VO Eemsdelta kreeg inzicht in de informatiebeveiliging en digitale weerbaarheid dankzij een uitgebreid security-assessment.

Openheid en transparantie stonden centraal, altijd met het doel om ons vooruit te helpen.”

Casper BijleveldAdviseur ICT bij VO Eemsdelta

Stichting VO Eemsdelta verzorgt voortgezet onderwijs vanuit vier locaties in de regio Appingedam. Met de oplevering van een nieuwe campus in 2021 en 2022 werd de IT-infrastructuur grotendeels opnieuw opgebouwd. Informatiebeveiliging is in het onderwijs een heel belangrijk aandachtspunt. Scholen worden steeds vaker geconfronteerd met cyberdreigingen en aanvallen. Om inzicht te krijgen in de staat van hun digitale weerbaarheid en informatiebeveiliging koos VO Eemsdelta ervoor een breed security-assessment uit te laten voeren door Acknowledge. We spraken met Casper Bijleveld (adviseur ICT bij Stichting VO Eemsdelta) en Philip van Roeijen (securityconsultant bij Acknowledge).

Normenkader Informatiebeveiliging en Privacy

Voor Casper stond een onafhankelijk assessment al langer op het verlanglijstje: “We moeten als schoolorganisatie een vorm van auditing hebben. Dit was de eerste keer dat we het op deze manier hebben gedaan. En het was hoog tijd om dit structureel aan te pakken.” De aanleiding lag in een combinatie van factoren. De verhuizing naar de nieuwe campus, een deels vernieuwde IT-omgeving en de verplichtingen vanuit het Normenkader Informatiebeveiliging en Privacy (IBP). Binnen dit normenkader werken scholen via een groeipad van Kennisnet toe naar een volwassenheidsniveau waarbij beveiliging structureel en aantoonbaar geborgd is.

Onafhankelijk en diepgaand inzicht in digitale weerbaarheid

Nauwe samenwerking en korte lijnen

Structurele verankering van informatiebeveiliging

Testen in een liveomgeving

Zoals veel onderwijsinstellingen beschikt VO Eemsdelta over een compact IT-team dat de handen vol heeft aan het dagelijks beheer. Een migratie naar de cloud staat in de planning, maar de omgeving is op dit moment grotendeels nog op locatie (on-premise). Daarbij spelen ook specifieke uitdagingen. Philip: “In het onderwijs test je altijd in een liveomgeving, waar leerlingen en docenten dagelijks gebruik van maken. Je moet kwetsbaarheden aantonen, maar zonder risico’s voor het primaire proces. Zorgvuldigheid is cruciaal.” Een andere uitdaging is dat security moet worden ingebed in de organisatie, terwijl de waarde van ICT niet altijd zichtbaar is voor niet-technische collega’s. Achterstallig onderhoud kan bovendien risico’s vergroten.

Korte lijntjes

Het security-assessment vond plaats tussen eind mei en half juni 2025. Philip werkte in totaal acht dagen op locatie in Appingedam. Hij focuste hierbij op de gehele IT-infrastructuur, zoals netwerk, Active Directory, applicatieservers, de hypervisorlaag, werkstations en extern ontsloten webapplicaties. Wat het traject bijzonder maakte, was de nauwe samenwerking. Philip had een vaste werkplek op het kantoor van Casper. “Die korte lijnen maakten het onderzoek heel praktisch. Casper wist precies wat er speelde en kon waar nodig direct acties uitzetten”, legt Philip uit. Het assessment werd positief ontvangen door zowel IT-team als directie, die het belang van inzicht in security benadrukten.

VO Eemsdelta versterkt informatiebeveiliging met onafhankelijk security-assessment

Rapportage met verbeteringen

Het assessment leverde een rapport op met zowel sterke punten als concrete verbeteracties. Enkele bevindingen zijn nog tijdens of kort na het onderzoek aangepakt (gemitigeerd). Het rapport gaf overzicht en hielp keuzes te maken voor vervolgstappen. “Twee conclusies sprongen eruit: dit hadden we eigenlijk eerder moeten doen én we moeten er nu een gestructureerd vervolg aan geven”, vertelt Casper. Een publieksversie van het rapport wordt gedeeld in multidisciplinair overleg, zodat ook directie en andere stakeholders inzicht krijgen in de opbrengsten van de investering.

Vooruitblik

VO Eemsdelta heeft inmiddels besloten periodiek een security-assessment uit te laten voeren. Daarmee wordt informatiebeveiliging structureel onderdeel van de ICT-cyclus. Daarnaast werkt de school actief aan andere trajecten binnen het normenkader. Ze willen nóg beter scoren op identity & access management (IAM) en bepalen wie toegang heeft tot wat en waarom. Daarnaast zetten ze in op bewustwordingstrajecten, onder meer via phishingcampagnes en ontwikkeldagen. Het rapport heeft ook geleid tot een nauwere samenwerking binnen het nieuwe overkoepelende schoolbestuur. Casper: “Het assessment gaf niet alleen inzicht, maar ook draagvlak. Security wordt nu meer gezien als iets van de hele organisatie, niet alleen van ICT.”

Openheid en transparantie

Het security assessment bij VO Eemsdelta laat zien dat een onafhankelijk onderzoek meer oplevert dan alleen een lijst met bevindingen. Het geeft inzicht, bevestigt waar je goed bezig bent en helpt prioriteiten stellen voor de toekomst. Voor Casper is de samenwerking met Acknowledge helder samen te vatten: “We hebben de samenwerking als zeer constructief ervaren. Openheid en transparantie stonden centraal, altijd met het doel om de school vooruit te helpen.”