Als onderwijsbesturen hun digitale weerbaarheid willen regelen, moeten zij het een vast en samenhangend onderdeel maken van beleid, planning en sturing. En zich niet beperken tot operationele maatregelen. Alleen dan kunnen zij ervoor zorgen dat het onderwijs bij digitale verstoringen kan doorgaan. Daarbij helpt het als zij samenwerken binnen het onderwijsveld en gebruik maken van ondersteunende organisaties, zoals SIVON, Kennisnet, SURF en MBO Digitaal. Dit blijkt uit het rapport Digitale weerbaarheid in het onderwijs van de Inspectie van het Onderwijs.
Over het onderzoek
De inspectie onderzocht in hoeverre besturen bijdragen aan digitale weerbaarheid. En hoeveel zicht en sturing besturen hebben, welke maatregelen zij nemen en welke factoren hen helpen of juist belemmeren bij het waarborgen van digitale weerbaarheid. Aanleiding voor dit onderzoek is de toenemende digitalisering van het onderwijs en de groeiende digitale dreigingen. Want het onderwijs moet door kunnen gaan na een digitaal incident.
Wat gaat goed?
Uit het onderzoek blijkt dat besturen zich bewust zijn van de toenemende digitale dreiging en maatregelen nemen om risico’s te beperken. Veel instellingen hebben incidentprocedures, investeren in bewustwording en werken aan informatiebeveiliging en privacy. In het middelbaar beroepsonderwijs en het hoger onderwijs is digitale weerbaarheid vaak formeel georganiseerd, bijvoorbeeld rond een Chief Information Security Officer. In het primair, voortgezet en speciaal onderwijs ziet de inspectie ook groeiende aandacht en verdere professionalisering.
Wat kan beter?
De inspectie ziet ook dat digitale weerbaarheid nog niet overal strategisch en integraal is opgenomen in de bestuurscyclus. Maatregelen zijn op operationeel niveau vaak verder ontwikkeld dan op bestuurlijk en strategisch niveau. Structurele risicoanalyses, meerjarenplanning, monitoring en bijsturing maken nog niet altijd systematisch deel uit van die cyclus. En verschillen tussen besturen zijn groot. Kleinere besturen zijn relatief kwetsbaar, onder meer door beperkte capaciteit en expertise.
Wat helpt?
Helpende factoren zijn een integrale visie op veiligheid, duidelijke regie, een sterke veiligheidscultuur en actieve bestuurlijke betrokkenheid. Wanneer een bestuur digitale veiligheid expliciet ziet als een organisatiebrede verantwoordelijkheid, en niet alleen als een ict-onderwerp, ontstaat meer samenhang in beleid en uitvoering. Ook samenwerking en kennisdeling binnen en tussen sectoren versterken de positie van besturen, onder meer richting ict-leveranciers. Samenwerkingsverbanden in de sector kunnen daarbij helpen.
Wat helpt niet?
Belemmeringen liggen vooral in beperkte capaciteit, schaarste aan gespecialiseerde professionals en afhankelijkheid van leveranciers. Soms hangt de prioriteit van digitale weerbaarheid af van de kennis en betrokkenheid van individuele bestuurders. Daarnaast ervaren met name kleinere besturen de complexiteit van normenkaders voor informatiebeveiliging en informatievoorziening als belastend. Ook kan spanning ontstaan tussen autonomie en veiligheid: scholen of faculteiten willen zelfstandig blijven werken, terwijl digitale veiligheid vaak vraagt om meer centrale afspraken en sturing.
Wat kunnen besturen doen om hun digitale weerbaarheid te versterken?
Op basis van dit verkennend onderzoek doen de inspectie 4 aanbevelingen:
- Onderwijsbesturen kunnen stappen maken door digitale weerbaarheid bestuurlijk beter te verankeren. Dus niet alleen aandacht besteden aan operationele maatregelen, maar digitale weerbaarheid structureel opnemen in strategie, begroting en toezicht.
- Ook is meer bestuurlijke kennis en regie essentieel. Gerichte scholing, duidelijke regie en zichtbaar leiderschap dragen bij aan beter onderbouwde keuzes en een sterkere veiligheidscultuur.
- (Boven)sectorale samenwerking biedt kansen. Het delen van kennis en het versterken van netwerken maakt verschillen tussen besturen kleiner.
- Het geheel van keten- en leveranciersrisico’s vraagt om een gezamenlijke aanpak. Individuele besturen zien zich namelijk beperkt door de afhankelijkheid van grote ict-leveranciers. Alleen door als sector gezamenlijk op te trekken richting leveranciers kunnen besturen hun eisen verder aanscherpen en risico’s beter beheersen.