3 uren geleden
3
Het onderwijs is een sector met complexe ketens en gevoelige data. Tegelijkertijd willen onderwijsinstellingen vooral doen waar ze voor bestaan: goed onderwijs organiseren, niet het managen van een ondoorzichtige IT-puzzel. Juist daar laten we als sector nog weleens steken vallen. Een gefragmenteerd landschap en uiteenlopende volwassenheidsniveaus maken het lastig om structureel grip te krijgen op security.
Visma-bedrijf Xedule is leverancier van onderwijslogistieke software voor mbo- en hbo-instellingen. Dagelijks worden onder andere roosters, planningen en aanwezigheidsgegevens verwerkt en gedeeld via koppelingen met andere systemen. Dat maakt security niet alleen belangrijk, maar essentieel: data moet beschermd blijven tegen cybercriminelen én ketenrisico’s moeten beheersbaar zijn.
Ik sprak laatst met Walter van Hest, Information Security Manager bij Xedule, over de securityproblematiek in de sector en over hoe Xedule probeert een voortrekkersrol te spelen in het oplossen van security-uitdagingen waar onderwijsinstellingen mee worstelen.
Eisen in aanbestedingen lopen uiteen
Security-eisen worden in het onderwijs vaak via aanbestedingen geborgd, maar die eisen lopen behoorlijk uiteen. “Eigen frameworks worden soms geaccepteerd zonder onafhankelijke toetsing, terwijl juist die onafhankelijkheid cruciaal is”, vertelt Walter. “Soms wordt wel om ISO 27001 gevraagd, maar niet altijd scherp genoeg uitgevraagd of geverifieerd waardoor onduidelijk is of de applicatie wel binnen de scope valt.”
Xedule stuurt daarom niet op het minimum, maar op aantoonbare veiligheid, vervolgt Walter. “We zijn ISO 27001-gecertificeerd, maar maken ook inzichtelijk hoe maatregelen worden toegepast, gecontroleerd en verbeterd door een verklaring van toepasselijkheid. Door dit actief toe te lichten, werd die verklaring bij minstens één onderwijsinstelling standaard onderdeel van de aanbestedingsuitvraag. Daarmee wordt het speelveld in aanbestedingen gelijkwaardiger, maar nog belangrijker: de security beter.”
Transparantie in plaats van terughoudendheid
Opvallend is dat communicatie vanuit leveranciers over incidenten of security-verbeterpunten niet vanzelfsprekend is. Walter merkt dat het een aanpak is waar veel organisaties nog aan moeten wennen. “Wij vinden een proactieve houding vanuit onze rol als leverancier belangrijk. Dat betekent dat we communiceren over security-incidenten, bevindingen en verbeterpunten. Security-rapportages zijn standaard onderdeel van onze SLA-rapportages, ook als meldingen niet direct impact hebben gehad. Dat lijkt misschien heel normaal, maar in veel ketens wordt incidentinformatie pas gedeeld als het écht mis is gegaan en soms helemaal niet. Wij kiezen bewust voor transparantie, omdat dat in de praktijk leidt tot vertrouwen en tot betere samenwerking met onze klanten.”
Walter noemt het delen van dreigingsinformatie als voorbeeld. “Signalen over mogelijke dreigingen die we tegenkomen in onze monitoring-tools of op het dark web, delen we met klanten. Zo signaleerde onze security operations center door middel van Cyber Threat Intelligence een URL van een Xedule-loginpagina op het dark web. We verscherpten direct de logging en monitoring om misbruik te voorkomen en waarschuwden klanten dat het signaal rondging, ook al kon niet worden vastgesteld bij welke instelling het risico precies lag. Soms is waarschuwen het maximaal haalbare wat we kunnen doen, maar dat wordt wel gewaardeerd.”
De open communicatie zorgt er ook voor dat klanten Xedule benaderen voor security-vraagstukken waar ze wat meer expertise kunnen gebruiken. Bijvoorbeeld bij het uitvoeren van audits of penetratietests. “Onderwijsinstellingen zijn de afgelopen jaren verplicht om volwassenheidsniveaus aan te tonen en externe tests uit te laten voeren.” vertelt Walter. “Ik merk regelmatig dat functioneel beheerders of informatiemanagers niet precies weten wat nou precies van hen wordt verwacht bij deze testen. Wij waren klaarblijkelijk een van de weinige leveranciers die hulp aanbood om die penetratietest goed en soepel te laten verlopen. Andere leveranciers waren afhoudend of kwamen pas na druk in beweging. Terwijl je dit soort trajecten juist samen moet doen als je ketenveiligheid serieus neemt.”
