Nederlandse scholen moeten over vijf jaar voldoen aan normen digitale veiligheid

Nederlandse basisscholen en middelbare scholen moeten over vijf jaar voldoen aan normen voor digitale veiligheid. Dat heeft staatssecretaris Koen Becking van Onderwijs, Cultuur en Wetenschap gezegd. Nu zijn die normen nog niet verplicht.

Over twee jaar moeten alle scholen een plan hebben over hoe zij gaan voldoen, zegt Becking in een brief aan de Tweede Kamer. "Alle leerlingen in het funderend onderwijs hebben recht op een digitaal veilige
leeromgeving. Het is daarom belangrijk dat ieder schoolbestuur met het normenkader aan de slag gaat. Uit nulmetingen door het programma DVO blijkt dat schoolbesturen nog veel te doen hebben en nog niet op alle normen voldoen aan het streefniveau. En dat is wel nodig."

Daarbij gaat het om het Normenkader Informatiebeveiliging en Privacy, dat 69 normen voor informatiebeveiliging en 25 normen voor privacy bevat. Die normen moeten ervoor zorgen dat schoolsystemen veilig zijn en scholen goed omgaan met gegevens van leerlingen. De overheid begon een paar jaar geleden met het geven van subsidie om dit te stimuleren en die regeling zal doorgaan tot 2029. Scholen moeten sinds vorig jaar in hun jaarverslag schrijven wat ze doen aan beveiliging en privacy.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 06-11-2025 14:34
24 • submitter: HKLM_

06-11-2025 • 14:34

Submitter: HKLM_

Lees meer

Nederland gaat 6 miljoen euro per jaar investeren in cyberveiligheid van scholen

Nederland gaat 6 miljoen euro per jaar investeren in cyberveiligheid van scholen Nieuws van 15 juli 2022

Privacy Beveiliging Nederland Onderwijs

IT-banen

Meer vacatures

Reacties (24)

24

23

15

5

0

3

Wijzig sortering

6 november 2025 14:42

Mijn hemel, niet doorheen te komen zeg

Is hier iemand die al bekend is met dit 'Normenkader'?

Ook zonder normenkader is hier een wereld te winnen als ik kijk naar de ICT-praktijk bij mijn kinderen.

Op de (basis)school van mijn kinderen wordt b.v. regelmatig Youtube gebruikt op het digiboard. Prima natuurlijk, maar dat is inclusief reclames. Zelfde met de 'Digitale leeromgeving'. Daar wordt b.v. gebruik gemaakt van Taaloefenen.nl wat, in de gratis variant, een site met banners is.

We proberen hier thuis de kinderen zo min mogelijk reclame voor te schotelen en dan krijgen ze het alsnog op school.

Op taaloefenen.nl krijgt de leerling een standaard consent modal voor de neus. Lijkt mij dat een 7 jarige daar niet zelfstandig toestemming kan geven voor het gebruik van gegevens? Maar ik ben vooral verbaasd dat er überhaupt dit soort marketing op de kinderen af komt op school.

Iemand hier ervaring mee of kennis over?

[Reactie gewijzigd door bartvb op 6 november 2025 14:43]

pbk @bartvb • 6 november 2025 14:56

Ik werk als bovenschools ICT-er in het primair onderwijs. Het Normenkader IBP is al geruime tijd bekend en veel scholen/besturen zijn er al mee bezig. Dit is een goed startpunt: https://normenkaderibp.kennisnet.nl/

Als een programma/website leerlinggegevens verwerkt moet er een verwerkersovereenkomst zijn: Wanneer moet ik een verwerkersovereenkomst sluiten? - Privacy op School

Op taaloefenen.nl zie ik alleen een melding voor het toestaan van cookies. Dit is wat anders dan het verwerken van leerlinggegevens, ik weet niet precies hoe dit zit qua regelgeving.

[Reactie gewijzigd door pbk op 6 november 2025 15:00]

Dysan @pbk • 6 november 2025 16:00

Onze FG heeft het gebruik van deze 'gratis' tools toch echt afgeraden, heb jij al eens gezien wat deze gratis variant allemaal aan cookies plaatst.
Zonder betalen is er geen verwerkingsovereenkomst, en zonder zo'n overeenkomst wil je echt geen gegevens weggeven.

