Van compliancedruk naar aantoonbare grip
Het onderwijs digitaliseert ontzettend snel. Leerlingen werken online, docenten delen lesmateriaal via digitale leeromgevingen en administratieve processen verlopen steeds vaker helemaal digitaal. Die ontwikkeling brengt veel voordelen met zich mee, maar zorgt er ook voor dat onderwijsinstellingen steeds afhankelijker worden van technologie.
Dat maakt dat onderwijsinstellingen, denk aan hogescholen en universiteiten, ook steeds interessanter worden voor cybercriminelen. En dat zien we terug in de cijfers, want de afgelopen jaren hebben meerdere onderwijsinstellingen te maken gehad met cyberincidenten. Van phishingmails en datalekken tot ransomware-aanvallen die complete systemen platleggen. Volgens recente dreigingsbeelden van Kennisnet en SURF neemt het aantal cyberincidenten binnen het onderwijs nog elke dag toe. Vooral phishing, ransomware, malware en aanvallen via leveranciers vormen een groot risico voor deze sector.
Tóch ligt de grootste uitdaging vaak niet bij de techniek. Veel onderwijsinstellingen weten namelijk best welke beveiligingsmaatregelen nodig zijn. De vraag is vooral: hoe organiseer je informatiebeveiliging structureel binnen een organisatie waar tijd, budget en security- of compliancekennisbeperkt zijn?
Waarom is het onderwijs een doelwit van cybercriminaliteit?
We schreven het net al: cybercriminelen richten zich steeds vaker op onderwijsinstellingen. Niet verrassend, wetende dat deze organisaties beschikken over veel waardevolle data. Ook hebben ze vaak te maken met complexe, verspreide IT-omgevingen en moeten ze tegelijkertijd een open digitale omgeving bieden voor leerlingen, studenten, docenten én onderzoekers.
De impact van incidenten bij onderwijsinstellingen is altijd groot, dat kunnen we niet ontkennen. Uitval van systemen kan bijvoorbeeld leiden tot verstoorde lessen, uitgestelde tentamens, onbereikbare leeromgevingen en reputatieschade richting studenten, ouders en medewerkers.
Hoe verandert de aanpak van cyberaanvallen?
Waar phishingmails vroeger vaak makkelijk te herkennen waren, worden ze tegenwoordig steeds overtuigender. Met behulp van AI kunnen criminelen in korte tijd gepersonaliseerde berichten opstellen die amper van echte berichten te onderscheiden zijn. Ook technieken zoals voice cloning en deepfakes worden steeds toegankelijker. Daarnaast blijven meer traditionele dreigingen aanwezig. Ransomware, malware en DDoS-aanvallen behoren nog altijd tot de grootste risico's voor onderwijsinstellingen.
Cyberincidenten via leveranciers
Tussen neus en lippen door benoemden we het al: het gaat niet alleen om aanvallen op de scholen zelf. Onderwijsinstellingen zijn namelijk steeds afhankelijker van externe leveranciers. Denk aan leveranciers van digitale leeromgevingen (LMS), applicaties voor roosterplanning en toets- en examenplatformen. Wanneer een leverancier wordt getroffen door een cyberincident, kunnen de gevolgen direct merkbaar zijn binnen de school of onderwijsinstelling.
In hoeverre is er sprake van bestuursaansprakelijkheid in het onderwijs?
Naast het toenemende dreigingsniveau krijgen onderwijsinstellingen ook te maken met strengere regelgeving. Binnen het onderwijs zijn onder andere de AVG, ISO 27001 en het NormenkaderInformatiebeveiliging en Privacy (IBP) belangrijke kaders. Daarnaast speelt de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de EuropeseNIS2-richtlijn, een steeds grotere rol. Deze is op 7 juli 2026 definitief goedgekeurd door de Eerste Kamer. Hiermee treedt deze regelgeving in werking op 15 augustus 2026.
Voor veel onderwijsorganisaties betekent dit automatisch dat informatiebeveiliging aantoonbaar moet worden ingericht. Met nadruk op “aantoonbaar”. Niet alleen technisch, maar juist ook bestuurlijk. Met de inwerkingtreding van de Cyberbeveiligingswet wordt cybersecurity nadrukkelijker een bestuurlijke verantwoordelijkheid. Bestuurders moeten aantoonbaar betrokken zijn bij risicobeheersing, besluitvorming en toezicht op informatiebeveiliging.
Voor primair- en voortgezet onderwijs zijn bovendien afspraken gemaakt rondom het IBP-normenkader. Schoolbesturen moeten de komende jaren steeds beter inzicht krijgen in hun volwassenheidsniveau en structureel werken aan digitale weerbaarheid.
Wanneer is informatiebeveiliging bestuurlijk ingericht?
Veel organisaties zien informatiebeveiliging nog steeds als “iets van de IT-afdeling”. Natuurlijk spelen technische maatregelen een belangrijke rol, maar daar houdt het niet op. Uiteindelijk gaat het namelijk ook om vragen als:
- Welke risico's lopen we als organisatie?
- Welke systemen zijn cruciaal voor onderwijsprocessen?
