aan hackers. Toch schuilt het gevaar juist in het gedrag van de eigen collega’s. De laptop bij afwezigheid open laten staan, te veel of verkeerde rechten uitdelen, exports van lijstjes met gevoelige informatie; dat zijn allemaal voorbeelden van grote risico’s vanuit de organisatie zélf. Je kunt op papier de technische beveiliging nog zo goed op orde hebben, maar als je zelf de ‘deur’ openzet of niet stuurt op veilig gedrag, dan blijft het misgaan.”

Martijn Bijleveld
Martijn Bijleveld is programmamanager Cyberveiligheid bij MBO Digitaal en adviseur informatiebeveiliging en privacy bij de MBO Raad. In 2024 won Martijn de SURF Security & Privacy Award voor zijn buitengewone inzet voor het programma Cyberveiligheid mbo.
Martijn: “Waar we ons bij MBO Digitaal daarnaast zorgen over maken, is de technische weerbaarheid van de mbo-instellingen. Uit de werkbezoeken die we vanuit het programma organiseren, komt naar voren dat vooral de kleinere scholen een ingewikkelde opgave hebben, want zij moeten aan dezelfde eisen voldoen als de grote instellingen. Hoe los je dat op als menskracht en de budgetten voor inhuur ontbreken? Dus moeten we nadenken over manieren waarop we die kleinere instellingen kunnen helpen. Zo hebben we het CISO-as-a-Service programma opgezet: een fulltime CISO die de instellingen ondersteunt bij de voorbereidingen op de security-audits, aangevuld met twee young professionals die voor een tot twee dagen per week in de instelling aan de slag kunnen voor een schappelijk tarief. Een ander voorbeeld om meer grip te krijgen op die technische weerbaarheid, is de aanbesteding van meer dan 100 pentesten voor de mbo-scholen. Iedere instelling krijgt twee kosteloze pentesten aangeboden en wordt ondersteund bij het formuleren van een zinvolle opdracht en scope van de test.”
2. Stel dat geld of andere beperkende factoren geen rol zouden spelen, welke probleem pak je dan als eerste aan?
Richard: “Datamanagement. De hoeveelheid data die we verzamelen en vaak te lang bewaren, is onvoorstelbaar groot en divers. Ik noem het vaak de ‘onbeperkte rommelzolder’. Het is heel moeilijk om dat in hand te houden als je niet verplicht reguleert en opschoont. Ja, er bestaat technologie die data analyseert, labelt en beschermt, zoals Microsoft Purview. Daar ligt het probleem niet, want de techniek en de licenties om het te mogen gebruiken zijn er vaak al. Vervolgens heb je digitale archivarissen of bibliothecarissen nodig die dit actief inzetten. Dit soort werkzaamheden kun je niet alleen aan ict-teams of de eindgebruiker overlaten.”
Martijn: “Ik kom vooral uit bij risicomanagement. Hoeveel geld je ook hebt, je zal de budgetten altijd weloverwogen moeten inzetten. Daarom moet je dreigingen in kaart brengen en kijken naar waar organisaties de grootste risico’s lopen. Veel instellingen vinden het een ingewikkeld onderwerp en pakken dat pas aan als de rest op orde is. Ik denk dat je het moet omdraaien. Begin met risicomanagement als basis voor je investeringen in security-maatregelen. Als het om risicomanagement gaat, horen we veel kleine instellingen soms verzuchten: ‘Hoe krijgen we het allemaal geregeld?’ De kunst is dan om juist niet alles te doen en je schaarse middelen te richten op die gebieden waar je de hoogste risico’s loopt.”
“Het antwoord van Richard herken ik ook. Het is goed om scherp op datamanagement te zijn. Onlangs heb ik een blog geschreven over de enorme afvalberg aan data waarop wij onbewust zitten. En over het risico dat dit oplevert. Het is niet een kwestie of je wordt gehackt, maar wanneer. Dus moet je opschonen, want wat je niet hebt, kan niet gestolen worden. Kortgeleden was het digital cleanup day, de jaarlijkse digitale voorjaarsschoonmaak. Daar hebben we de ‘digital cleanup mbo’ van gemaakt, inclusief een digital cleanup toolbox. Een mooie, ludieke manier om awareness te kweken en om concreet met dit taaie onderwerp aan de slag te gaan.”
3. Zijn er sectoroverstijgende samenwerkingsverbanden of oplossingen nodig?
Richard: “Zadkine is een grote mbo-instelling. We bestrijken een breed speelveld aan vakgebieden; van horeca tot administratie. Dat levert een enorme verscheidenheid aan software op, met een lastige dynamiek aan kwetsbaarheden. Je kan niet alle gaten dichten. En het is een gigantische klus om alle dreigingen bij te houden. Daar worden we via verschillende sectoroverstijgende initiatieven goed bij geholpen. Ook door SURF, overigens. Jullie houden dreigingsbeelden in de gaten en delen die via rapporten.”
Martijn: “De mbo-scholen hebben op het gebied van cyberveiligheid een convenant afgesloten, waarin is afgesproken om verregaand samen te werken. Zo kunnen we meer impact maken, omdat we niet meer voor elke activiteit afzonderlijk commitment hoeven op te halen. Ook op overkoepelend niveau vindt er overleg plaats, tussen de MBO Raad, Vereniging Hogescholen, Universiteiten van Nederland, SURF en OCW. Daar bespreken we de gemeenschappelijke aanpak op thema’s.”

"Zadkine is een grote mbo-instelling. We bestrijken een breed speelveld aan vakgebieden; van horeca tot administratie"
4. Welke rol spelen publieke waarden in jullie vakgebied?
Richard: “Eén van de grote risico’s betreft het gebruik van zogenoemde schaduw-IT: het feit dat studenten en medewerkers eigen ict-oplossingen gebruiken zonder dat de officiële ict-afdeling hiervan op de hoogte is. Als studenten en medewerkers eigen tools en apps installeren, dan is het vraag wat er met die data gebeurt. Zonder beveiliging heb je geen privacy, en vice versa. Het aantal AI-toepassingen en programma’s groeit fenomenaal. Daar hoort een nieuwe wetgeving bij, de AI Act. Daarnaast zul je moeten zorgen dat je medewerkers AI-geletterd zijn. Dat lukt niet door het te verbieden of af te schermen.”
Martijn: “Ik ben het met Richard eens dat AI veel aandacht verdient. Het komt nu ook vrij ongemerkt de scholen binnen, omdat bestaande applicaties worden voorzien van slimme nieuwe functies. De ethische en juridische kant van AI is dan ook heel belangrijk. We organiseren vanuit MBO Digitaal informatiesessies over de AI Act en de eisen die deze nieuwe verordening stelt. Daarbij helpen we de scholen om te bepalen welke assessments ze kunnen - en soms moeten - uitvoeren voor de ingebruikname van dergelijke toepassingen.”
5. Vormen innovaties rond bijvoorbeeld AI of Quantum-technologie een kans of bedreiging?
Richard: “Beide. We hebben AI-technologie nodig om onze systemen te beveiligen. Wij gebruiken een lerend systeem dat naar het gedrag op het netwerk kijkt. Gebeurt er iets dat niet normaal is, dan kun je meteen actie ondernemen zonder dat een beheerder, die niet 24/7 beschikbaar is, daarvoor zelf handmatig actie moet ondernemen. Deze technologie helpt ons zeker. Maar we kennen de ‘dark side’ natuurlijk ook. Veel encryptietechnieken zijn niet quantumproof. Als data door kwaadwillenden onderschept wordt om later via quantumtechnologie te kraken, dan is er een groot probleem.”
Martijn: “Ik overzie onze quantumtoekomst niet helemaal, maar heb er wel beelden bij. Het gaat een enorme impact op onderzoek maken en op de beveiliging van onze gegevens. Dat is best wel spannend, vooral omdat de eerste quantumcomputers niet in Nederland zullen draaien. Als, zoals Richard aangeeft, criminelen of bepaalde statelijke actoren straks de sleutel tot onze data in handen hebben, dan is dit doodeng. Vanuit een defensief perspectief kunnen wij dan ook niet achterblijven in deze digitale wapenwedloop. Dus wat mij betreft is het belangrijk dat we ons goed voorbereiden op de quantumtoekomst om te voorkomen dat we straks aan de beurt zijn.”
Tekst: Edwin Ammerlaan
Kom ook naar de SURF Security & Privacy Conferentie
Op de SURF Security & Privacy Conferentie hoor je alles over actuele security- en privacyonderwerpen in onderwijs en onderzoek. Er is aandacht voor zowel technische als beleidsmatige en juridische aspecten. Daarnaast wordt elk jaar de SURF Security & Privacy Award uitgereikt als blijk van waardering voor het bijdragen aan het veilig, open, toegankelijk, privacyvriendelijk en betrouwbaar houden of maken van onze sector. Nieuwsgierig naar wie de award dit jaar wint? Kom op 25 en 26 juni naar Zadkine mbo in Rotterdam.
Bovenop de praktijk bij Zadkine
Voor het eerst organiseren we dit jaar de Security & Privacy Conferentie samen met een mbo. Wat het extra speciaal maakt, is dat studenten van verschillende opleidingen komen helpen en op die manier praktijkervaring opdoen. Studenten van de banket- & koksopleiding verzorgen de catering en de beveiliging wordt gedaan door studenten die in opleiding zijn tot beveiliger. Opbouw, afbouw en garderobe? Dat doen de studenten van het Hospitality College. Rondlopen bij Zadkine is uniek: er is een kappersacademie, wijn & spijszalen, en aankomende stewardessen oefenen in een echt vliegtuig. Bij de Security & Privacy Conferentie zit je dit jaar dus bovenop de praktijk!
Meld je aan voor de SURF Security & Privacy Conferentie 2025