Lekken van leerling- en studentgegevens, verlies van data van lessen en onderzoeken, phisingaanvallen: als de cyberveiligheid van een onderwijsinstelling niet op orde is, brengt dat allerlei risico’s met zich mee. Die risico’s mede voorkomen, dat is het werk van een adviseur cyberweerbaarheid bij de Inspectie van het Onderwijs. Zo kan een werkweek eruitzien.
Meebouwen aan de digitale weerbaarheid van het onderwijs in Nederland
Maandag – een scherpe start
Je begint je week op het kantoor van de Inspectie van het Onderwijs (IvhO) in Utrecht. Samen met collega’s van de directie middelbaar en hoger onderwijs bespreek je wat er deze week speelt. Je hoort dat er een onderzoek komt naar een phishingaanval bij een universiteit. Na de vergadering spreek je de onderzoeksleider. Je wilt graag meedenken over de evaluatie, zodat jullie daarvan kunnen leren en de verbeterpunten kunnen meenemen in het toezicht.
’s Middags zit je in een projectgroep. Die onderzoekt wat de nieuwe Wet screening kennisveiligheid betekent voor de Inspectie van het Onderwijs. Jullie maken samen een overzicht van de belangrijkste betrokkenen en jullie bekijken wie met welke partners in gesprek gaat om inzichten en verwachtingen met elkaar te delen.
Dinsdag – op pad voor impact
Vandaag bezoek je een hogeschool. Daar is laatst een oefening gedaan met een nepaanval met gijzelsoftware. Je bent er niet om te controleren, maar om mee te denken. Je spreekt met de CISO (Chief Information Security Officer), vraagt door over hun back-up- en recoverybeleid en deelt goede praktijkvoorbeelden van andere instellingen in het hoger onderwijs. De samenwerking is open en constructief, precies zoals je het graag ziet.
'Ik had nooit zo gekeken naar digitale veiligheid. Maar ik neem dit voortaan zeker mee’
Een inspecteur bij de Inspectie van het Onderwijs
’s Middags ga je terug naar kantoor. Je praat een groep inspecteurs bij over cyberveiligheid. Je laat zien hoe een zwakke cyberbeveiliging een risico vormt voor de continuïteit van het onderwijs: lessen die goed blijven draaien, betrouwbare administratie en diploma’s, gevoelige informatie die goed beschermd is. Je geeft aan welke signalen zij kunnen oppikken in gesprekken met bestuurders. Hun enthousiasme is aanstekelijk: ‘Ik had nooit zo gekeken naar digitale veiligheid,’ zegt een inspecteur. ‘Maar ik neem dit voortaan zeker mee.’
Woensdag – bouwen aan beleid
Vandaag werk je thuis. Je rondt een plan af waarmee inspecteurs beter kunnen controleren op cyberveiligheid. Je geeft duidelijke richtlijnen, die toch flexibel genoeg zijn om in verschillende situaties te gebruiken. Tussendoor overleg je met een collega van juridische zaken. Het gaat over de aansprakelijkheid bij datalekken, en wat de rol van bestuurders is volgens de nieuwe Cyberbeveiligingswet.
’s Middags heb je een onlinebijeenkomst met collega’s van andere toezichthouders, zoals de Inspectie Gezondheidszorg en de Rijksinspectie Digitale Infrastructuur. Hoe kunnen jullie beter samenwerken bij instellingen die onder meerdere toezichthouders vallen? Jij neemt het voortouw om een werkgroep te starten. Want digitale veiligheid stopt niet bij sectorgrenzen.
Donderdag – grip op de praktijk
Je begint de dag met een kennisbijeenkomst met beveiligingsspecialisten van het CIO Office. Dit doen jullie regelmatig. Want de ontwikkelingen op het gebied van cybersecurity gaan razendsnel. Jullie willen daarom goed op de hoogte blijven. Om het onderwijs weerbaarder te maken, en om als inspectie zelf het goede voorbeeld te geven.
’s Avonds geef je een gastcollege aan studenten bestuurskunde. Je neemt ze mee in de wereld van de inspectie in het digitale tijdperk - een wereld die steeds meer draait om cybersecurity. Je merkt dat deze studenten zich echt willen inzetten voor de samenleving. En dat cybersecurity voor hen geen ver-van-m’n-bedshow is maar iets waar ze elke dag mee te maken hebben.
Vrijdag – reflectie en vooruitkijken
Vrijdag werk je weer een dag thuis. Je bekijkt signalen die zijn binnengekomen en schrijft een advies over de risico’s van kunstmatige intelligentie in leerlingvolgsystemen. Ook zet je de eerste lijnen uit voor een onlinetraining over cybertoezicht voor collega’s.
Aan het einde van de dag praat je met je team. Wat ging goed deze week? Wat kan beter?
En dan, met een tevreden gevoel, klap je je laptop dicht. Je weet weer waarom je dit werk doet. Niet voor de regels of de procedures, maar voor wat er écht toe doet: voorkomen dat door cyber-incidenten bepaalde kennis in verkeerde handen terechtkomt, het geven van onderwijs wordt bemoeilijkt en aan de betrouwbaarheid van administraties en diploma’s kan worden getwijfeld.
Volgende week
En volgende week? Dan sta je weer voor nieuwe uitdagingen en acties. Want cyberaanvallers worden steeds slimmer, maar jij en je collega’s ook.