nl
Webshop
nl
Webshop
Ga terug
Maak kennis met Cybersecurity-as-a-Service (CaaS)
Digitaal veilig zijn is een must voor het funderend onderwijs.
Terug naar overzicht
Actueel Hoe Identity & Access Management scholen helpt te voldoen aan de AVG en het Normenkader IBP
Wat is Identity & Accessmanagement? Lees

Hoe Identity & Access Management scholen helpt te voldoen aan de AVG en het Normenkader IBP

Leerplatforms, leerlingvolgsystemen, HR-applicaties, cloudopslag, mail, AI-tools. Al deze applicaties hebben hun eigen gebruikers, rollen en rechten. Maar hoe houd je als bestuur zicht op wie toegang heeft tot wat? En hoe borg je dat deze toegang past binnen de eisen van de AVG en het Normenkader IBP?

Verantwoordelijkheid begint bij toegang

De AVG schrijft voor dat persoonsgegevens alleen toegankelijk mogen zijn voor mensen die ze echt nodig hebben om hun werk te doen. In de praktijk gaat dat vaak mis: medewerkers krijgen meer rechten dan nodig, vaak “voor het gemak”. Het is sneller, overzicht ontbreekt of men wil voorkomen dat iemand wordt buitengesloten. “Dat kan toch geen kwaad?” wordt dan al snel gedacht. Maar dit gemak brengt risico’s: accounts van oud-medewerkers blijven actief, tijdelijke rechten worden niet ingetrokken en een stagiair kan toegang hebben tot dezelfde mappen als een teamleider.

Identity & Access Management (IAM) maakt de bescherming van persoonsgegevens concreet. Het bepaalt wie welke gegevens kan zien en waarom, en zorgt dat medewerkers alleen toegang hebben tot wat voor hun werk noodzakelijk is. Privacy wordt standaard ingebouwd in systemen en processen, zodat bescherming geen extra handeling vraagt. Activiteiten worden geregistreerd, zodat het bestuur kan aantonen dat gegevens zorgvuldig worden beheerd. Zo vertaalt IAM de verplichtingen van de AVG naar de praktijk: het creëert overzicht, voorkomt onnodige risico’s en zorgt dat iedereen binnen de school veilig en verantwoord met gegevens omgaat. Daarmee help je te voldoen aan de kernprincipes van de AVG, zoals dataminimalisatie, beveiliging van persoonsgegevens en verantwoordingsplicht.

"Met rollen en rechten leg je een transparante basis voor toegangsbeheer."

- Bas Vledder, Onderwijsconsulent

Van beleid naar beheersing

Met de update van het Normenkader IBP is de lat voor informatiebeveiliging en privacy in het onderwijs verder aangescherpt. Niet in de zin van meer regels, maar in de vorm van meer duidelijkheid: wat moet er precies geregeld zijn, wie is verantwoordelijk en hoe kun je dat aantonen?

De normen zijn concreter geformuleerd, met bijbehorende hulpmiddelen en voorbeelden. Daarnaast is een groeipad toegevoegd, waarmee scholen kunnen meten waar ze staan en stapsgewijs kunnen toewerken naar volwassenheidsniveau 3 (het niveau dat elk bestuur uiterlijk in 2027 moet bereiken).

IAM ondersteunt de normen uit Domein 10 (Identity & Access Management) en helpt bij het beheersen van toegangs- en identiteitsrisico’s. Belangrijk om te onthouden: het gebruik van een IAM-systeem alleen is niet voldoende; om volledig aan de normen te voldoen zijn ook beleid, controles en periodieke evaluaties nodig.

