Op 9 juni jl. hebben de aanwezige leden van de PO-Raad tijdens de ALV vastgesteld dat minimale standaarden voor cyberveiligheid nodig zijn om de veiligheid van medewerkers en leerlingen goed te kunnen waarborgen. Om aan deze standaarden te kunnen voldoen zijn voorzieningen nodig die samenwerking vereisen, denk aan ondersteuning bij beveiligingsincidenten en collectieve verzekeringen. De PO-Raad gaat, samen met partners, aan de slag met deze opdracht. Arthur van der Have, onderwijsaccountant bij Astrium, reageert verheugd op dit besluit daar het onderwerp cybersecurity om een continu verbeterproces vraagt.

De besluiten die op de ALV zijn genomen komen onder andere voort uit het advies van de Adviesgroep Regie op ICT. Deze groep van acht bestuurders uit het primair onderwijs (po) en voortgezet onderwijs (vo) heeft zich gebogen over de vraag wat de bestuurlijke verantwoordelijkheid is op het gebied van ICT. Wat is er nodig om daar als sector invulling aan te geven? De adviesgroep ziet minimale standaarden en samenwerking als belangrijke stap in het grip krijgen en houden op digitalisering.

Vernieuwing privacyconvenant

Hoewel er voor cyberveiligheid nog normen moeten worden vastgelegd, is er op het gebied van privacy al sprake van een wettelijk kader (AVG, de Archiefwet en de Wet Pseudonimisering) waar besturen aan moeten voldoen. Om hierbij te ondersteunen heeft de PO-Raad samen met andere partijen onder andere het privacyconvenant vernieuwd en een bewaartermijnenlijst opgesteld. Ook deze twee documenten zijn tijdens de ALV bekrachtigd.

In het privacyconvenant maken de PO-Raad, VO-raad, MBO Raad en vertegenwoordigers van brancheorganisaties afspraken over gegevensuitwisseling bij digitale onderwijsmiddelen. In de nieuwste versie van het convenant en de model verwerkersovereenkomst is onder andere de positie van besturen als verwerkersverantwoordelijke beter geborgd.

Groepsselectiebesluit Archiefwet

Onderwijsbesturen en samenwerkingsverbanden po en vo zijn verplicht om een lijst met bewaartermijnen op te stellen voor documenten die verband houden met hun publiekrechtelijke taken. Het is met ingang van de vernieuwde Archiefwet (2023) ook mogelijk om namens een groep of achterban een ‘groepsselectiebesluit’ in te dienen bij het Nationaal Archief. De PO-Raad en VO-raad hebben als representatieve organisaties van de sectoren po en vo een (concept) groepsselectiebesluit opgesteld. Zodra de vernieuwde Archiefwet in werking treedt, zal de (concept) groepsselectielijst worden ingediend bij het Nationaal Archief. Er zijn dan geen machtigingen meer nodig van ieder schoolbestuur of samenwerkingsverband vanwege het besluit op de ALV's. Schoolbesturen of samenwerkingsverbanden mogen individueel wel een afwijkende selectielijst opstellen en indienen bij het Nationaal Archief.

Arthur van der Have, onderwijsaccountant bij Astrium:

“Binnen het funderend onderwijs worden persoonsgebonden gegevens bewaard, al dan niet in digitale vorm. Het belang van bewaring en beveiliging blijkt keer op keer uit incidenten (eveneens in het funderend onderwijs) die in de media aandacht krijgen. Voorts is begin juli 2021 bekend geworden dat een grote ransomware-aanval in Nederland heeft plaatsgevonden waarbij data van bedrijven en instellingen is gegijzeld en pas tegen betaling van losgeld is vrijgegeven. Cyberaanvallen worden gekenmerkt als geraffineerde en zorgvuldig opgezette plannen om ongewenst toegang te verkrijgen tot een beveiligde omgeving. Het is belangrijk dat het onderwerp cybersecurity regelmatig op de bestuurlijke agenda wordt geplaatst. Dit is een continu verbeterproces."

Sorry, this website uses features that your browser doesn’t support. Upgrade to a newer version of Firefox, Chrome, Safari, or Edge and you’ll be all set.