Security stopt niet bij de applicatie
Instellingen werken met meerdere leveranciers, data wordt gedeeld en verwerkt door verschillende partijen en verantwoordelijkheden zijn niet altijd helder. Dat leidt tot onduidelijkheid, en uiteindelijk tot risico’s. Volgens Walter mogen leveranciers hun klanten wel wat meer bij de hand nemen in plaats van de verantwoordelijkheid volledig bij de klant zelf te leggen. “We nemen daarom vaak het voortouw bij verwerkersovereenkomsten en zoeken naar een duidelijke rolverdeling en praktische oplossingen: wie is verwerkingsverantwoordelijke, wie heeft toegang en hoe blijft aansprakelijkheid helder? Onze klanten waarderen het als een leverancier niet alleen reageert op vragen, maar ook helpt om de route naar een veilige samenwerking te schetsen.”
Om die ketenverantwoordelijkheid ook concreet en toetsbaar te maken, heeft Xedule een sectorbrede Data Protection Impact Assessment (DPIA) laten uitvoeren door SURF, de overkoepelende ICT-organisatie voor mbo- en hbo-instellingen. Een DPIA is een instrument uit de AVG en bedoeld om inzicht te krijgen in privacyrisico’s wanneer op grote schaal persoonsgegevens worden verwerkt.
Walter ziet dat onderwijsinstellingen een DPIA in de praktijk vaak niet afnemen, of deze intern uitvoeren op basis van de bij de onderwijsinstelling beschikbare informatie. “Dat vinden wij onvoldoende,” zegt hij. “Juist omdat wij als leverancier een centrale rol spelen in die gegevensverwerking.” Daarom vroeg Xedule SURF om de DPIA onafhankelijk uit te voeren, zodat onderwijsinstellingen kunnen terugvallen op een objectief en sectorbreed assessment. In het assessment is gekeken naar de verwerking van persoonsgegevens binnen de applicaties Xedule en My Xedule, en naar de risico’s die daarbij ontstaan. Die risico’s worden geclassificeerd als hoog, medium of laag, met als doel om met name de hoge risico’s te voorkomen of gericht op te lossen.
De uitkomst bevestigde het ketenperspectief: de DPIA bracht verbeterpunten aan het licht aan beide kanten — zowel bij Xedule als bij de onderwijsinstellingen. Voor Xedule betekent dat directe actiepunten om de eigen applicaties verder te verbeteren. Voor instellingen biedt het een solide basis om hun eigen DPIA en privacybeleid op te baseren.
Xedule was daarmee de eerste leverancier in het onderwijs die op eigen initiatief een DPIA liet uitvoeren met als doel de sector te helpen. “Het geeft ons niet alleen inzicht in waar wij zelf nog werk te verzetten hebben,” concludeert Walter, “maar helpt onderwijsinstellingen ook om inzicht te krijgen in risico’s en concrete verbeterpunten.”
Security-programma en netwerk van specialisten als kracht
Als onderdeel van de Visma-groep maakt Xedule gebruik van een centraal securityprogramma van Visma voor applicatie-, infrastructuur- en people security. Dat programma werkt met volwassenheidsniveaus, periodieke assessments, onafhankelijke reviews en 24/7 monitoring via een Security Operations Center.
“Voor Xedule betekent dit dat security structureel is ingebed in de dagelijkse operatie,” zegt Walter. “Door het security-programma te volgen, zijn ISO-certificeringen geen losse trajecten meer. In het overgrote deel van de gevallen is het een kwestie van aantoonbaar maken dat je voldoet aan wat het programma van je vraagt. Daardoor komen we in aanbestedingstrajecten zelden voor verrassingen te staan.”
Ook de samenwerking met andere security-specialisten binnen Visma is volgens Walter van toegevoegde waarde. “Er wordt intensief samengewerkt, kennis gedeeld en er is altijd iemand benaderbaar als je hulp nodig hebt. Daardoor ontstaat een lerend netwerk waarin ervaringen worden gedeeld. Dat werkt twee kanten op: ik heb toegang tot specialisten binnen Visma, maar mijn eigen ervaringen en geleerde lessen deel ik ook actief zodat andere Visma-bedrijven hier sterker van worden.” Volgens Walter is dat precies waarom Xedule dit hoge niveau kan vasthouden en tegelijk klanten kan helpen die zelf nog meters moeten maken. “Omdat Visma de achterkant regelt, kunnen wij bij de klant aan tafel zitten voor het echte gesprek.”
Dit is een ingezonden bijdrage van Visma. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
/https://content.production.cdn.art19.com/images/b8/16/7d/33/b8167d33-95bd-4c22-9438-25541515cb33/94a7fcbcc92f5b0fbb479e857f18f8bbe33ec3b33760572a8cf2a3389772a890ad24ec290c1af28e92da3d7de48711d637ab88ffd2697d1f84bd6231477eca01.jpeg)
English (US) ·