Dutch 
English 
Wanneer je leest hoe de Kennisnet-publicatie begint — over schoolbesturen zonder crisisplan, systemen die plat gelegd worden door ransomware of DDoS, en buitgemaakte persoonsgegevens, dan is één ding meteen duidelijk: we zitten niet in een “toekomstscenario”, maar in het hier en nu. Kennisnet
Tijdens de Maand van de Informatiebeveiliging is het moment bij uitstek om niet alleen stil te staan bij bedreigingen, maar om daadwerkelijk te handelen. Niet morgen, maar vandaag.
De urgente roep om handelen
In het artikel staat dat uit een verkenning onder 150 schoolbesturen bleek dat vrijwel geen enkel bestuur écht voorbereid is op een grootschalig incident. Stel je voor: je wacht op de dag dat het leerlingvolgsysteem niet werkt, of dat gevoelige gegevens op straat liggen. Wie neemt dan de leiding? Hoe informeer je ouders, leerlingen, medewerkers? Welke stappen moeten worden geïmplementeerd? Zonder oefening, voorbereiding en heldere afspraken ben je kwetsbaar.
Kennisnet pleit ervoor dat het dreigingsbeeld als vertrekpunt dient: het in kaart brengen van relevante risico’s, het doen van risicoanalyses en het prioriteren waar je nú in investeert. Met name in onderwijs, waar systemen, persoonsgegevens en continuïteit samenkomen, is het essentieel om stapsgewijs de weerbaarheid omhoog te brengen.
Het Normenkader IBP (Informatiebeveiliging en Privacy) wordt in het artikel benadrukt als solide fundament voor scholen, met een groeipad dat je stap voor stap langs normen en maatregelen begeleidt. Dat is belangrijk: veiligheid hoeft niet in één keer volledig op orde te zijn, maar de richting moet wel helder zijn.
Maar het onderwijs is niet de enige sector die met digitalisering worstelt. In de gezondheidszorg, publieke diensten, bedrijven en maatschappelijke organisaties gelden dezelfde uitdagingen: cyberaanvallen, datalekken, ransomware, het raakt ons allemaal.
Waarom normenkaders er toe doen
Wie informatiebeveiliging écht serieus neemt, kan niet vertrouwen op losse maatregelen of tijdelijke campagnes. Daarvoor zijn de dreigingen te groot en de gevolgen te ingrijpend. Elke sector kent zijn eigen accenten en uitdagingen, en juist daarom bestaan er verschillende normenkaders die organisaties helpen om gestructureerd en integraal te werken aan veiligheid.
Voor organisaties die breed opereren – of dat nu in onderwijs, zorg of bedrijfsleven is – vormt ISO 27001 de internationale standaard. Het is de kapstok die organisaties dwingt te werken vanuit risicoanalyses en beheersmaatregelen, en die leert voortdurend te verbeteren via de bekende PDCA-cyclus.
In de zorgsector ligt de nadruk op patiëntveiligheid en de bescherming van medische gegevens. Daar sluit de Nederlandse norm NEN 7510 naadloos bij aan. Deze bouwt voort op de principes van ISO 27001, maar voegt extra eisen toe die specifiek gelden in een medische context.
De overheid en organisaties die intensief met de overheid samenwerken, werken met de BIO 2. Ook deze baseline sluit aan op ISO 27001 en vertaalt de internationale principes naar een uniforme en praktische aanpak binnen de Nederlandse overheid. Dat maakt veilige samenwerking met ketenpartners zoals scholen en zorginstellingen mogelijk.
En tenslotte is er de Europese NIS 2-richtlijn, die de lat voor vitale organisaties nog hoger legt. Ook hier zijn de fundamenten hetzelfde: risicomanagement, incidentafhandeling, meldplicht en governance. De uitgangspunten zijn herkenbaar vanuit ISO 27001, maar worden aangescherpt met toezicht en handhaving op Europees niveau.
Het mooie is dat deze kaders tegenwoordig steeds sterker op elkaar aansluiten. ISO 27001 vormt daarbij de basis, en sectorale normen zoals NEN 7510, BIO 2 en NIS 2 bouwen hierop voort met specifieke accenten. Dat betekent dat organisaties die hun beveiliging al op ISO-niveau hebben ingericht, eenvoudiger kunnen voldoen aan aanvullende sector- of EU-eisen.
Zo zorgen de verschillende kaders er samen voor dat informatiebeveiliging geen verzameling losse projecten meer is, maar een robuust geheel van beleid, organisatie, technologie en toezicht. Daarmee ontstaat een stevig fundament waarop je als organisatie kunt vertrouwen, ook in tijden van digitale storm.
Wat kun je doen? Vanuit bewustwording naar concrete stappen
- Begin met het dreigingsbeeld
Gebruik sectorale rapporten (zoals dat van Kennisnet), interne audits of externe scans om te weten wat in jouw sector speelt: ransomware, phishing, DDoS, insider threats. Zet die dreigingen af tegen jouw processen. - Voer een risicoanalyse uit volgens een kader
Werk met een methodiek (bijv. ISO 27001, BIO 2) om je informatiesystemen te analyseren. Welke systemen zijn vitaal? Welke data is gevoelig? Welke processen mogen niet uitvallen? - Kies een passend normenkader of combinatie daarvan
Onderwijsorganisaties kunnen starten met het Normenkader IBP, maar ga stap voor stap verder: ISO 27001 als kapstok, NEN 7510 als referentiekader voor zorggegevens, BIO 2 als je samenwerkt met overheden, en houd NIS 2 in de gaten als je tot kritieke infrastructuur behoort. - Borg beveiliging in contracten en leveranciersrelaties
Je ICT- en cloudleveranciers moeten informatiebeveiliging op hetzelfde niveau waarborgen. Contracten moeten clausules bevatten over audits, change-of-control, incidentmelding, audits, beveiligingsvereisten. Dit is waar theorie naar praktijk wordt gebracht. - Oefen incidenten en crisissituaties
Zoals Kennisnet aangeeft, oefeningen geven je niet alleen de reflexen om te handelen, maar ook structuur en duidelijkheid als het daadwerkelijk misgaat. De NOZON-oefenweken zijn goede voorbeelden om inspiratie op te doen. Kennisnet - Investeer in cultuur, bewustwording en continu verbeteren
Technologie alleen redt je niet. Medewerkers moeten weten wat phishing is, hoe inloggen veilig gebeurt, wat te doen bij verdachte signalen. En je moet terugkijken, evalueren, bijstellen.
Tot slot: de Maand van de Informatiebeveiliging
Deze maand nodigt uit tot reflectie én actie. Laat het niet bij posters, workshops of awarenesscampagnes blijven. Gebruik het als startmoment om jouw informatiebeveiliging écht te versterken. Begin met het herkennen van risico’s, kies slimme kaders, borg contracten, oefen scenario’s en bouw aan een organisatiecultuur waar veiligheid geen bijzaak is, maar een vanzelfsprekend onderdeel van je bedrijfsvoering.
Digitale dreigingen laten ons zien dat louter bewustzijn onvoldoende is. Juist in onderwijs, zorg en andere vitale sectoren moeten we de stap zetten van bewustwording naar handelen. En met de juiste kaders (ISO 27001, NEN 7510, BIO 2, NIS 2 en het Normenkader IBP) kun je stap voor stap weerbaarheid opbouwen met vertrouwen.
Als je wil sparren over welke standaard het best bij jouw organisatie past, of hoe je een auditplan, contractstrategie of oefening opzet — je weet me te vinden.
Veilig, samen, vertrouwd.
