Wat houdt de zelfevaluatie in, en wanneer?

De zelfevaluatie is de manier waarop je als schoolbestuur in beeld brengt hoe ver je bent ten opzichte van het Normenkader IBP. OCW verwacht al in 2026 dat besturen inzicht hebben in hun digitale veiligheid. Vanaf 1 januari 2027 is het verplicht: je weet via de zelfevaluatie waar je staat, en je hebt een plan van aanpak om op alle normen naar niveau 3 te groeien.

Kennisnet biedt hiervoor een zelfevaluatietool en een groeipad, zodat je laagdrempelig kunt starten en de grootste risico's als eerste afdekt.

Wat betekent dit voor toegangsbeheer?

Toegangsbeheer is een van de 15 domeinen in het normenkader. In de zelfevaluatie kijk je dus onder meer naar:

• hoe accounts ontstaan, wijzigen en verdwijnen

• of toegang volgens least privilege is geregeld

• of sterke authenticatie wordt toegepast

• of je kunt aantonen wie wanneer toegang had

Voor veel besturen is dit domein een van de plekken waar nog winst te halen valt, juist omdat handmatig accountbeheer lastig consistent en aantoonbaar te maken is.

Stappen om je voor te bereiden

1. Doe de zelfevaluatie nu alvast. Gebruik de tool van Kennisnet om te zien waar je staat, zonder te wachten tot 2027.

2. Breng je toegangsbeheer in kaart. Hoe verloopt instroom, doorstroom en uitstroom van medewerkers vandaag?

3. Pak de grootste risico's eerst. Vaak zijn dat achtergebleven accounts en te ruime toegang.

4. Automatiseer vanuit het personeelssysteem. Dat tilt het domein toegangsbeheer in één keer naar een hoger, aantoonbaar niveau.

5. Leg vast wat je doet. Beleid, rollen en logging vormen samen het bewijs dat je in de zelfevaluatie en latere controles nodig hebt.

Veelgestelde vragen

Is de zelfevaluatie eenmalig? Nee. Het is een startpunt en een terugkerend instrument om te zien of je richting niveau 3 groeit. Vanaf 2027 hoort er ook een plan van aanpak bij.

Helpt automatisering bij de zelfevaluatie? Ja. Geautomatiseerd toegangsbeheer levert meteen het inzicht en de logging op die je voor de beoordeling van het IAM-domein nodig hebt.

Wat als we nog niet gestart zijn? OCW en de sectorraden roepen besturen op om nu te beginnen. Hoe eerder je de grootste risico's afdekt, hoe rustiger je 2027 en 2030 ingaat.