English 
Dutch 
De Autoriteit Persoonsgegevens (AP) heeft de Hogeschool van Arnhem en Nijmegen een boete van €175.000,- opgelegd vanwege onvoldoende bescherming van persoonsgegevens. Deze sanctie volgt op een datalek uit 2021, waarbij hackers via een kwetsbaarheid toegang kregen tot gevoelige gegevens van studenten en medewerkers, waaronder adressen, wachtwoorden en burgerservicenummers. Volgens de AP had de HAN onvoldoende passende beveiligingsmaatregelen getroffen, zoals de AVG voorschrijft.
Een waarschuwing voor de hele sector
Deze boete is meer dan een financiële maatregel. Het is vooral een duidelijk waarschuwingssignaal voor het hele onderwijs. Als zelfs een grote hogeschool met veel kennis en middelen moeite heeft om persoonsgegevens goed te beschermen, wat betekent dat dan voor het funderend onderwijs? Voor middelbare scholen, vmbo-instellingen en basisscholen waar vaak minder capaciteit en expertise beschikbaar is?
Uitstel moet niet leiden tot afstel
Hoewel de invoering van het normenkader informatiebeveiliging in het funderend onderwijs is uitgesteld tot 2030, laat deze zaak zien dat digitale risico’s vandaag al realiteit zijn. Uitstel mag daarom geen reden zijn om achterover te leunen. Integendeel, het is juist een uitnodiging om nu in beweging te komen. Achterstallige beveiliging leidt niet alleen tot datalekken en mogelijke boetes, maar vooral tot verlies van vertrouwen bij leerlingen, ouders en medewerkers.
Informatiebeveiliging is meer dan techniek alleen
Wat de HAN-zaak ook duidelijk maakt, is dat informatiebeveiliging niet stopt bij techniek. Firewalls, encryptie en patchbeheer zijn noodzakelijk, maar ze vormen slechts een deel van het geheel. Echte beveiliging ontstaat pas wanneer techniek wordt ondersteund door duidelijke processen, beleid, vastgelegde verantwoordelijkheden en een cultuur van eigenaarschap. Zonder die organisatorische basis blijft beveiliging afhankelijk van toeval en goede bedoelingen.
Techniek, organisatie én beleid
Het normenkader moet daarom niet alleen technisch worden ingevuld, maar vooral organisatorisch worden gedragen binnen scholen. Informatiebeveiliging mag geen los IT-onderwerp zijn, maar moet onderdeel zijn van hoe een school bestuurt, besluiten neemt en verantwoordelijkheid organiseert. Dat vraagt om helder beleid, om duidelijkheid over wie waarvoor verantwoordelijk is en om structurele aandacht voor risico’s en verbeteringen.
Maak nú al werk van informatiebeveiliging
Voor het funderend onderwijs ligt hier een duidelijke en urgente opdracht. Niet om te wachten tot 2030, maar om nu al serieus werk te maken van informatiebeveiliging. Dat begint met inzicht in welke gegevens en processen kritisch zijn en waar de kwetsbaarheden zitten. Maar het gaat verder: beveiliging moet leven in de organisatie, niet alleen bestaan op papier.
Ook hierin maken mensen het verschil
En uiteindelijk maken mensen het verschil. Medewerkers en leerlingen moeten begrijpen waarom digitale veiligheid belangrijk is en welke rol zij daar zelf in spelen. Cyberveiligheid is geen technisch vraagstuk voor een paar specialisten, maar een organisatievraagstuk dat iedereen raakt. Pas wanneer dat besef breed gedragen wordt, ontstaat er een cultuur waarin informatiebeveiliging vanzelfsprekend onderdeel is van professioneel en zuiver handelen.
Een harde les en kans ineen!
De boete voor de HAN is daarmee niet alleen een harde les, maar ook een kans. Een kans om informatiebeveiliging in het onderwijs structureel en toekomstbestendig te organiseren, zowel technisch als organisatorisch. Want als we nu niet investeren in digitale weerbaarheid, zetten we niet alleen scholen onder druk, maar brengen we vooral de privacy en veiligheid van onze jeugd in gevaar.
De vraag is dus niet óf dit op de bestuurlijke agenda hoort, maar:
hoe organiseert u als bestuurder vandaag al grip op digitale risico’s?
We helpen u graag met onze expertise en kennis van de onderwijssector om het antwoord op deze vraag te vinden.
Wat bestuurders in onderwijs en zorg kunnen leren van de Odido-hack
March 12, 2026
No Comments
