Extern advies leidt tot een programmaplan cyberweerbaarheid
In het najaar van 2022 heeft Grant Thornton (GT) in opdracht van de raad van bestuur een zogenaamde nulmeting naar de cyberweerbaarheid van de CVO-organisatie uitgevoerd. Hieruit bleek dat op het gebied van de cyberweerbaarheid nog geen voldoende werd gescoord, omdat CVO de nadruk had gelegd op beschermingsmaatregelingen tegen cybersecuritybedreigingen. Het identificeren van organisatie-kritische applicaties en de bijbehorende cyberbedreigingen, het detecteren van kwetsbaarheden en cybersecurity-incidenten, het herstellen van cybersecurity-incidenten en de analyse van deze incidenten om herhaling te voorkomen, alsook en het verkrijgen van continu inzicht in de effectiviteit van de beschermingsmaatregelen tegen cybersecuritybedreigingen, verdienden meer aandacht. Op grond van de nulmeting is een programmaplan cyberweerbaarheid opgesteld dat op basis van een second opinion is aangescherpt en verdeeld over twee programmalijnen: ‘Organisatie en Beleid’ en ‘Techniek’.
Voor het management van de organisatie is een masterclass cyberweerbaarheid georganiseerd. Uiteraard is voor de uitvoering van het programmaplan cyberweerbaarheid, gelet op de financiële consequenties daarvan, draagvlak onder het management verkregen.
ICT naar de volgende fase: veiligheid en procesgestuurd
Het jaar 2023 stond voor SSO ICT in het teken van veiligheid en procesgestuurd werken. Nu de (re)transitieprojecten zijn afgrond, is er een nieuwe fase aangebroken om processen te stroomlijnen en de veiligheid van onze infrastructuur te vergroten. Samenwerking tussen scholen(groepen), de CVO Beleidsstaf, de raad bestuur en de afdelingen van de SSO heeft binnen de afdeling ICT de volledige aandacht. Hierbij speelt beveiliging een zeer grote rol. De toegang tot data, en het inzicht wie toegang heeft tot welke data, is belangrijk. CVO moet aantoonbaar kunnen maken wie toegang heeft tot welke data en hoe deze toegang tot stand is gekomen. Dit vormde in 2023 de basis voor de start van een nieuwe fase voor het opnieuw inrichten van de huidige ICT-infrastructuur.
Het jaar 2023 stond voor SSO ICT in het teken van veiligheid en procesgestuurd werken
Toekomstige ICT-eisen geïdentificeerd
In 2023 is een onderzoek gestart om inzicht te verkrijgen in wat de (toekomstige) eisen zijn waar CVO aan moet voldoen in relatie tot de huidige situatie. De huidige processen zijn geanalyseerd met als doel vast te stellen of de lifecycle van de processen is geborgd. Met als conclusie dat veel processen voldoen in de basis, maar aangescherpt en/of verbeterd dienen te worden, om te kunnen voldoen aan de voorwaarden voor die onderdelen waar CVO verantwoording over moet afleggen op ICT-gebied. Dit is vastgelegd in het Normenkader FO. In het Normenkader FO is vastgelegd dat iedere onderwijsinstelling in 2027 aan niveau 3 (op een schaal van 0-5) moet voldoen. Wij streven ernaar dat niveau al in 2025 te behalen. Het normenkader bevat veel punten die aanzienlijk tijd kosten om op het vereiste niveau te komen. Hiervoor hebben wij het ‘projectprogramma cyberweerbaarheid’ opgesteld, waarbinnen een aantal deelprojecten is gedefinieerd om te komen tot het vereiste niveau 3.
Binnen het projectprogramma is een projectstructuur opgesteld, waarbij de twee lijnen ‘Organisatie en Beleid’ en ‘Techniek’ worden gevolgd. Beide lijnen worden aangestuurd door een programmamanager. Binnen deze lijnen die vragen om een herijking van de huidige architectuurprincipes en het bijbehorend beleid, zijn diverse deelprojecten gedefinieerd,
CVO zet verdere stappen om gegevensbeveiliging en privacy van onze leerlingen en medewerkers nog beter te waarborgen
Informatiebeveiliging en privacy (IBP) blijft een actueel maatschappelijk thema en daardoor ook belangrijk voor onderwijsorganisaties. Wij zetten elk jaar stappen om nog zorgvuldiger om te gaan met de (persoons)gegevens van alle personen die betrokken zijn bij ons onderwijs. Er wordt enkel gebruikgemaakt van persoonsgegevens als dat noodzakelijk is voor het leren en begeleiden van onze leerlingen en voor het inregelen van de bedrijfsvoerings- en ondersteuningsprocessen.
In het kader van IBP/AVG zijn in het kalenderjaar 2023 diversen activiteiten uitgevoerd. Zo zijn er vaste overlegmomenten georganiseerd tussen de privacy- officers van de scholengroepen binnen de gemeenschappelijke IBP-organisatie. Deze overlegmomenten vinden elk kwartaal plaats en zijn in 2023 gestart.
In de loop van 2023 is voor de incidentenregistratie, het bijhouden van de dataregisters en de verwerkersovereenkomsten overgegaan op IBP-dashboard van YourSafetynet (YSN). Dit dashboard wordt ook gebruikt om de compliance te meten op basis van het normenkader IBP (FO) waar we, zoals eerder al aangegeven, als onderwijsorganisatie met betrekking tot IBP en cybersecurity aan moeten voldoen.
De eerste Data Protection Impact Assessment (DPIA) die we uitvoerden op de Somtoday- omgeving van één van de scholengroepen is in 2023 afgerond. De uitkomsten van deze DPIA zijn opgenomen in een rapportage die voor vaststelling aan de raad van bestuur is voorgelegd. Begin 2024 starten we met het uitvoeren van een DPIA op de Somtoday-omgeving van de overige scholen(groepen).
Tijdens de interimcontrole in 2023 is door de accountant het IBP/AVG-beleid beoordeeld. De uitkomst leerde dat wij voldoen aan de basis wet- en regelgeving IBP/AVG en signaleerde dat in volwassenheidsniveau een doorgroei nog zeker mogelijk is. Met dit laatste zijn we in 2023 gestart middels de tweede lijn - Organisatie en Beleid – in het programma cyberweerbaarheid, dat gekoppeld is aan het normenkader IBP FO. CVO wil de bewustwording op het gebied van cyberweerbaarheid in de breedste zin van het woord binnen de organisatie vergroten door het aanbieden van e-learning modules aan alle medewerkers van CVO. Deze modules worden aangeboden via de CVO Academie.
Tot slot nog enkele cijfers:
- In 2023 heeft CVO in totaal 177 verwerkersovereenkomsten getoetst waarvan er 141 zijn goedgekeurd. Verwerkersovereenkomsten geven CVO de zekerheid dat de leveranciers waarmee wij samenwerken zorgvuldig omgaan met onze persoonsgegevens. Bij de (nog) niet goedgekeurde verwerkersovereenkomsten is CVO in overleg met de leveranciers, met als doel ervoor te zorgen dat de overeenkomsten op korte termijn alsnog voldoen.
- Er hebben in 2023 veertien incidentmeldingen plaatsgevonden, waarvan er vijf zijn geïdentificeerd als een datalek. Deze vijf datalekken zijn gemeld aan de Autoriteit Persoonsgegevens.