Casus: Samenwerken rondom informatiebeveiliging binnen het mbo

Door de toegenomen informatisering en digitalisering nemen ook de risico’s voor het onderwijs toe. Informatiebeveiliging wordt voor onderwijsinstellingen daarom steeds belangrijker. Hans Doffegnies (Summa College) is voorzitter van de MBO Taskforce Informatiebeveiliging en Privacy en hij laat zien dat het mbo op dat punt in 2015 veel heeft bereikt.

Studenten in een bibliotheek

Grote risico’s

Het programma ‘Informatiebeveiliging en privacybeleid’ is een initiatief van de MBO Raad. Het wordt gedragen door drie partijen: saMBO-ICT (de ICT-belangenbehartiger van het mbo), Kennisnet en SURF. “Het doel van het programma is om informatiebeveiliging en privacybeleid meer tussen de oren van de instellingen te krijgen”, zegt Doffegnies. “Onderwijsinstellingen staan aan grote risico’s bloot, ze kunnen imagoschade lijden of in de problemen komen door DDoS-aanvallen en dergelijke. De mbo-instellingen hebben zelf hun verantwoordelijkheid genomen om dit op te pakken, zodat we als sector beslagen ten ijs komen.” 

“Onderwijsinstellingen staan aan grote risico’s bloot, ze kunnen imagoschade lijden of in de problemen komen door DDoS-aanvallen en dergelijke."

Handboek en roadmap

De opdracht van de taskforce was een handboek te maken voor het mbo over informatiebeveiliging. Dit bevat onder meer een normenkader en een toetsingskader voor informatiebeveiliging en privacy. Daarmee wil de sector het risico minimaliseren, aldus Doffegnies: “We hebben een mbo-roadmap samengesteld, die alle onderwijsinstellingen hebben gekregen. Die bevat een model voor informatiebeveiliging gebaseerd op ISO 27001 en 27002. Daar zit ook een model in voor de verwerking van persoonsgegevens op basis van de Nederlandse wet- en regelgeving. We hebben er verder implementatievoorbeelden van kleine en grote instellingen aan toegevoegd. Het gaat om praktische en toepasbare informatie.” 

Scholingsprogramma

In 2015 zijn de werkzaamheden afgerond, op 1 januari 2016 zijn de producten overgedragen aan de staande organisatie. Er is ook een omvangrijk scholingsprogramma geweest waaraan de meeste instellingen hebben deelgenomen. “Die hebben nu allemaal minimaal één medewerker die van de hoed en de rand weet”, zegt Doffegnies. “Dat is een eerste stap in de richting van de benoeming van een security officer. De bewustwording is daardoor in een stroomversnelling geraakt. Ook communicatie en expertisevorming zijn belangrijke pijlers geweest. De instellingen hebben veel documentatie en standaarden gekregen.” 

Rol SURF

Volgens Doffegnies is de positie van SURF in deze discussie enorm belangrijk geweest: “In het wo en hbo is al veel ontwikkeld; het mbo heeft daar veel aan gehad. We hebben beleidsmodellen van SURF als kader gebruikt en die aangepast voor het mbo. We zijn nu bijvoorbeeld ook bezig met een mbo-cloud, en het juridisch kader dat bij SURF beschikbaar was is daarvoor herschreven.” 

"We zijn nu bijvoorbeeld ook bezig met een mbo-cloud, en het juridisch kader dat bij SURF beschikbaar was is daarvoor herschreven.”

Verschillende informatiebeveiligingsniveaus

Doffegnies benadrukt dat de mbo-sector er ondanks deze goede resultaten nog niet is: “We hebben een benchmark informatiebeveiliging opgesteld. Daarin staan de verschillende informatiebeveiligingsniveaus die je kunt bereiken. 20 instellingen gebruikten die benchmark voor een zelfassessment – die trouwens ook van SURF afkomstig is. De uitkomsten hebben we onderling gedeeld. Daardoor hebben we een goed beeld van waar we nu staan en zien we welke zaken een instelling moet oppakken om het volgende niveau te bereiken.”