- Wie is verantwoordelijk als er iets misgaat?
- Hoe zorgen we ervoor dat medewerkers veilig werken?
- Kunnen we aantonen dat we onze zaken op orde hebben?
Dat zijn al lang geen technische vraagstukken meer, maar organisatorische en bestuurlijke beslissingen.
Daarom zie je – tenminste, dat hopen we – dat informatiebeveiliging steeds vaker een vast onderwerp wordt binnen directies, schoolbesturen en raden van toezicht. Zeker nu wet- en regelgeving strengere eisen stelt aan onderwijsinstellingen.
Waarom informatiebeveiliging vaak blijft liggen
In de praktijk zien veel onderwijsinstellingen dezelfde uitdagingen terugkomen. IT-omgevingen zijn vaak decentraal geregeld, met verschillende locaties, opleidingen, leveranciers en applicaties. Hierdoor ontbreekt al snelhet totaaloverzicht.
Daarnaast zijn capaciteit en budget vaak beperkt. Veel onderwijsorganisaties beschikken niet over een ervaren Chief Information Security Officer (CISO). Toch wordt er verwacht dat zij beleid ontwikkelen, risicoanalysesuitvoeren, audits begeleiden, compliance aantonen én managementrapportages opstellen.
Daar komt bij dat informatiebeveiliging vaak wordt gezien als een verantwoordelijkheid van IT. Het gevolg daarvan? Bestuurders ontvangen niet altijd de informatie die nodig is om risico’s goed af te wegen. Cybersecurity blijft dan hangen in technische maatregelen, terwijl het juist steeds meer gaat om bestuurlijke keuzes, risicomanagement en continuïteit.
De meeste onderwijsorganisaties begrijpen dus echt wel het belang van informatiebeveiliging. Het is vaak het gebrek aan de juiste middelen dat het in de praktijk lastig maakt om er structureel aandacht aan te besteden.
Wat moet een onderwijsinstelling concreet regelen?
Een volwassen aanpak van informatiebeveiliging begint met structuur. Wij adviseren onderwijsinstellingen om minimaal aandacht te besteden aan:
- Een duurzaam Information Security Management System (ISMS) opzetten
- Governance en bestuurlijke verantwoordelijkheid voor informatiebeveiliging
- Inzicht in kritische systemen, processen en gegevensstromen krijgen
- Incident- en datalekprocedures uitwerken
- Periodieke risicoanalyses uitvoeren
- Toegangsbeheer en multi-factor authenticatie (MFA) inrichten
- Patchmanagement en kwetsbaarhedenbeheer
- Back-up- en herstelprocedures inrichten
- Monitoring en logging
- Leveranciersmanagement
- Rapportage richting bestuur en toezichthouders realiseren
Het doel hiervan is niet om zoveel mogelijk documenten te produceren. Het gaat om aantoonbare beheersing van risico’s en het structureel verbeteren van de digitale weerbaarheid van je organisatie.
Wat als je geen eigen CISO hebt?
We lichtten het al toe: voor veel onderwijsinstellingen is een fulltime CISO niet haalbaar. De functie is niet alleen schaars, maar vaak ook heel kostbaar. Dat neemt echter niet weg dat de kennis van een CISO hardnodig is om te kunnen voldoen aan het strenge normenkader.
De oplossing? Een externe CISO. Het liefst op basis van de behoeften van jouw organisatie, zodat je toegang krijgt tot de kennis die jij nodig hebt. Zonder een volledige functie in te hoeven vullen.
Met CISO-as-a-Service krijgt een onderwijsorganisatie toegang tot een ervaren CISO die optreedt als verlengstuk van de organisatie. Deze CISO is geen losse adviseur, maar ondersteunt bij het uitvoeren van risicoanalyses, het opzetten van jouw ISMS, het voorbereiden van audits en het vertalen van wet- en regelgeving naar de praktijk. Ook rapporteert hij aan bestuur en management. Binnen deze aanpak worden directie, bestuur en IT met elkaar verbonden. Risico’s worden inzichtelijk gemaakt, prioriteiten vastgesteld en verbetermaatregelen opgevolgd. Zo ontstaat niet alleen compliance met relevante wet- en regelgeving, maar vooral grip op informatiebeveiliging als bedrijfsproces.
Conclusie
Onderwijsinstellingen worden steeds afhankelijker van digitale systemen. Tegelijkertijd nemen cyberdreigingen toe en stellen wet- en regelgevingen hogere eisen.
Dat betekent niet dat iedere school of onderwijsinstelling direct een uitgebreid securityteam nodig heeft (of kan veroorloven). Dat maakt het niet minder belangrijk om informatiebeveiliging structureel te organiserenen verantwoordelijkheid helder te beleggen.
Voor organisaties die daar extra ondersteuning bij kunnen gebruiken, kan een dienst als CISO-as-a-Service van Innvolve uitkomst bieden. Daarmee haal je de expertise in huis om zo snel mogelijk compliant te zijn en informatiebeveiliging goed in te richten.

About the author
Albertho is CISO en zet zich met passie in voor informatiebeveiliging en compliance met een sterke focus op veiligheid en betrouwbaarheid.