[Reactie gewijzigd door Dysan op 6 november 2025 16:01]

pbk @Dysan • 6 november 2025 16:10

Ik zeg ook niet dat ik het aanraad, maar ik betwijfel of er in dit geval sprake is van het verwerken van persoonsgegevens. Dan moet je namelijk een verwerkersovereenkomst hebben (ook bij een gratis dienst).
Zie: https://www.privacyopschool.nl/kennisbank/wanneer-moet-ik-een-verwerkersovereenkomst-sluiten/
Als ik naar taaloefenen.nl ga kan ik oefenen zonder dat ik een naam, leeftijd, etc. hoef in te vullen. Doet niets af van het feit dat er wel het nodige wordt 'gevolgd' maar dat zijn denk ik niet de persoonsgegevens waar het om gaat.

SiErRa @bartvb • 6 november 2025 15:01

Uiteindelijk zijn de basisscholen maar hele kleine organisaties, waar er vaak niet eens een volle FTE met ICT bezig is. Misschien dat het beter gaat als je onder een koepel valt zodat er op dat vlak wat te delen is.

Het lijkt mij echt een utopie dat dit goed komt. Want het zoiets kost gewoon veel tijd en geld en kennis, en dat is er allemaal niet.

De voorbeelden die je noemt zijn gewoon docenten die hun best doen hun lessen te verrijken met gratis digitale middelen. En ja daar zitten dan banners en reclame in, het alternatief is denk ik geen digitale middelen.

pbk @SiErRa • 6 november 2025 15:06

De meeste basisscholen vallen onder een bestuur en dan is er echt wel meer ruimte voor ICT/AVG/privacy.

De uitspraak dat er geen tijd/kennis/geld is en dat het dan niet goed komt is wel erg kort door de bocht. Vanuit Kennisnet bv. is er veel kennis (whats in a name..) en ondersteuning om ervoor te zorgen dat besturen gaan voldoen aan het Normenkader IBP (https://normenkaderibp.kennisnet.nl/)
Ik weet uit ervaring dat veel besturen hier al geruime tijd mee bezig zijn en dat er veel tijd (en geld) in wordt gestopt.

Wat de digitale leermiddelen betreft: er zijn genoeg digitale leermiddelen zonder reclame waarvoor scholen betalen. vaak wordt toegang geregeld via Basispoort. Dus hoezo of reclame of geen digitale leermiddelen?

[Reactie gewijzigd door pbk op 6 november 2025 15:07]

vgroenewold @pbk • 6 november 2025 15:32

Wat ik qua ervaring heb met dit soort besturen (dat is wel al een jaar of 7 geleden) is dat er wel voldoende geld is, maar men dat gewoon oppot "voor calamiteiten en/of buffer". ICT was toen totaal geen prioriteit, ik kreeg zelfs nauwelijks gehoor toen ik liet weten op de laptop van mijn zoon, een publieke Google folder te zien waarin data stond van allerlei andere leerlingen. Ik had en heb er niet gek veel vertrouwen in als het gaat om de basisschool.

[Reactie gewijzigd door vgroenewold op 6 november 2025 15:33]

pbk @vgroenewold • 6 november 2025 15:39

Die besturen zullen er vast nog steeds zijn (ik denk zelf dat ze de uitzondering zijn vanuit mijn ervaring).
Des te beter dat er nu een Normenkader IBP is waar je aan moet voldoen.

vgroenewold @pbk • 6 november 2025 15:41

Zeker, maar dan alleen als er ook inspectie op plaats vindt anders denk ik dat dat binnen 2 jaar weer hetzelfde verhaal is.

SiErRa @pbk • 6 november 2025 17:00

Ah dat is een goede zaak, als ouder valt mij nu op hoeveel beter het is geregeld op een middelbare school.
En ik vermoede dat dat toch meer in de schaalgrote zat.

Enkele jaren terug heb ik maar heel weinig op de vlak voorbij zien komen. Tijdens Corona was Teams (gelukkig) snel geregeld. Voor de rest was of alles op papier met een door de docent gemaakte PowerPoint of inderdaad gratis dingen als redactiesommen.nl.

