Programma Cyberveiligheid mbo

Workshops: terugblik en presentaties

Naast de plenaire onderdelen gingen deelnemers in drie rondes uiteen voor workshops. Daar deelden ze kennis en ervaringen, en kregen ze praktische handvatten voor twintig aan cybersecurity gerelateerde onderwerpen. Hieronder vind je de foto’s, presentatie en een korte beschouwing van elke workshop.

Workshops ronde 1

 

Aansprekend, Verhelderend, Gedragen – Hoe breng je de AVG positief over?
Noah Visser (Talland) en Peter Vermeijs

In deze workshop gingen de deelnemers met elkaar en met een panel van privacyfunctionarissen in gesprek over de AVG in de praktijk. De belangrijkste vraagstelling was: hoe kun je medewerkers enthousiasmeren en motiveren om de AVG niet te zien als vinkje of verplichting, maar als een belangrijk, standaard en logisch onderdeel van hun dagelijkse werk? Omdat deelnemers hun eigen ervaringen en denkwijze inbrachten, kwamen de beste en leukste ideeën boven tafel. Aan het einde van de workshop wisten de deelnemers veel beter hoe ze bij hun instellingen de AVG positief kunnen overbrengen.

Ervaringen met mystery guests
Cyber Seals en Niels Dutij

Klik hier voor de presentatie

Cyber Seals heeft bij vier mbo-instellingen als pilot mystery guests scholen laten bezoeken. Doel van de onderzoeken was om zwakke plekken in de fysieke beveiliging van een instelling te identificeren. Bijvoorbeeld toegang kunnen krijgen tot de serverruimte of gevoelige papieren dossiers kunnen inzien. De pilot leverde nuttige resultaten op; in deze sessie deelden Cyber Seals en Niels de geleerde lessen.

Kwetsbaarheden opsporen en oplossen
Mick Deben en Ry Boxem

Klik hier voor de presentatie

In deze workshop vertelden Mick en Ry hoe instellingen straks op afstand ondersteund worden bij het identificeren en oplossen van interne kwetsbaarheden en misconfiguraties. Ze gaven inzicht in de werking van het mechanisme en wat instellingen ervan kunnen verwachten. Ook namen ze de deelnemers mee in de doorontwikkeling van het traject Van check tot hack en vroegen ze deelnemers om input over zinvolle weerbaarheidstesten. Want door de pijnpunten en behoeften van instellingen te kennen, kunnen ze deze testen het best aan de praktijk laten voldoen.

Aan de slag met Identity en Access Management!
Henk Links, Henry Meutstege en Max Passet

Klik hier voor de presentatie

Uit de security-audits is gebleken dat Identity en Access Management (IAM) in het mbo extra aandacht nodig heeft. Want het is mooi dat je alles technisch op slot hebt, het is ook belangrijk hoe je vervolgens met de sleutels omgaat. In deze sessie bespraken de drie teamleden van het programma Cyberveiligheid de belangrijkste punten van de handleiding die ze over IAM hebben geschreven. Ook vertelden ze over de vele sjablonen en de werkgroep die er al over het ontwerp zijn. Verder stond in deze workshop het uitwisselen van kennis en ervaringen centraal, waardoor deelnemers concreet met IAM bij hun instellingen aan de slag kunnen.

Op weg naar 3.0: het vervolg van het programma Cyberveiligheid
Evie-Janne van Noorel en Martijn Bijleveld

Klik hier voor de presentatie

Het programma Cyberveiligheid loopt in oktober 2027 af, maar de ambities van de mbo-sector gaan verder. In deze workshop gingen Evie-Janne en Martijn in gesprek over de doelstellingen die het mbo op het gebied van cyberweerbaarheid moet behalen. Want volgens de afspraken met OCW moet de mbo-sector in 2029 gemiddeld een 3.0 scoren op het toetsingskader IB en moeten alle scholen in 2030 individueel op dat niveau zitten. Samen met de deelnemers onderzochten de programmamanagers hoe we deze doelen kunnen behalen en welke ondersteuning instellingen hiervoor nodig hebben. In de sessie hoorden ze onder meer waar de uitdagingen liggen en welke stappen er nodig zijn om cyberveiligheid in de mbo-sector structureel te verbeteren. Er was dus veel ruimte voor het delen van ervaringen en het ophalen van inzichten, ook met de insteek om samen richting te geven aan het vervolg van het programma.

