Onderwijsbesturen zijn verantwoordelijk voor de digitale weerbaarheid en veiligheid van hun organisatie. Goede digitale weerbaarheid is noodzakelijk om ervoor te zorgen dat het onderwijs door kan gaan. Ook is veilige opslag van onderwijsdata noodzakelijk. Het waarborgt de kwaliteit van het onderwijs en van de diploma’s die onderwijsinstellingen afgeven. In het jaarverslag kunnen besturen laten zien hoe het staat met hun digitale weerbaarheid en veiligheid. En welke uitdagingen zij nog zien. Uit onderzoek van de Inspectie van het Onderwijs blijkt dat steeds meer besturen zich in hun jaarverslag verantwoorden over digitale veiligheid, maar we zijn er nog niet.
Digitale weerbaarheid gaat over de mate waarin scholen en besturen in staat zijn om de digitale onderwijsomgeving van hun leerlingen, studenten en medewerkers te beschermen. En om hun digitale veiligheid te waarborgen. Digitale veiligheid gaat over de feitelijke bescherming van systemen, gegevens en gebruikers tegen digitale dreigingen. Voorbeelden van dreigingen zijn hackpogingen of datalekken.
Het funderend onderwijs (primair onderwijs, voortgezet onderwijs, speciaal onderwijs) moet informatiebeveiliging en privacy vanaf verslagjaar 2024 als maatschappelijk thema in het jaarverslag opnemen. Het vervolgonderwijs (middelbaar beroepsonderwijs en hoger onderwijs) heeft dit sinds 2022 in de bestuurlijke afspraken staan.
Om een beeld te krijgen van de huidige verantwoording heeft de inspectie de jaarverslagen van 2021, 2022 en 2023 onderzocht.
In de jaarverslagen over 2021, 2022 en 2023 vallen de volgende zaken op:
Er zijn grote verschillen tussen sectoren. Het mbo en hoger onderwijs lopen voorop in hun verantwoording over digitale weerbaarheid en veiligheid, terwijl het primair en voortgezet onderwijs achterblijven.
In alle sectoren rapporteren grotere besturen vaker dan kleinere instellingen.
De focus in de verslaglegging verschilt per sector. Besturen in het funderend onderwijs richten zich vooral op privacy, terwijl het mbo en hoger onderwijs vaker ingaan op cybersecurity.
Er worden weinig meldingen van digitale dreigingen genoemd. De meest vermelde incidenten komen door oorzaken binnen de organisatie.
Besturen rapporteren relatief weinig over gedragsmaatregelen om risico’s te vermijden, zoals trainingen voor personeel.
Deze conclusies zijn alleen gebaseerd op data uit jaarverslagen. Het is mogelijk dat een bestuur wel werkt aan de digitale weerbaarheid, maar er (nog) niet over rapporteert in het jaarverslag.
