Basisscholen werken met beperkte IT-capaciteit en grote hoeveelheden gevoelige data: BSN's van leerlingen, dossiers met zorgvragen, contactgegevens van ouders, salarisadministratie van leerkrachten. Een geslaagde phishing-aanval is bijna automatisch een datalek met hoog risico.
BSN en leerlingdata onder de AVG
Leerlingadministratiesystemen bevatten BSN, geboortedatum en in zorgdossiers ook medische gegevens. Een gephishte mailbox van een directeur of administratief medewerker geeft toegang tot honderden tot duizenden records. De AP behandelt BSN-lekken in het onderwijs als hoog risico, met meldplicht aan ouders.
Bestuur en directie als doelwit
CEO-fraude komt voor: een nepbericht van het bestuur aan de directeur over een spoedbetaling, of aan administratie over een gewijzigd IBAN van een leverancier. Bovenschoolse besturen met meerdere locaties zijn extra kwetsbaar omdat communicatie vaker schriftelijk gaat. Train bestuur en bovenschoolse staf apart.
Beperkt budget, gerichte aanpak
Een uitgebreid commercieel platform past zelden bij een PO-budget. SIVON heeft raamovereenkomsten waar scholen via PO-Raad-tarieven gebruik van maken. Een minimumpakket: MFA op Microsoft 365 voor alle medewerkers, DMARC op p=quarantine, twee korte simulaties per jaar en een meldknop in Outlook.
Korte en visuele training
Leerkrachten hebben geen uur over voor e-learning. Werk met video's van twee tot vier minuten tijdens een teamvergadering, gevolgd door een korte simulatie. Voorbeelden uit de schoolcontext werken: nepmail van DUO over inschrijving, nepfactuur van schoolleverancier, nepbericht van een ouder met bijlage.
Incident response op kleine schaal
Een schoolbestuur heeft zelden een 24/7-IT-team. Maak heldere afspraken met de IT-leverancier of het samenwerkingsverband over reactietijden bij een vermoed incident. De FG, vaak gedeeld tussen scholen, kent het AVG-formulier en kan binnen 72 uur de melding voorbereiden.
Verwant: Cybersecurity specialist, Freelance IT consultant.