Applicatielandschap in beeld: bouwsteen voor cyberveiligheid
Aladin Mhamdi, Joël de Bruijn en Remco Overvelde

Klik hier voor de presentatie

In deze interactieve workshop kregen de deelnemers inzicht in hoe het programma Cyberveiligheid de MORA (MBO Referentie Architectuur) uitbreidt, zodat scholen deze kunnen gebruiken om hun applicatielandschap inzichtelijk te maken. De workshopgevers lieten zien hoe een instelling van een globaal overzicht komt tot een concreet beeld van de applicaties die de belangrijkste ketenprocessen ondersteunen. Want dit inzicht is cruciaal als ze een Business Impact Analyse (BIA) willen uitvoeren of meer inzicht willen krijgen over waar ze data hebben opgeslagen. Ook dient dit als solide basis voor Bedrijfscontinuïteitsmanagement (BCM). Tijdens de sessie werd duidelijk hoe de MORA helpt als instrument en gemeenschappelijke taal, welke ondersteuning er voor instellingen beschikbaar is, en hoe ze de kennis direct in hun eigen omgeving kunnen toepassen.

Workshops ronde 2

 

Statements in de spotlight: samen de audit beter begrijpen
Deloitte, Henry Meutstege en Evie-Janne van Noorel

Klik hier voor de presentatie

In deze interactieve workshop nam Deloitte de deelnemers mee in hun ervaringen met de eerste ronde security-audits. Ook blikten de auditors vooruit op de tweede ronde. Het was een echt inhoudelijke sessie, met focus op hoe je als instelling beter kunt scoren op de statements van het SURFaudit Toetsingskader IB. De deelnemers kregen heldere inzichten in wat deze echt betekenen. Samen werd verkend wat mogelijke verschillen in interpretatie zijn, zodat deelnemers optimaal voorbereid de tweede auditronde in kunnen – met meer kennis en praktische handvatten.

Het verwerkingsregister in de praktijk
Inge Teklenburg (Summa) en Max Passet

Klik hier voor de presentatie

Tijdens deze sessie gaven Inge en Max een update over het generieke verwerkingsregister. Dat deden ze onder meer aan de hand van de implementatie bij Summa, om andere instellingen te laten zien wat dit in de praktijk van een mbo-instelling vraagt. Ze vertelden hoe deze instelling het register toepast, welke keuzes en knelpunten naar voren zijn gekomen en hoe deze inzichten zich verhouden tot de statements in het toetsingskader. Er was ook veel ruimte voor het uitwisselen van ervaringen van andere instellingen, met focus op hun worstelingen en hoe ze willen doorgroeien met het verwerkingsregister. Dat deden de presentatoren aan de hand van dilemma’s via Mentimeter, zoals:

  • Het verwerkingsregister bevat een verwerking zonder duidelijk doel. Wie zou dit moeten corrigeren?
  • Er wordt een nieuwe applicatie gebruikt waarin studentgegevens worden verwerkt, maar dit staat niet in het register. Wie zou er actie moeten ondernemen?
  • Een proceseigenaar zegt: ‘Ik heb geen tijd om aan het register te werken.’ Wie zou moeten beslissen wat er gebeurt?
  • Het register lijkt onvolledig en mogelijk niet AVG-conform. Wie zou dit moeten toetsen?
  • Een verwerking lijkt een hoog privacy risico te hebben. Wie dient er te bepalen of er een DPIA moet worden uitgevoerd?

Red Teaming
Mick Deben en Ry Boxem

Klik hier voor de presentatie

In deze workshop namen Mick en Ry de deelnemers mee in de belangrijkste inzichten en ervaringen uit recente red teaming onderzoeken vanuit het Van check tot hack-traject. Waar lagen de verrassingen en welke patronen kwamen er naar voren? En wat betekende die voor de weerbaarheid van de mbo-sector? De deelnemers kregen op basis hiervan concrete verbeterpunten voor hun eigen organisatie mee naar huis. Ook werd er gediscussieerd over hoe de sector de gezamenlijke aanpak van technische weerbaarheid kan versterken.

