Wat maakt het voortgezet onderwijs anders dan het primair onderwijs?

Een vo-school is doorgaans groter en complexer dan een basisschool:

• Grotere, gevarieerde teams. Vakdocenten, mentoren, ondersteunend personeel, conciërges en roostermakers, elk met andere toegang.

• Veel meer applicaties. Naast Microsoft 365 of Google Workspace draait er een breed palet aan vakspecifieke en administratieve systemen.

• Wisselingen door het jaar. Vervangingen, tijdelijke contracten en wisselende inzet maken de toegang voortdurend in beweging.

Er is vaak meer capaciteit voor ICT dan in het primair onderwijs, maar ook meer complexiteit om te beheren. Handmatig bijhouden wie waar toegang toe heeft, wordt dan snel onhoudbaar.

Wat vraagt het Normenkader IBP?

Het voortgezet onderwijs valt onder hetzelfde Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP) als het primair onderwijs. Dat kader telt 69 normen voor informatiebeveiliging en 25 voor privacy in 15 domeinen, met Identity en Access Management als een apart domein.

De tijdlijn:

• In 2026 verwacht OCW dat besturen inzicht hebben in hun digitale veiligheid.

• Vanaf 1 januari 2027 is een zelfevaluatie met plan van aanpak verplicht.

• Uiterlijk 1 januari 2030 moet alles op volwassenheidsniveau 3 staan, met toezicht door OCW.

Voor toegangsbeheer betekent dit concreet: sterke authenticatie, toegang volgens least privilege, geautomatiseerd lifecyclebeheer en aantoonbare logging.

Hoe houd je toegang kloppend bij veel applicaties en rollen?

Met het personeelssysteem als bron en een orchestratielaag erbovenop:

1. Rolgebaseerde toegang per functie, sectie en locatie zorgt dat een docent wiskunde andere toegang krijgt dan een roostermaker of een conciërge.

2. Koppelingen met applicaties via SCIM houden de toegang in al je systemen automatisch synchroon, zodat er geen silo's ontstaan.

3. Eerst uitschakelen, dan opruimen bij vertrek voorkomt achtergebleven accounts.

4. Logging en rapportage leveren het bewijs dat je richting de zelfevaluatie nodig hebt.

Zo blijft toegang kloppen met de werkelijkheid, ook als het personeelsbestand voortdurend verandert.

Veelgestelde vragen

Valt het vo onder een ander normenkader dan het po? Nee. Po en vo vormen samen het funderend onderwijs en vallen onder hetzelfde Normenkader IBP, met dezelfde tijdlijn.

Hoe ga ik om met de vele losse applicaties? Door ze waar mogelijk via SCIM aan je centrale toegangsbeheer te koppelen, zodat rechten automatisch meebewegen en niets buiten beeld blijft.

Wat is de snelste winst richting het normenkader? Meestal geautomatiseerde offboarding plus logging: dat dekt direct een belangrijk risico af en levert meteen aantoonbaarheid op.