Waarom is accountbeheer in het primair onderwijs lastig?

Een schoolbestuur is geen enkele organisatie, maar een verzameling scholen onder één dak. De medewerkers, leerkrachten, intern begeleiders, onderwijsassistenten, conciërges en directeuren, werken verspreid over die scholen en vaak op meerdere locaties tegelijk. Daar komt een continue stroom invallers bij.

Tegelijk is de capaciteit voor ICT beperkt: op veel basisscholen doet één persoon het beheer voor meerdere locaties. Handmatig accounts aanmaken en weer opruimen kost zo veel tijd, en gaat onvermijdelijk fout. Vergeten accounts van vertrokken medewerkers blijven achter, met een privacy en beveiligingsrisico tot gevolg.

Wat vraagt het Normenkader IBP op het gebied van IAM?

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP) is ontwikkeld door OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad. Het telt 69 normen voor informatiebeveiliging en 25 voor privacy, verdeeld over 15 domeinen. Identity en Access Management is daar een apart domein van.

De tijdlijn is concreet:

• OCW verwacht al in 2026 dat schoolbesturen inzicht hebben in hun digitale veiligheid.

• Vanaf 1 januari 2027 moet elk bestuur via een zelfevaluatie weten waar het staat en een plan van aanpak hebben.

• Uiterlijk 1 januari 2030 voldoen alle scholen aan volwassenheidsniveau 3, met toezicht en handhaving vanuit OCW.

Toegangsbeheer dat aantoonbaar op orde is, telt dus rechtstreeks mee voor je positie in het normenkader.

Hoe regel je dit met een klein team?

De kern is dat je het personeelssysteem (HR) tot bron van waarheid maakt. Een orchestratielaag vertaalt elke personeelsmutatie automatisch naar de juiste actie:

1. Indiensttreding leidt automatisch tot een account met de juiste toegang, in Microsoft 365 of Google Workspace.

2. Een functiewijziging of overstap naar een andere school past de rechten automatisch aan.

3. Vertrek leidt tot direct uitschakelen, gevolgd door gecontroleerd opruimen.

Rolgebaseerde toegang per functie en school zorgt dat iedereen automatisch het juiste pakket krijgt. En doordat elke actie wordt gelogd, bouw je vanzelf het bewijs op dat je richting de zelfevaluatie nodig hebt.

Veelgestelde vragen

Is het Normenkader IBP al verplicht? Het is nu de beleidsmatige norm. De zelfevaluatie en het plan van aanpak zijn verplicht vanaf 1 januari 2027, en volledige naleving op niveau 3 uiterlijk 1 januari 2030.

Werkt geautomatiseerde provisioning ook met een klein ICT-team? Juist dan. De orchestratielaag neemt het repeterende werk over, zodat een kleine bezetting toch consistent en aantoonbaar werkt.

Geldt dit ook voor invallers? Ja. Invallers lopen idealiter ook via een bron met einddatum mee, zodat ze tijdig toegang krijgen en die toegang ook weer verliezen.