De AI ACT: wat moet ik nu echt regelen?
Niels Dutij

Klik hier voor de presentatie

AI is niet meer weg te denken uit het onderwijs – ook in het mbo zijn we er volop mee bezig. Veel instellingen hebben vragen over hoe ze AI correct en verantwoord kunnen gebruiken én over hoe studenten AI bij lessen kunnen en mogen inzetten. Ook is lang niet altijd duidelijk hoe je als school aan alle nieuwe wettelijke verplichtingen vanuit de AI Act kunt voldoen.

In deze workshop zette Niels de belangrijkste verplichtingen vanuit de AI Act op een rij. Hij beperkte zich niet tot de theorie: scholen kregen praktische adviezen over hoe ze met de implementatie van de AI Act aan de slag kunnen. Deze stappen moet elke school alvast nemen:

  1. In kaart brengen applicaties die gebruikmaken van AI, en daarvan een risico-inschatting.
  2. Duidelijk hebben wie de ethische aspecten bewaakt.
  3. AI-geletterdheid van medewerkers organiseren.
  4. Duidelijk krijgen wie er verantwoordelijk is voor het AI-beleid.

Digital Cleanup
Frank ten Hove

Klik hier voor de presentatie

Digitale rommel is overal: oude Teams, volle mailboxen, overbodige bestanden. Dit kost niet alleen opslagruimte, maar vormt ook een veiligheidsrisico en verspilt tijd. Tijdens deze sessie deelde Frank (dit keer zonder schoonmaakschort) de belangrijkste inzichten en werkvormen van de workshop die hij op 5 november gaf. Daarin werkten meer dan tien scholen aan concrete actieplannen voor hun eigen organisatie. Ook behandelde hij waarom Digital Cleanup urgent blijft vanuit drie perspectieven: duurzaamheid (minder data betekent minder CO₂), cybersecurity (wat je niet hebt kun je niet kwijtraken) en efficiëntie (sneller vinden wat je zoekt). Deelnemers kregen praktische handvatten, waarmee ze direct zelf aan de slag kunnen.

Tech Trends-rapport 2026
Gül Akcaova en Floor Jas (SURF)

Klik hier voor de presentatie

Tijdens deze workshop kregen de deelnemers een kijkje in de toekomst. Gül en Floor van SURF verkenden de belangrijkste cybersecurity-inzichten uit het Tech Trends-rapport 2026. Zo vertelde ze hoe de inzet van AI de defensieve en offensieve aanpak voor cybersecurity kan veranderen. Ook gingen ze in op de betekenis van post-quantum cryptografie voor het mbo en hoe je veilig kunt werken met de cloud en slimme apparatuur. Het was een interactieve sessie, waarin de presentatoren met deelnemers van gedachten wisselden over kansen en risico’s in het mbo.

Grip op digitale soevereiniteit!
Rob Vos

Klik hier voor de presentatie

Het bleek al uit de keynote van Inge Bryan: soevereiniteit is een hot topic. Maar het onderwerp is vaak ook abstract en ongrijpbaar. In deze interactieve sessie stond de quick scan van Rob centraal. Deze helpt instellingen om concreet aan de slag te gaan met het onderwerp door in kaart te brengen waar de afhankelijkheden zitten en welke risico’s instellingen daarbij lopen. Dankzij dit soort concrete acties gingen deelnemers naar huis met meer regie op het onderwerp.

Workshops ronde 3

 

Cyberrisico’s in beeld
Edo Meinema

Klik hier voor de presentatie

In deze interactieve workshop voerde Edo samen met de deelnemers een risicoanalyse uit op basis van onderwerpen uit het actuele Cyberdreigingsbeeld van SURF. Aan de hand van een heatmap ordenden ze risico’s visueel en beoordeelden ze deze op impact en waarschijnlijkheid. Deelnemers leerden hoe ze deze methode binnen hun eigen organisatie kunnen toepassen en kregen inzicht in het belang van risicomanagement voor digitale weerbaarheid. Het bleek een praktische, visuele en direct toepasbare sessie.

