nl
Webshop
nl
Webshop
Ga terug
De nieuwe gids is uit
Klaar om de digitale transitie gestructureerd aan te pakken en samen de digitale weg in te slaan?
Terug naar overzicht
Actueel De menselijke maat in IBP: waarom je niet kan wachten tot 2030

De menselijke maat in IBP: waarom je niet kan wachten tot 2030

Door Mathijs van Leeuwen, onderwijsadviseur en Privacy Officer bij Cloudwise

Het ministerie van OCW heeft vorig jaar besloten de deadline voor het behalen van volwassenheidsniveau 3 van het Normenkader IBP te verschuiven van 2027 naar 2030. Hoewel dit schoolbesturen de nodige ademruimte geeft, is de boodschap van experts helder: stilzitten is geen optie. De cyberdreigingen van vandaag wachten immers niet op beleidstermijnen. Bovendien is digitale veiligheid meer dan een technische checklist; het is mensenwerk dat tijd en aandacht vraagt.

De harde realiteit: wat kost niets doen?

De noodzaak om nú in actie te komen wordt pijnlijk duidelijk door de toenemende professionaliteit van cybercriminelen. De gevolgen van een incident zijn anno 2026 niet te overzien:

  • Hersteltijd: de gemiddelde hersteltijd na een ransomware-aanval kan oplopen tot wel 35 dagen.
  • Financiële schade: een phishingincident bij een gemiddelde schoolorganisatie kan tussen de € 70.000 en € 210.000 kosten, inclusief herstel en productiviteitsverlies.
  • Continuïteit: incidenten leiden regelmatig tot uitval van lesmateriaal en langdurige operationele verstoringen.

2027 als cruciale tussenstap

Hoewel de eindstreep is aangepast, blijven er belangrijke mijlpalen staan. Vanaf 1 januari 2027 moeten schoolbesturen via een nulmeting exact weten waar ze staan ten opzichte van het Normenkader IBP. Bovendien moet er op dat moment een concreet en realistisch plan klaarliggen richting 2030. Dit plan helpt overzicht te krijgen en de juiste prioriteiten te stellen.

Benieuwd naar de exacte details van de aangescherpte tijdlijn en wat de verschuiving naar 2030 precies betekent voor jouw meerjarenplan? In ons eerdere blog over de nieuwe IBP-deadline lees je alles over de beleidskaders van het ministerie.

Van bewustzijn naar echt gedrag: de menselijke factor

De grootste uitdaging bij de invoering van het Normenkader IBP is niet de techniek, maar de vertaling van regels naar de dagelijkse praktijk. Gedragswetenschapper Timon Hoitink (Kennisnet, 2026) stelt dat bewustzijn alleen niet volstaat. Weten dat digitale veiligheid belangrijk is, leidt namelijk niet automatisch tot veilig handelen.

De vier 'lenzen' van gedragsverandering (ACDR)

Als we echt stappen willen zetten, moet digitale veiligheid veranderen van een complexe frustratie in iets dat fijn, overzichtelijk en haalbaar is. Hoitink adviseert hierbij gebruik te maken van de vier lenzen van gedragsverandering (ACDR):

Architecture (omgeving)

Richt de (digitale) werkomgeving zo in dat het gewenste gedrag de weg van de minste weerstand wordt. De omgeving stuurt het gedrag onbewust aan.

Drivers (drijfveren)

Koppel IBP aan de intrinsieke motivatie van het onderwijs. Maak duidelijk dat privacy geen bureaucratie is, maar een essentieel onderdeel van de zorg voor leerlingen en de betrouwbaarheid van de school.

Competence (kunnen)

Vertaal abstracte normen naar behapbare, concrete acties. Wanneer medewerkers precies weten wat ze moeten doen, groeit het zelfvertrouwen en de handelingsbekwaamheid.

Resistance (weerstand)

Erken dat weerstand vaak voortkomt uit tijdgebrek of onzekerheid. Verminder deze barrière door klein te beginnen en scholen de regie te geven over hun eigen proces.

IBP is geen 'ICT-feestje'

Digitale veiligheid is een gezamenlijke verantwoordelijkheid van het bestuur, de schoolleiding en alle medewerkers. Het gaat niet alleen over techniek, maar juist over processen, cultuur en samenwerking met leveranciers. Voor bestuurders betekent dit:

  • Strategische focus: positioneer IBP als fundamentele randvoorwaarde voor onderwijskwaliteit. Durf te prioriteren: kies voor een beperkt aantal projecten met hoge urgentie om versnippering te voorkomen.
  • Faciliteer ruimte: zorg dat IBP geen 'taak erbij' is. Stel structureel tijd, budget en expertise beschikbaar (bijvoorbeeld via een Cybersecurity-abonnement).
  • Toon voorbeeldgedrag: integriteit begint aan de top. Handel consequent naar de privacy- en beveiligingsprincipes. Jouw gedrag is de ongeschreven norm voor de hele organisatie.

De eerste stap: begin vandaag

Een veilige schoolomgeving bouw je niet in één dag, maar de fundering kan vandaag gelegd worden. Begin met een Normenkaderscan om de huidige situatie objectief in kaart te brengen. Door nu in kleine, behapbare stappen te beginnen, maak je digitale veiligheid tot een natuurlijk onderdeel van de dagelijkse onderwijspraktijk. De beste dag om te starten? Dat is vandaag.

Waar komt het normenkader vandaan?

Ransomware, phishing en DDoS-aanvallen: het is geen wonder dat cybersecurity (in goed Nederlands: digitale veiligheid) ook in het onderwijs een zeer actueel thema is. Zo lanceerde het ministerie van OC&W – in samenwerking met Kennisnet, de po- en vo-raad en SIVON – in april 2023 het programma Digitaal Veilig Onderwijs. Een belangrijk onderdeel van dit programma is het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs. Dit normenkader beschrijft de normen voor digitale veiligheid en biedt voorbeeldmaatregelen voor schoolorganisaties om zich zo goed mogelijk te beschermen tegen digitale dreigingen als datalekken en cyberaanvallen. Zo is het normenkader een belangrijk hulpmiddel om te komen tot digitaal veilig onderwijs. Het biedt ook een helder einddoel dat scholen stap voor stap kunnen bereiken.

Meer over het normenkader

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico