Inspectie van het Onderwijs banner
Technisch Rapport Digitale Weerbaarheid in het onderwijs

Publicatiedatum

mei 2026

Inleiding

Dit is het TR van het stelselonderzoek naar de digitale weerbaarheid in het onderwijs. Het belangrijkste doel van dit TR is het communiceren van de vrijblijvende richtlijnen voor het opstellen van een technisch rapport door de betrokken onderzoekers. De belangrijkste doelen van een TR van een stelselonderzoek zijn (1) transparantie over alle belangrijke elementen van het onderzoek en (2) onderbouwing van de publicatie-uiting (rapport, factsheet, blog, etc.). Put daarbij ook vooral uit de inleiding van het publicatie-uiting en/of het projectplan, waarin dit ook beschreven is.

De Inspectie van het Onderwijs verwacht dat besturen de continuïteit van het onderwijs en de (digitale) veiligheid van leerlingen, studenten en medewerkers waarborgen. Deze verantwoordelijkheid staat onder toenemende druk door de snelle digitalisering van onderwijs en samenleving. Digitale leermiddelen, administratiesystemen en communicatieplatforms zijn onmisbaar geworden, terwijl digitale dreigingen in aantal en complexiteit toenemen.

Recente cyberincidenten, waarbij onderwijsprocessen verstoord raakten en persoonsgegevens mogelijk zijn buitgemaakt, onderstrepen de urgentie van digitale weerbaarheid. Digitale verstoringen raken direct aan de continuïteit van onderwijs, de bescherming van persoonsgegevens en het vertrouwen in onderwijsdata. Tegelijkertijd geven niet alle besturen aan zich voldoende toegerust te voelen om deze opgave structureel vorm te geven.

Tegen de achtergrond van toenemende digitale dreiging en veranderende regelgeving onderzoekt de Inspectie hoe besturen invulling geven aan digitale weerbaarheid en in hoeverre zij bijdragen aan het waarborgen van onderwijscontinuïteit.

Dit stelselonderzoek heeft een verkennend en agenderend karakter. Het biedt inzicht in de huidige stand van digitale weerbaarheid in het onderwijs en in de bestuurlijke, organisatorische en externe factoren die daarop van invloed zijn. In dit onderzoek wordt een beschrijvend mixed design (kwantitatief en kwalitatief) onderzoek uitgevoerd bij besturen van po-, so- en vo-scholen en mbo- en ho-instellingen. Er is gekozen voor een verkennende en kwantitatieve benadering, waarbij door middel van vragenlijsten stelselbreed een beeld wordt opgehaald. En er is een verdiepend en kwalitatieve benadering, waarbij door middel van interviews inzicht wordt verkregen in onderliggende factoren. Samen geven ze antwoord op de hoofdvraag.

Hoofdvraag:
In hoeverre dragen besturen bij aan digitale weerbaarheid om onderwijscontinuïteit te garanderen in het onderwijs?

Deelvragen:

Verkennend:

  1. In hoeverre hebben besturen zicht op digitale weerbaarheid?

  2. Hoe geven besturen sturing aan digitale weerbaarheid teneinde onderwijscontinuïteit te garanderen?

  3. Hoe verschillen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?

Verdiepend:

  1. Welke factoren helpen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?

  2. Welke factoren belemmeren besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?

Definities

Bewustwording

Bestuurders en medewerkers onderkennen het belang van digitale veiligheid en de bijbehorende risico’s. Gebrek aan bewustzijn bij bestuurders en/of bij onderwijspersoneel heeft een negatief effect op de implementatie van het normenkader. Wanneer we het hebben over bewustwording bij bestuurders doelen we op het besef dat informatiebeveiliging, en het mitigeren van risico’s op dit vlak, essentieel is voor de bedrijfsvoering van een schoolbestuur. Een lage mate van bewustzijn bij onderwijspersoneel kan resulteren in het niet uitvoeren van beheersmaatregelen.

Capaciteit

De beschikbare tijd, mensen en middelen. Gebrek aan (interne en externe) capaciteit die beschikbaar is voor IBP is een belangrijk obstakel, omdat de vertaling van vereisten van normen naar beheersmaatregelen tijd kost en arbeidsintensief is.

CISO

CISO staat voor Chief Inormation Security Officer. Met CISO wordt de medewerker bedoeld die verantwoordelijk is voor (de waarborging van) informatiebeveiliging.

Cyberaanval

Moedwillige activiteit van een actor die is gericht op het met digitale middelen verstoren van één of meer digitale processen.

Cybercriminelen

Cybercrime zijn alle delicten die gepleegd worden met behulp van ICT. Cybercrime omvat criminaliteit die gericht is op een ICT-systeem of de informatie die door ICT wordt verwerkt. Cybercrime omvat ook de al langer bestaande criminaliteit die door ICT een nieuwe impuls heeft gekregen, zoals oplichting en verspreiding van kinderporno via internet. Deze definitie is een samenvoeging van de enge definitie van cybercrime die het Nationaal Cyber Security Centrum en de politie hanteren, en de categorie ‘gedigitaliseerde criminaliteit’ die de politie ook onderscheidt.

Cyberincident

Verstoring van één of meer (digitale) processen (combineer met begrip verstoring tot vragenlijst gebruik).

Datalek

Een datalek is een voorbeeld van een beveiligingsincident, hierbij gaan persoonsgegevens verloren of worden ongeoorloofd ingezien, gewijzigd, verzonden of op andere wijze verwerkt door personen zonder de juiste bevoegdheid.

DDoS-aanval

DDoS-aanval (Distributed Denial-of-Service): een aanval op de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur. Het resultaat van deze aanval is dat digitale diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten.

Digitale weerbaarheid

De mate waarin besturen en scholen in staat zijn de digitale onderwijsomgeving te beschermen en onderwijsprocessen ook bij digitale verstoringen te laten doorgaan. Digitale weerbaarheid omvat het geheel aan maatregelen die zijn genomen om relevante digitale risico’s tot een aanvaardbaar niveau terug te brengen. Deze maatregelen zijn gericht op het voorkomen, tijdig ontdekken en beperken van schade bij cyberincidenten, evenals het vergemakkelijken van herstel. Wat als een aanvaardbaar niveau wordt beschouwd, is het resultaat van een zorgvuldige risico-afweging. Het bestuur moet ervoor zorgen dat de digitale (basis)informatie voor leerlingen/studenten en medewerkers onder alle omstandigheden beschikbaar is en dat deze informatie tijdig, correct en volledig en alleen toegankelijk voor de juiste personen. Als er iets misgaat in de digitale omgeving van een bestuur of school, moet dat snel worden opgemerkt en hersteld.

Digitaal proces

Digitaal proces een proces dat geheel of gedeeltelijk wordt uitgevoerd door de complexe en onderling samenhangende interactie tussen mensen en vele componenten van hardware, software en/of netwerken. Volledig geautomatiseerde processen, zoals procesbesturingssystemen, vallen ook onder het begrip.

Dreiging

Een opzettelijk of niet-opzettelijk gevaar dat kan leiden tot een cyberincident of een combinatie van gelijktijdige of opeenvolgende cyberincidenten.

Ecosysteem

Een ecosysteem is een netwerk van onderling afhankelijke actoren die door samenwerking en complementariteit gezamenlijk waarde creëren rond een bepaalde dienst, technologie of activiteit. Binnen zo’n systeem zijn de bijdragen van verschillende partijen met elkaar verbonden, waardoor acties of verstoringen bij één actor gevolgen kunnen hebben voor andere actoren in het geheel. In het ecosysteem rond digitale weerbaarheid in het onderwijs omvatten deze actoren onder andere onderwijsbesturen, ICT-leveranciers, adviesbureaus, publieke ondersteuningsorganisaties en de overheid, die via samenwerking, uitbesteding en afhankelijkheden gezamenlijk bijdragen aan de digitale veiligheid van onderwijsinstellingen.

Expertise

De aanwezigheid van voldoende kennis en vaardigheden om digitale risico’s te herkennen en passende maatregelen te nemen. Het gebrek aan (technische, juridische en beleidsmatige) expertise is een belangrijk obstakel. Schoolbesturen zonder deze expertise hebben moeite met het maken van de afweging hoe vereisten uit het normenkader kunnen worden omgezet in concrete beheersmaatregelen.

Funderend onderwijs

Onder funderend onderwijs verstaan we primair onderwijs, voortgezet onderwijs en speciaal onderwijs.

IBP

Informatiebeveiliging en privacy. Onze focus ligt op informatiebeveiliging. Informatiebeveiliging is het proces waarbij de gewenste kwaliteit van informatie en informatiesystemen wordt vastgesteld op het gebied van vertrouwelijkheid, beschikbaarheid, integriteit, onweerlegbaarheid en controleerbaarheid. Vervolgens worden passende fysieke, organisatorische en logische beveiligingsmaatregelen getroffen, onderhouden en gecontroleerd. Zo ontstaat een samenhangend pakket aan maatregelen om de informatie adequaat te beschermen.

IBP-functionaris

De medewerker die verantwoordelijk is voor (de waarborging van) informatiebeveiliging.

Ketenafhankelijkheid

De afhankelijkheid van leveranciers en clouddiensten die bij verstoring of misbruik tot grote schade leiden. Deze ketenafhankelijkheid is ook aanwezig in het ecosysteem waarbinnen onderwijs- en onderzoeksinstellingen samenwerken. Een incident bij de ene instelling kan negatieve gevolgen hebben voor de andere instellingen in een samenwerkingsverband.

Onderwijscontinuïteit

Voorbereidende maatregelen en acties die een schoolbestuur neemt om ervoor te zorgen dat de essentiële functies operationeel blijven tijdens en na een crisis.

Organisatiegraad

Geïnstitutionaliseerde samenwerking en kennisdeling tussen instellingen, bijvoorbeeld door lidmaatschap of samenwerking via sectorraden, onderwijskoepels en ondersteunende organisaties zoals SIVON, Kennisnet, SURF en MBO Digitaal.

Risico

De (combinatie van de) kans dat een dreiging leidt tot een cyberincident én de impact van het cyberincident op belangen, beide in relatie tot het actuele niveau van digitale weerbaarheid.

Vervolgonderwijs

Onder vervolgonderwijs verstaan we middelbaarberoepsonderwijs en hoger onderwijs (zowel hoger beroepsonderwijs als universitair onderwijs).

Verstoring

Een aantasting van de beschikbaarheid, integriteit of vertrouwelijkheid van informatie(verwerking).

Onderzoeksopzet (kwantitatief)

Databronnen en instrumenten

Er zijn twee verschillende versies van een digitale vragenlijst ontwikkeld die zijn ingevuld door de bestuurder en de verantwoordelijke medewerker voor IB-beleid, cybersecuritybeleid in de steekproef. Ten eerste zal de vragenlijst in kaart brengen in hoeverre besturen zicht hebben op en sturing geven aan digitale weerbaarheid (deelvraag 1 t/m 3). Dit deel van de vragenlijst baseert zich op het normenkader IBP dat onlangs is geoperationaliseerd voor het funderend onderwijs en dat ook is gebaseerd op het normenkader dat geldt voor het MBO en HO. Ten tweede worden de vragenlijst gebruikt om factoren in kaart te brengen die besturen mogelijk kunnen helpen of belemmeren in het waarborgen van digitale weerbaarheid, zoals bewustwording, expertise en capaciteit. Vragenlijsten die volledig zijn ingevuld zijn meegenomen in de analyses. Twee besturen die de vragenlijst op één vraag na hebben ingevuld, zijn ook meegenomen. Afhankelijk van de analyses worden deze twee besturen niet meegenomen.

Steekproef, response en representativiteit

Binnen de steekproefgroep voor funderend onderwijs komen de sectoren evenredig voor aan die in het totale besturenbestand. De steekproef funderend onderwijs houdt waar mogelijk rekening met een redelijke verdeling van besturen over regio, uni- of multi-sectoraal bestuur, bestuursgrootte (voor het vervolgonderwijs zijn alle bekostigde besturen gevraagd) en leidende sector. Na sluiting van de vragenlijst zijn per sector non-response analyses uitgevoerd. Het doel van deze analyses was om na te gaan of de response op de verschillende vragenlijsten niet selectief is en daarmee de representativiteit van de steekproef beïnvloedt. De verhouding van kenmerken in het responsebestand verschilt niet significant van die verhouding in het steekproefbestand op basis van t- en Chi-kwadraat toetsen (X2, p > 0,05), dus is er sprake van representativiteit op deze kenmerken (zie onderstaande tabel). Uiteindelijk hebben 97 bestuurders en 48 IBP’ers van de 130 besturen in het funderend onderwijs gereageerd en 97 bestuurders en 87 CISO’s van de 105 besturen in het vervolgonderwijs.

Tabel p-waardes representativiteit

Funderend onderwijs Vervolgonderwijs
Bestuur IBP CvB CISO
Regio 0,989 0,701 0,833 0,989
Uni-/multisectoraal 0,743 0,968 0,435 0,846
Bestuursgrootte 0,526 0,052 0,914 0,942
Leidende sector 0,897 0,353 0,353 0,381

Methode en analyses

Deelvraag 1: In hoeverre hebben besturen zicht op digitale weerbaarheid?

Funderend onderwijs

Beantwoording van deze vraag is samengesteld op basis van de vragenlijst-items q16 t/m q18 en q19: items die de onderdelen van digitale weerbaarheid in kaart brengen. Bestuurders gaven aan welke onderdelen onder hun aandacht zijn geweest (q16 t/m q18) en in hoeverre deze geïmplementeerd zijn (q19; (1) in het beleid, (2) in de praktijk, (3) zowel beleid als praktijk, of (4) dat er (nog) geen zicht op is).