Cyberweerbaarheidspool
Martijn Bijleveld en Mees Luttger

Klik hier voor de presentatie

Het afgelopen jaar is vanuit het programma Cyberveiligheid veel energie gestoken in de verdere uitwerking van de Cyberweerbaarheidspool. Het beeld wordt steeds completer en we zien hoe alle bouwstenen van de pool op hun plek vallen: sectorafspraken op het gebied van cyberveiligheid, security-audits, kwetsbaarhedenscans, incidentrespons en de sectorbrede samenwerking op dat gebied… De Cyberweerbaarheidspool is de borging van alles wat we tot nu toe met het programma in gang hebben gezet. De pool is daarmee cruciaal in onze ambitie (en afspraken) om te groeien in onze volwassenheid op het gebied van IB. In deze presentatie praatten Martijn en Mees deelnemers je bij over de vervolgstappen.

FG en AVG: Samen terugkijken, vooruitkijken en verbeteren
Peter Vermeijs

Klik hier voor de presentatie

De rol van de Functionaris Gegevensbescherming (FG) als toezichthouder op de AVG is niet meer weg te denken binnen het mbo. Wat hebben we in de zeven jaar sinds de invoering van de AVG bereikt? En waar liggen kansen om het nog beter te doen?  Aan de hand van meerdere prikkelende stellingen maakte Peter in deze workshop duidelijk wat er nog op FG’s afkomt. Hij ging in gesprek over de ontwikkeling van het FG-schap en blikte terug op successen. Ook besprak hij de uitdagingen en verkende hij met deelnemers hoe de FG nog sterker kan staan. Deelnemers leerden zo van de ervaringen van collega’s uit het veld en konden meedenken over de toekomst van privacy en gegevensbescherming in het mbo.

Op weg naar de tweede audit
Jozien Winterman (ROC van Twente)

Klik hier voor de presentatie

De tweede security-audit gaat van start in januari 2026. In deze workshop nam Jozien van ROC van Twente de deelnemers mee in hun aanpak voor de voorbereiding op de audit. Wat zijn de belangrijke stappen en hoe zorgt de instelling ervoor dat alles soepel verloopt? Aan de hand van de ervaringen in Twente kregen deelnemers waardevolle inzichten en concrete tips, en kunnen ze nu met de juiste handvatten aan de slag bij hun eigen instelling.

Privacy Enhancing Technologies
Gül Akcaova (SURF) en Mick Deben

Klik hier voor de presentatie

Privacy Enhancing Technologies (PETs) bieden de kans om data slim én veilig te gebruiken, zodat innovatie, samenwerking en privacybescherming hand in hand gaan. Gül en Mick gingen tijdens deze interactieve workshop met de deelnemers in gesprek over wat PET’s voor de mbo-sector kunnen betekenen. Én over wat de mogelijke securityrisico’s zijn.

SURFSoc Next Generation
Ry Boxem

Klik hier voor de presentatie

Het afgelopen jaar is er veel gebeurd om de SURFSoc dienstverlening meer in lijn te brengen met de behoefte van mbo-instellingen. Ry blikte in deze workshop terug op hoe dat proces is gelopen en welke belangen van mbo-instellingen er voor SURFSoc Next Generation zijn meegenomen. Daarnaast nam hij het implementatieproces met de deelnemers door en besprak hij de toegevoegde waarde van SURFSoc voor een mbo-instelling. Het was duidelijk dat deze sessie meerwaarde had voor zowel mbo’s die al hebben toegezegd mee te doen met SURFSoc Next Generation, als mbo’s die dat nog niet hebben gedaan.

BCM in het mbo: van papier naar praktijk
Rob Gerritsen en Henk Links

Klik hier voor de presentatie

Tijdens deze interactieve workshop werd duidelijk dat het onderwerp bedrijfscontinuïteitmanagement leeft binnen de scholen. Er was veel animo en betrokkenheid. Door processen uit de BIA te plotten op de MORA ontstond een heldere praatplaat, die zichtbaar indruk maakte en waarmee BCM’ers het gesprek in de organisatie kunnen voeren. Tegelijkertijd bleek dat BCM steeds meer vorm krijgt in tactisch beleid, uitgewerkte BIA en de opzet van scenariokaarten. In de discussie kwamen ook herkenbare vraagstukken naar voren, zoals proceseigenaarschap, verantwoordelijkheden en het scherp afbakenen van de scope.

Meer informatie

Neem voor meer informatie contact op via info@mbodigitaal.nl