Het Normenkader IBP: wat elk schoolbestuur moet weten over digitale veiligheid

Een leerlingvolgsysteem vol gevoelige gegevens, adaptieve leermiddelen die data verzamelen, apps in de klas, dossiers met zorginformatie. Elke school verwerkt dagelijks persoonsgegevens van kinderen, ouders en medewerkers. Tegelijk nemen datalekken en cyberincidenten in het onderwijs toe. En het opvallende is: de meeste datalekken ontstaan niet door geavanceerde hacks, maar door menselijke fouten. Een mail naar het verkeerde adres, een phishinglink, een zwak wachtwoord.

Om scholen hierbij houvast te geven is er het Normenkader Informatiebeveiliging en Privacy (IBP), de sectorstandaard voor digitale veiligheid in het onderwijs. In deze blog lees je wat het normenkader is, wat er van jou als bestuur of schoolleider wordt verwacht en hoe je er behapbaar mee aan de slag gaat.

Wat is het Normenkader IBP?

Het Normenkader IBP is dé standaard voor digitale veiligheid in het Nederlandse onderwijs. Het helpt scholen hun informatiebeveiliging te versterken en persoonsgegevens beter te beschermen. Het kader is een samenwerking van het ministerie van OCW, de PO-Raad, de VO-raad, SIVON en Kennisnet, en het is onderdeel van het bredere programma Digitaal Veilig Onderwijs. Kennisnet beheert het kader en ontwikkelt het door.

Het normenkader geldt voor alle scholen en samenwerkingsverbanden in het primair onderwijs, voortgezet onderwijs en speciaal onderwijs. Goed om te weten voor het speciaal onderwijs: gebruikt jouw school ook een zorginformatiesysteem, dan geldt naast het Normenkader IBP ook de NEN7510-norm.

94 normen, vijf volwassenheidsniveaus

Het kader telt 94 normen: 69 voor informatiebeveiliging en 25 voor privacy. De informatiebeveiligingsnormen gaan over de bescherming van je organisatie en alle vormen van informatie. De privacynormen gaan over de bescherming van persoonsgegevens van leerlingen, ouders en medewerkers, en vloeien rechtstreeks voort uit de AVG.

Elke norm heeft vijf volwassenheidsniveaus, van niveau 1 (ad hoc) tot niveau 5 (continu verbeteren). Niveau 3 is het minimum waar de sector naar streeft: gedocumenteerde procedures die consistent worden toegepast, aantoonbaar uitgevoerd, getest en effectief. Niet iets dat toevallig goed gaat omdat één collega het altijd oppakt, maar een werkwijze die staat, ook als die collega vertrekt.

Twee dingen zijn belangrijk om scherp te hebben. Ten eerste: wie alle privacynormen toepast, voldoet daarmee aan de AVG-verplichtingen. Voor de informatiebeveiligingsnormen bestaat zo’n wettelijke koppeling (nog) niet, dat is een sectorafspraak. Ten tweede: een norm die niet van toepassing lijkt, bijvoorbeeld omdat je de ICT hebt uitbesteed, mag je niet zomaar overslaan. Als bestuur moet je toelichten en registreren waarom je een norm niet (zelf) toepast. Uitbesteden verlegt namelijk het werk, niet de verantwoordelijkheid. Het schoolbestuur blijft eindverantwoordelijk voor digitale veiligheid, ook als leveranciers de uitvoering doen.

Wat wordt er van je verwacht?

Digitale veiligheid is geen vrijblijvend thema meer. Dit is wat er concreet verwacht wordt:

  1. Een IBP-paragraaf in het bestuursverslag. Sinds het bestuursverslag over 2024 moeten besturen in po en vo jaarlijks een paragraaf over informatiebeveiliging en privacy opnemen. De PO-Raad en VO-raad bieden hiervoor handreikingen.
  2. Inzicht in waar je staat. Het ministerie van OCW verwacht dat schoolbesturen in 2026 inzicht hebben in de digitale veiligheid van hun organisatie. OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad roepen besturen op een zelfevaluatie op het Normenkader IBP uit te voeren. Kennisnet biedt daarvoor een gratis tool, de Zelfevaluatie Normenkader IBP. Een aanrader als je die stap nog niet hebt gezet.
  3. De basis vanuit de AVG. De AVG geldt sinds 2018 en blijft de wettelijke basis onder de privacynormen. Denk aan een verwerkingsregister bijhouden, verwerkersovereenkomsten sluiten met leveranciers, een DPIA uitvoeren bij verwerkingen met hoog privacyrisico (zoals het grootschalig volgen van leerlingen via een leerlingvolgsysteem), datalekken met risico voor betrokkenen binnen 72 uur melden bij de Autoriteit Persoonsgegevens en de rechten van betrokkenen faciliteren. Ook is elk schoolbestuur verplicht een functionaris gegevensbescherming (FG) aan te stellen, intern of extern, aangemeld bij de Autoriteit Persoonsgegevens.
  4. Een jaarlijkse cyclus. IBP is nooit af. Het normenkader stuurt op een jaarlijkse plan-do-check-act cyclus, ingebed in je jaarplan, begroting en bestuursverslag. Precies daarom werkt een eenmalige inhaalslag niet: het gaat om een werkwijze die je organisatie zich eigen maakt.

Het Groeipad: van berg naar behapbare stappen

94 normen klinkt als een berg werk, en eerlijk is eerlijk: dat is het ook als je alles tegelijk wilt. Daarom is er het groeipad, de projectmatige route van Kennisnet om stapsgewijs naar volwassenheidsniveau 3 te werken. De volgorde is slim opgebouwd: normen die andere normen mogelijk maken komen eerst, net als de normen die de grootste risico’s verlagen.

Het Groeipad bestaat uit vijf fases met in totaal 40 deelprojecten:

  1. Inrichten: randvoorwaarden scheppen. Denk aan een IBP-team bouwen, de medezeggenschapsraad betrekken, beleid bepalen en overzicht krijgen van je systemen.
  2. Ontwikkelen: de grootste risico’s afdekken. Onder andere het verwerkingsregister, bewustwording, omgaan met incidenten en datalekken, en back-up en herstel.
  3. Uitbreiden: onder meer identiteits- en toegangsbeheer, bewaren en vernietigen van gegevens en het beveiligen van werkplekken en mobiele apparaten.
  4. Verfijnen: onder andere logging en monitoring, privacy by design en kennisborging.
  5. Optimaliseren: onder meer het onafhankelijk toetsen van IBP en het verantwoorden van de AVG-naleving.

Fijn om te weten: je kunt in elke fase instappen. Ook als je school al bezig is, helpt het Groeipad om structuur aan te brengen in wat er nog ligt.

Meer dan een verplichting

Het is verleidelijk om het normenkader te zien als de zoveelste verantwoordingsplicht. Maar de kern is groter. Digitale veiligheid raakt direct aan het vertrouwen van ouders en medewerkers, en aan de veiligheid van kinderen. Er zit een mooie parallel in met de bredere opdracht van het onderwijs: een school die leerlingen digitaal wijs maakt, geeft zelf het goede voorbeeld. Elke leerling hoort te leren in een digitaal veilige omgeving.

Het goede nieuws: je hoeft niet vanaf nul te beginnen. Kennisnet biedt gratis hulpmiddelen, van de zelfevaluatietool en het Groeipad tot tientallen voorbeelddocumenten voor beleid, registers en procesbeschrijvingen. De uitdaging zit voor de meeste besturen niet in het vinden van informatie, maar in tijd, capaciteit en de vertaling naar de eigen schoolpraktijk. Wie trekt het? Hoe krijg je het team mee? Hoe krijg je het van papier naar de praktijk?

Zo begin je: eerst weten waar je staat

Elke goede aanpak start met een eerlijk beeld van je startpunt. Wil je snel een eerste indruk? Doe dan de gratis IBP quickscan: een online quickscan van 5 minuten langs vijf onderdelen: organisatie en beleid, inzicht in systemen en gegevens, mensen en bewustwording, beveiliging en incidenten, en privacy in de praktijk. Een laagdrempelige manier om het gesprek in je bestuur of team op gang te brengen.

Wil je daarna structureel aan de slag, met iemand die het traject trekt en het behapbaar houdt? Met het IBP Pakket begeleiden we je school, bestuur of stichting in dit traject: we bepalen samen je startpunt, richten je IBP-organisatie in, maken IBP-beleid op maat, stellen een roadmap op langs het groeipad, verzorgen een bewustwordingsprogramma voor het team en sluiten af met een eindrapportage inclusief een concepttekst voor de jaarverslagparagraaf. Zo maak je aantoonbaar werk van digitale veiligheid, zonder dat het bovenop de toch al volle agenda van je ICT-coördinator of directeur belandt.

Benieuwd waar jouw school of bestuur staat? Doe de gratis IBP Check of plan een vrijblijvend adviesgesprek. Dan kijken we samen wat een logische eerste stap is.

11 juli 2026

Vond je het een interessante blog?

Schrijf je in en ontvang nieuwe blogs in je mailbox

Maak kennis, helemaal vrijblijvend.

 

Andere relevante artikelen

Laat je inspireren en ontwikkelen met onze verhalen, informatie, tips en actualiteiten.

bp-normenkader-visual
codeerschool-x-donaldduck
codeerschool-x-dreamspace
codeerschool-x-microsoft