-Elmer- @SiErRa • 6 november 2025 15:32

Juist als je een kleine organisatie bent is het voldoen aan dergelijke toetsingskaders niet zó ingewikkeld. Zorginstellingen, groot of klein, moeten ook al sinds jaar en dag voldoen aan normen m.b.t. veilige omgang met patiëntgegevens. En dat gaat eigenlijk prima, alhoewel het natuurlijk niet betekent dat er nooit wat mis gaat, maar het geeft wel een stuk meer grip dan dat het geval zou zijn zónder zo’n norm.

Toevallig ben ik aardig bekend met de normenkaders voor het onderwijs, en wat erin staat is echt geen rocketscience. Dit soort kaders vereisten dat je nadenkt over hoe je dingen wil doen, dat je werkt volgens de methode die je hebt bedacht en dat kunt aantonen. Het lijkt allemaal heel spannend maar het valt allemaal best wel mee - heel veel ervan valt onder de noemer logisch nadenken. En om de een of andere reden zie ik dat veel slimme mensen die méér dan prima logisch na kunnen denken, die kwaliteit niet inzitten zodra het om IT-zaken gaat. IT wordt toch nog vaak gezien als iets dat moeilijk te vatten is, of zelfs eng. En dat is jammer en niet nodig. Dit soort kaders zijn m.i. erg behulpzaam om het management aan te zetten tot het nadenken over belangrijke zaken en daarmee grip te houden op hun organisatie.

@SiErRa • 6 november 2025 16:58

Als een schoolbestuur lid is van SIVON kunnen ze gebruik maken van templates, tools en (gratis) workshops.

Dit is ook geen verassing voor een schoolbestuur want dit speelt al enkele jaren.

@SiErRa • 6 november 2025 17:09

Ik heb een jaar met mijn kinderen in Spanje gewoond. Regio Andalusië. Alle basisscholen daar maken gebruik van hetzelfde centrale systeem. Ouders krijgen toegang tot het systeem. Daar vallen meer dan 7000 basisscholen onder.

Ik zou dat ook hier willen zien, dat het allemaal centraal geregeld is, met een grote ict afdeling, goed beveiligd enz.

Toen ik mijn dochter voor het eerst aanmelde op de school hier in de buurt in Nederland (nog geen 8 jaar geleden) moest ik ze toch waarschuwen dat ik geen gegevens ging invullen op een http website. Ze wisten niet wat ik bedoelde met https.

Doe het dan centraal vanuit de provincie of landelijk. Alles beter dan het elke school zelf laten uitzoeken, toch?

Nederland
Beveiliging

@SiErRa • 6 november 2025 15:21

Die basisscholen nemen gewoon pakketten af, zoals "Social Schools" of "Magister". Dit normenkader is vooral iets waar ze hun leverancier mee onder de neus kunnen wrijven.

Interne IT is maar heel klein.

pbk @Keypunchie • 6 november 2025 15:36

Sorry, maar dat klopt niet. Het Normenkader IBP is veel mer dan alleen maar zorgen dat de leverancier van software de zaken op orde heeft. Dat valt er wel onder (bv. Norm 15 van Informatiebeveiliging - https://normenkaderibp.kennisnet.nl/informatiebeveiliging/domein-15-ketenbeheer/) maar is echt maar een onderdeeltje van het wat het volledige Normenkader inhoudt.

@SiErRa • 6 november 2025 15:17

Ze vallen onder een koepel van 30 scholen met 1000 medewerkers. Dan hoop ik dat ze toch wel wat dingen geregeld hebben. B.v. geen reclame in Google Workspace. En een abonnement op iets als Taaloefenen.nl

En ik begrijp het prima vanuit de individuele docent. Opgaven maken, op papier uitdelen en vervolgens weer nakijken is een hele hoop gedoe en dan is een 'gratis' site natuurlijk een mooie optie. Maar dat moet, met een klein beetje moeite/budget, toch wel anders kunnen? Je 7 jarige leerlingen reclame voorschotelen op school moet je gewoon niet willen IMHO.