Norm in het IBP

Beschrijving van de norm

Vereiste IAM-functionaliteit

Praktisch voorbeeld op school

ID.01 Toegangsrechten toewijzen
Toegangsrechten moeten formeel worden toegewezen op basis van de functie en verantwoordelijkheden van een gebruiker.
Role-Based Access Control (RBAC) en geautomatiseerde provisioning.
Een nieuwe docent wordt in het HR-systeem aangenomen voor de vakken Wiskunde en Natuurkunde. Het IAM-systeem kent automatisch de rol 'Docent' toe met toegang tot de ELO en het leerlingvolgsysteem, plus specifieke rechten voor de digitale lesmethodes van die vakken.
ID.02 Administratie van toegangsrechten
Er moet een formele procedure zijn voor het aanvragen, uitgeven, beheren en intrekken van accounts en rechten.
Geautomatiseerd Identity Lifecycle Management (instroom, doorstroom, uitstroom) gekoppeld aan bronsystemen (LAS/HR).
Een leerling verlaat de school halverwege het jaar. Zodra de uitschrijving in het LAS is verwerkt, trekt het IAM-systeem binnen enkele minuten automatisch alle toegangsrechten in, van het e-mailaccount tot de toegang tot de schoolbibliotheek.
ID.03 Monitoring en toegang superusers
Toegang en gebruik van accounts met verhoogde rechten (superuser/administrator) moeten worden beperkt en gemonitord.
Privileged Access Management (PAM) en gedetailleerde audit logging.
De IT-beheerder heeft een 'superuser'-account. Elke keer dat dit account wordt gebruikt om instellingen in de server te wijzigen, wordt dit gelogd. Deze logs worden maandelijks automatisch gerapporteerd aan de CISO/FG.
ID.04 Noodprocedure superuserrechten
Er moet een gedocumenteerde noodprocedure zijn voor het verkrijgen van superuser-rechten in noodgevallen.
Tijdelijke, op aanvraag gebaseerde rechtentoekenning ('Just-in-Time Access') met een goedkeuringsworkflow.
De vaste IT-beheerder is ziek. Een collega vraagt via het IAM-portaal tijdelijk (voor 8 uur) administratorrechten aan om een acuut serverprobleem op te lossen. De schooldirecteur moet deze aanvraag eerst goedkeuren via een notificatie op zijn telefoon.
ID.05 Periodieke beoordeling van toegangsrechten
Toegangsrechten van gebruikers moeten periodiek worden gecontroleerd en herbevestigd door de systeemeigenaar.
Geautomatiseerde 'Access Review' en 'Certification' campagnes.
Elk kwartaal ontvangt de teamleider van de bovenbouw automatisch een e-mail met een overzicht van de docenten in zijn team en hun toegangsrechten tot het leerlingdossiersysteem. Hij moet per docent bevestigen of deze rechten nog steeds nodig zijn.

Menselijk gedrag blijft een factor

De meeste datalekken ontstaan niet door hackers, maar door mensen. Een gedeeld wachtwoord, een verkeerd ingesteld rechtenniveau, een vergeten account. IAM voorkomt veel van die risico’s door het menselijke handelen te ondersteunen met techniek: wat automatisch goed geregeld is, hoeft niet meer handmatig mis te gaan.

Tegelijk blijft menselijk bewustzijn essentieel. IAM maakt veilig gedrag makkelijker, maar het neemt de verantwoordelijkheid niet weg. Een veilig toegangsbeleid vraagt om samenwerking tussen bestuur, ICT, administratie en medewerkers. De technologie is slechts zo effectief als de organisatie die erachter staat.

Van compliance naar vertrouwen

Naast een technische maatregel om aan regels te voldoen, is IAM ook een instrument om vertrouwen te versterken: vertrouwen van ouders dat hun kindgegevens veilig zijn, vertrouwen van medewerkers dat systemen goed zijn ingericht, en vertrouwen van bestuurders dat zij “in control” zijn.

De combinatie van de AVG en het Normenkader IBP maakt duidelijk dat toegangsbeheer zowel een IT-vraagstuk als een bestuurlijke verantwoordelijkheid is.

Hoe volwassen is jullie toegangsbeheer?

Elke school werkt met persoonsgegevens. De vraag is niet óf je dat doet, maar hoe bewust en beheerst je dat doet. IAM helpt om grip te krijgen. Niet door meer regels toe te voegen, maar door beleid technisch te verankeren.

Het Normenkader IBP vraagt van besturen dat ze hun informatiebeveiliging aantoonbaar op orde hebben. De AVG verplicht dat persoonsgegevens alleen toegankelijk zijn voor wie ze nodig heeft. IAM verbindt die twee werelden: beleid en praktijk, papier en bewijs, verantwoordelijkheid en vertrouwen.

Misschien is dat wel de kern van goed bestuur in het digitale tijdperk: weten wie toegang heeft en waarom.

Lees meer over IAM

2 oktober Blogs

Het digitale schoolgebouw dat nooit op slot gaat en wat jij daar als bestuurder van merkt

Stel je een school voor waar de deuren dag en nacht openstaan. Iedereen kan binnenlopen, sloten werken soms wel, soms niet. Leerlingen dwalen door lokalen, docenten weten niet waar ze mogen zijn, en invallers krijgen toegang tot ruimtes waar ze niets te zoeken hebben.

Bericht lezen
8 september Blogs

Een soepele schoolstart met IAM

De start van het schooljaar is ieder jaar een piekperiode: nieuwe leerlingen en medewerkers, aangepaste roosters, extra devices en veranderde licenties. Alles moet op tijd klaar zijn. Op papier lijkt het vaak geregeld, maar in de praktijk blijkt dit steevast een stresstest voor de IT-afdeling. Juist in deze periode staan de ‘onzichtbare processen’ onder druk. Denk aan de vraag: wie heeft toegang tot welke systemen, wanneer en met welke rechten? Als dat niet goed geregeld is, leidt dat tot frustratie, vertraging en veiligheidsrisico’s... Precies op het moment dat je een soepele start wilt maken.

Bericht lezen

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico