Programma Cyberveiligheid mbo

Samenwerken met cloudleveranciers

Omdat veel onderwijsinstellingen gebruikmaken van SaaS-oplossingen moeten ook deze dienstverleners voldoen aan onze eisen voor cyberveiligheid. Goede contracten zijn cruciaal en we zien toe op de naleving ervan. Ook moet er aandacht zijn voor de veiligheid van de gegevenskoppelingen met deze externe partijen.

Standaardisatie van overeenkomsten

Omdat veel mbo-scholen dezelfde applicaties gebruiken, ligt een samenwerking hierin voor de hand. Vanuit ons netwerk zetten we in op het gebruik van standaard inkoopovereenkomsten en verwerkersovereenkomsten . Deze modelverwerkersovereenkomsten bespreekt MBO Digitaal of SURF met de leverancier, waarbij met name aandacht is voor de beveiligingswaarborgen. Deze modelovereenkomsten worden vervolgens voorzien van een advies dat centraal beschikbaar is gesteld voor de mbo-scholen.

Pentests, audits en DPIA’s

We bespreken met de cloudleveranciers in hoeverre zij kunnen voldoen aan de beveiligingswaarborgen die zijn opgevoerd in de verwerkersovereenkomsten. Om daarover zekerheid te bieden, organiseren we samen met deze leveranciers pentests of audits. Ook de DPIA’s op veelgebruikte digitale leermiddelen voeren we centraal vanuit het programma voor alle mbo-instellingen uit.

Sectorbrede applicatiecatalogus

Het is belangrijk om inzicht te hebben in welke software mbo-scholen gebruiken, zodat we kunnen prioriteren bij het onderzoeken van verwerkersovereenkomsten of het uitvoeren van audits en DPIA’s. Dat inzicht willen we realiseren door de bouw van een sectorbrede applicatiecatalogus. Een dergelijke catalogus is ook belangrijk om snel de impact te kunnen bepalen en te kunnen reageren als er bij leveranciers calamiteiten optreden, zoals het incident met Log4J.

Toolwiel voor onderwijsapps

In het onderwijs worden ook veel applicaties ingezet die laagdrempelig en kosteloos online beschikbaar zijn. Gebruik van deze tools is moeilijk te reguleren terwijl de organisatie wel risico’s loopt op het gebied van informatieveiligheid. Om medewerkers en studenten te helpen om hierbij weloverwogen keuzes te maken is er het Toolwiel voor onderwijsapps.

Vanuit het programma Cyberveiligheid werken we samen aan:

  • Centraal beoordelen van verwerkersovereenkomsten/beveiligingswaarborgen
  • Centraal uitvoeren van DPIA’s
  • Gecoördineerd uitvoeren van audits en pentests bij leveranciers
  • NBA policy templates om de programma’s en diensten van Microsoft in lijn te brengen met het NBA-volwassenheidsmodel en -toetsingskader. We doen dit samen met Microsoft en SURF, en de NBA policity templates voor Microsoft Azure zijn inmiddels klaar voor gebruik.
  • Onderzoek naar een sectorbrede applicatiecatalogus
  • Onderzoek en ontwikkeling van veilige koppelingen voor gegevensuitwisseling in de (leermiddelen)keten
  • Doorontwikkelen van het Toolwiel voor onderwijsapps

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.