SmexyMachamp @bartvb • 6 november 2025 16:28

Ik ben een simpele ICT'ertje op een school. Ik word door het bestuur "aangejaagd" om bepaalde acties te nemen. Doch, waarom ik reageer is omdat ik vanaf dag 1 dat ik groen licht kreeg uBlock heb geïnstalleerd in alle browsers, bij leerlingen en docenten. Als docenten niet in hun browser inloggen, kan ik niet iets afdwingen, maar in het algemeen zijn de docenten er happig op om helemaal vrij van reclames te zijn.

@SmexyMachamp • 6 november 2025 17:00

En aan welke norm voldoe je door uBlock te gebruiken, volgens mij is er geen norm die een addblocker voorschrijft.

Het normenkader is zodat je nadenkt n vastlegt hoe je je informatie beveiliging hebt ingericht en kunt verbeteren.

SmexyMachamp @jongetje • 6 november 2025 17:30

Oh nee, de normen die slaan op andere dingen. Het gaat om het stukje banners en ads uit het vorige comment.

mjtdevries @bartvb • 6 november 2025 18:14

Een 7 jarige kan inderdaad geen toestemming geven voor het gebruik van persoonsgegevens.
https://avgb.nl/art-8-avg/

dimdek @bartvb • 6 november 2025 21:12

Vraag voor de grap eens of ze op school de volledige voorwaarden van het Google pakket hebben doorgenomen. Op de basisschool van mijn dochter moesten ze bekennen dat dat niet het geval was en dat ze hadden aangenomen dat het wel in orde was. Zes jaar later heb ik de school gevraagd om een Google takeout. Er werd mij verteld dat ik dat zelf maar moest gaan regelen. Het heeft me nogal wat moeite gekost om duidelijk te maken dat de school verantwoordelijk is voor de accounts die ze voor de kinderen aanmaken en dat zij dus ook de takout moeten aanvragen. Bij het doornemen werden mijn vermoedens bevestigd dat de kinderen bij Google bekend waren onder hun eigen namen, met inlogtijden, IP adressen (eventueel van thuis als er thuis was gewerkt) en computergegevens. Google meldt bij een takeout niet wat ze bijhouden over de bezigheden van de kinderen, telemetrie, prestaties etc. maar aangezien dat de drijfveer is voor het 'goedkope' eductiepakket zal die informatie niet te verwaarlozen zijn en zullen kinderen daar de rest van hun leven nog mee worden geconfronteerd.

kalse 6 november 2025 17:08

Het IBP Normenkader draait om veel meer dan ict (gelukkig), maar dwingt scholen(groepen) wel om zaken beter op orde te krijgen. Inmiddels dus met 5 volwassenheidsniveaus waarvan niveau 3 dus doorgeschoven is naar begin 2030. Ik ben daar wel blij mee. Iedere school/scholengroep heeft dit erbij gekregen en er worden in sommige gevallen documenten gevraagd op een niveau dat niet te doen is. Het uitstel van '27 naar '30 helpt het onderwijs in ieder geval om er meer de tijd voor te nemen en het daardoor wellicht ook beter op orde te krijgen. Maar het blijft een hele klus.

Kennisnet helpt daarbij met het groeipad, maar levert hulpdocumenten niet op in de volgorde van hun eigen groeipad. Heeft te maken met gebrek aan tijd en kennis, ook daar. Allerlei commerciële initiatieven zijn er ook, maar zijn vaak prijzig. Los daarvan is het nog steeds onduidelijk wanneer een niveau 3 behaald is. Vooralsnog is dat eigen inzicht en kan dat een krabbel op de achterkant van een bierviltje of een 100 pagina's tellend document zijn...

Knallmeister 6 november 2025 15:58

Vijf (5) jaar. Nounou, de scholen worden hierdoor wel zwaar onder druk gezet zeg. Lijkt wel alsof ze in Den Haag echt geen idee hebben van de betekenis van urgentie, dus is het wederom stoere taal van politici die het over "doorpakken" hebben terwijl ze ondertussen vele hectoliters koffie drinken. Het komt wel goed, dames en heren politici.

Om te kunnen reageren moet je ingelogd zijn