Cyberveiligheid op school: waarom techniek alleen niet genoeg is

Cyberveiligheid op school: waarom techniek alleen niet genoeg is

11-05-2026 12:05

Vraag een willekeurige schoolbestuurder hoe de school de cyberveiligheid op orde heeft, en het antwoord gaat meestal over techniek: een goede firewall, een betrouwbare leverancier voor het leerlingadministratiesysteem, tweefactor-authenticatie. Allemaal belangrijk maar niet voldoende. Want datalekken in het onderwijs ontstaan zelden door het falen van techniek. Ze ontstaan vooral langs een veel menselijker route: in de processen, gewoontes en aannames van het dagelijks werk.

De zwakste schakel zit zelden in de techniek

Een paar herkenbare voorbeelden uit de praktijk:

  • Een leerkracht stuurt een lijstje met bijzonderheden over leerlingen via WhatsApp naar een collega.
  • Een directeur werkt thuis even verder in een persoonlijk Gmail-account, omdat dat ‘sneller is’.
  • Een USB-stick met toetsresultaten verdwijnt onderweg van school naar huis.
  • Een nieuwe IB’er krijgt automatisch toegang tot mappen die nooit zijn opgeschoond.
  • Een phishingmail komt binnen op het drukste moment van de week en wordt geopend.

Geen van deze incidenten is op te lossen met betere software. Ze vragen om betere afspraken, helderdere werkprocessen en een organisatiecultuur waarin veilig omgaan met gegevens vanzelfsprekend is.

Privacy by design in schoolprocessen

De AVG verplicht organisaties tot ‘privacy by design’ en ‘privacy by default’. Op een school betekent dat: privacy is geen vinkje achteraf, maar een uitgangspunt bij het inrichten van processen. Wie krijgt toegang tot welke gegevens? Welke gegevens worden bewaard, en hoe lang? Hoe verloopt de communicatie met ouders, leveranciers en ketenpartners?

Zulke vragen lijken bureaucratisch, maar zijn in feite organisatorisch. Ze raken aan rolverdeling, bevoegdheden, werkafspraken en de manier waarop informatie binnen een school stroomt. Daarmee zijn ze bij uitstek het domein van organisatieontwikkeling niet van de IT-afdeling alleen.

Cultuur: durven medewerkers een fout te melden?

Onderzoek na onderzoek wijst uit: het beste signaal van een veilige organisatie is niet het ontbreken van incidenten, maar de bereidheid om ze te melden. Een datalek dat binnen 24 uur wordt gemeld, is beheersbaar. Een datalek dat wekenlang verborgen blijft uit angst voor ‘gedoe’, kan uitgroeien tot een ernstig incident met grote impact op leerlingen, ouders en medewerkers.

De vraag is dus niet alleen of de procedures op papier staan, maar of de cultuur op school medewerkers daadwerkelijk uitnodigt om vragen te stellen, twijfels te uiten en incidenten te melden zonder vrees voor verwijten. Dat is geen onderwerp voor een eenmalige instructie, maar voor doorlopende aandacht in teamoverleggen, gespreksvoering en leiderschap.

De rol van de Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming (FG) is wettelijk verplicht voor scholen en onderwijsstichtingen. Maar de FG is meer dan een juridische verplichting: het is een organisatieadviseur op het snijvlak van privacy, processen en cultuur. Een goede FG verbindt het beleid op papier met de werkelijkheid op de werkvloer, signaleert structurele kwetsbaarheden en helpt het bestuur om bewuste keuzes te maken over informatieveiligheid.

Een externe FG biedt daarbij een belangrijk voordeel: afstand. Een externe blik ziet eerder waar gewoontes zijn ingesleten, waar processen zijn blijven hangen in de tijd vóór de digitalisering, en waar afspraken op papier afwijken van wat er in de praktijk gebeurt.

Cyberweerbaarheid is een bestuurlijk thema

Met de komst van nieuwe Europese regelgeving (waaronder NIS2) en een groeiend aantal cyberincidenten in het onderwijs neemt de bestuurlijke verantwoordelijkheid voor cyberweerbaarheid toe. Toezichthouders verwachten van besturen dat zij actief sturen op informatieveiligheid niet alleen reageren als het misgaat.

Concreet betekent dat: cyberveiligheid komt regelmatig op de agenda van het bestuur en de RvT. Er is een duidelijk beeld van risico’s, maatregelen en verantwoordelijkheden. En medewerkers worden niet pas geïnformeerd ná een incident, maar krijgen doorlopend de kennis en het vertrouwen om hun werk veilig te doen.

Vier vragen om mee te beginnen

Wilt u als bestuurder of directeur een eerlijk beeld krijgen van de cyberveiligheid op uw school? Begin met deze vier vragen:

  • Wie heeft op dit moment toegang tot welke gegevens en klopt dat nog?
  • Welke werkprocessen leunen op privécommunicatiemiddelen (WhatsApp, persoonlijke mail)?
  • Hoeveel datalekken zijn het afgelopen jaar gemeld en is dat aantal realistisch?
  • Wanneer stond cyberveiligheid voor het laatst op de agenda van het bestuur?

Hulp nodig bij privacy en cyberveiligheid?

GOC Consultants ondersteunt scholen en kindcentra als externe Functionaris Gegevensbescherming en bij organisatievraagstukken rond privacy, cyberveiligheid en informatiemanagement. We helpen u om beleid om te zetten naar werkbare processen en een gezonde organisatiecultuur. Neem contact op voor een vrijblijvend kennismakingsgesprek.