Normenkader IBP: meer tijd tot 2030, maar geen ruimte om stil te zitten
Door Bas Vledder, onderwijsadviseur bij Cloudwise
Het ministerie van OCW heeft recent aangekondigd dat de oorspronkelijke verplichting, (voldoen aan volwassenheidsniveau 3 van het Normenkader IBP in 2027) wordt verschoven naar 2030. Het originele 'Programmaplan Digitaal Veilig Onderwijs' had als doel de urgentie binnen besturen te vergroten. Het heeft daarmee exact dat gedaan wat het moest doen.
Waarom de deadline is verschoven
Het verschuiven van de deadline is een logische stap, omdat het behalen van alle normen voor besturen in zo’n korte tijd organisatorisch en praktisch zwaar is. Maar daarbij hoort een belangrijke nuancering:
- Vanaf 1 januari 2027 moeten besturen weten waar ze staan ten opzichte van het normenkader IBP door middel van zelfevaluatie;
- En er moet een concreet, realistisch plan klaarliggen dat laat zien hoe zij naar niveau 3 groeien in de periode tot 2030.
Dit plan helpt overzicht te krijgen, prioriteiten te bepalen en gewoon te beginnen. Start klein en werk stap voor stap aan een digitaal veilige en vaardige schoolomgeving. Zodra de fundamenten staan, wordt het vooral een kwestie van monitoren en bijsturen.
Waarom wachten tot 2030 risicovol is?
Dat de deadline opschuift, verandert niets aan de cyberdreigingen die vandaag al binnenkomen. Sterker nog: de realiteit maakt de komende jaren waarschijnlijk nóg uitdagender. Drie ontwikkelingen springen eruit:
1. Cyberdreigingen ontwikkelen zich sneller dan beleidslijnen
Het Dreigingsbeeld Cybersecurity 2025 laat zien dat scholen de afgelopen jaren vaker te maken hebben gehad met datalekken, ransomware-aanvallen en verstoringen door DDoS-aanvallen. Sommige incidenten leidden tot uitval van lesmateriaal, financiële schade of langdurige hersteltrajecten.
Criminelen worden professioneler, beter georganiseerd en hebben steeds vaker scholen specifiek op het vizier. De combinatie van veel persoonsgegevens, beperkte ICT-capaciteit en een hoge mate van digitalisering maakt scholen aantrekkelijk. Elke vertraging in beveiligingsmaatregelen vergroot de kans dat een incident daadwerkelijk schade veroorzaakt. Het besef groeit dat digitale veiligheid niet meer “iets van ICT” is, maar een gezamenlijke verantwoordelijkheid van bestuur, schoolleiding en medewerkers.
2. Volwassenheidsniveau 3 vraagt structurele verandering
Het Normenkader IBP gaat niet alleen over techniek. Het gaat net zo goed over processen, cultuur, bewustwording en samenwerking met leveranciers. Dat zijn onderdelen die tijd nodig hebben, omdat:
- medewerkers moeten wennen aan nieuwe werkwijzen
- beleid moet worden vastgesteld en nageleefd
- documentatie en afspraken centraal moeten worden georganiseerd
- ICT-processen vaak over meerdere scholen, teams en systemen lopen.
Dit is niet in één jaar te organiseren. Een vroege start geeft rust, overzicht en ruimte om te leren. Een logische stap is een normenkaderscan om in kaart te brengen waar je staat in relatie tot de voorgeschreven normen.
3. Digitale vaardigheden zijn net zo belangrijk als digitale beveiliging
Een groot deel van de risico’s ontstaat door menselijk handelen: phishing, onveilige wachtwoorden, verkeerd delen van informatie of onbewust risicovol gebruik van AI-tools. Digitale vaardigheden versterken dus direct de digitale veiligheid. Scholen die nu al investeren in bewustwording en vaardigheden, bouwen aan een cultuur waarin veilig (en dus vaardig) gedrag vanzelfsprekend wordt.
Wat de nieuwe deadline voor het Normenkader IBP betekent voor scholen?
Voor besturen betekent het nu veel aandacht en inspanning: processen moeten worden ingericht, teams versterkt, privacybewustzijn vergroot, ICT-infrastructuur vernieuwd en toegang tot systemen beter geregeld.
Een kans om strategischer te werken
Tegelijk biedt dit de kans om digitale veiligheid te koppelen aan bredere strategische doelen en een toekomstbestendige visie op digitaal onderwijs op te bouwen. Zodra deze basis staat, wordt het vooral een kwestie van monitoren en bijsturen, in plaats van voortdurend achter de feiten aanlopen. Door de IBP-normen hierbij als handvat te gebruiken, werk je aan het voldoen aan regelgeving en aan een veilige digitale schoolomgeving voor leerlingen en medewerkers.
Elke stap vooruit telt
Door nu te beginnen bouw je aan veiligheid, vertrouwen en continuïteit. Het resultaat is een digitale omgeving waarin leerlingen veilig en vaardig kunnen leren en werken.
Er zijn al hulpmiddelen die structuur bieden, zoals het Programma Digitaal Veilig Onderwijs en het Groeipad van Kennisnet en de zelfevaluatietool van Kennisnet. Daarmee weet je waar je staat, welke stappen nodig zijn en hoe je concreet kunt werken richting volwassenheidsniveau 3.
Digitaal veilig
Vier tips om aan de slag te gaan
De deadline mag dan verschoven zijn; de verantwoordelijkheid niet. 2027 lijkt misschien een tussenstap, maar een veilige digitale schoolorganisatie bouw je niet in één jaar. Dus de beste dag om hiermee te beginnen? Vandaag.
Met een uitgebreide scan brengen we je huidige volwassenheidsniveau in beeld en helpen we je op weg.
Een veelomvattend, beheersbaar en betaalbaar cybersecurity-abonnement, voor het onderwijs.
Hoe borg je dat de toegangsrechten passen binnen de eisen van de AVG en het Normenkader IBP?
Om te voorkomen, is het belangrijk dat medewerkers zich bewust zijn van phishing.
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Cloudwise helpt je verder!