De vraag hoe digitale weerbaarheid is georganiseerd, wordt beantwoord aan de hand van vragenlijst-items q5 t/m q9. Deze items vragen hoeveel procent van de werktijd gemiddeld aan digitale weerbaarheid wordt besteedt (q7), of er binnen het bestuur medewerkers in dienst zijn die (de inregeling van) digitale weerbaarheid in hun takenpakket hebben én daarvoor zijn toegerust (q9), hoe digitale weerbaarheid is georganiseerd (q8), of bestuurders lid zijn van één of meerdere koepelorganisaties (q5), of ze wel eens kennis hebben vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meerdere activiteiten (q6).

Voor alle items zijn aantallen en percentages berekend en staafdiagrammen gemaakt.

Vervolgonderwijs

Beantwoording van deze vraag is samengesteld op basis van vragenlijst-item q24: items die in beeld brengen in hoeverre maatregelen met betrekking tot informatieveiligheid en privacy binnen de instellingen zijn geïmplementeerd ((1) niet, (2) gedeeltelijk, (3) formeel vastgelegd, (4) vastgelegd én toegepast, of (5) toegepast én geëvalueerd).

De vraag hoe digitale weerbaarheid is georganiseerd, wordt beantwoord aan de hand van vragenlijst-items q5 t/m q7. Deze items vragen hoeveel procent van de werktijd gemiddeld aan digitale weerbaarheid wordt besteedt (q7), of bestuurders lid zijn van één of meerdere koepelorganisaties (q5), of ze wel eens kennis hebben vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meerdere activiteiten (q6).

Voor alle items zijn aantallen en percentages berekend en staafdiagrammen gemaakt.

Deelvraag 2: Hoe geven besturen sturing aan digitale weerbaarheid teneinde onderwijscontinuïteit te garanderen?

Deze vraag wordt beantwoord op basis van de stellingen in vragenlijst-items q10, q15 en q20 die zowel door de bestuurder als door de IBP’er/CISO zijn ingevuld, zie onderstaande tabel. Bestuurders en IBP’ers/CISO’s gaven aan in hoeverre ze het eens waren met deze stellingen op een schaal van 1 (helemaal oneens) tot 5 (helemaal eens). Voor zowel funderend als vervolgonderwijs zijn koppels gemaakt van bestuurders en IBP’er/CISO die beide de stellingen hebben beantwoord. Vervolgens is voor deze koppels berekend in hoeveel procent van de gevallen de bestuurder het (on)eens was met de stelling én in hoeveel procent van de gevallen de bestuurder én IBP’er/CISO beide (on)eens hebben ingevuld bij de betreffende stelling. Hiervoor zijn punt 1 (helemaal oneens) en 2 (oneens) samengenomen en ook punt 4 (eens) en 5 (helemaal eens) zijn samengenomen.

Tabel Stellingen deelvraag 2

Vragenlijst-item Stelling funderend onderwijs Stelling vervolgonderwijs
q10_1 Digitale weerbaarheid is essentieel voor de bedrijfsvoering van besturen en scholen Digitale weerbaarheid is een integraal onderdeel van alle primaire processen van de onderwijsinstelling
q10_5 Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie
q10_10 De IBP-functionaris is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid De CISO is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid
q10_13 Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken
q10_15 Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt
q15_11 De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid
q20_4 Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen
q20_5 De mate waarin ik op de hoogte ben van digitale weerbaarheid in de organisatie hangt sterk af van de IBP-functionaris(sen) De CISO heeft alle ruimte om het bestuur proactief te adviseren over de digitale weerbaarheid van de organisatie
q20_6 Ik weet welke stappen er ondernomen moeten worden bij een cyberincident Ik weet welke stappen er ondernomen moeten worden bij een cyberincident
q20_7 Ik heb duidelijke verwachtingen van de IBP-functionaris(sen) als het gaat om het waarborgen van digitale weerbaarheid De rol en verantwoordelijkheden van de CISO ten opzichte van het bestuur zijn duidelijk afgesproken en vastgelegd

Deelvraag 3: Hoe verschillen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?

Voor het beantwoorden van deze deelvraag zijn meervoudige lineaire regressieanalyses gedaan met de afhankelijke variabelen die zicht op/waarborgen van digitale weerbaarheid (checklist), bewustwording, expertise en capaciteit meten in samenhang met bestuurskenmerken en kenmerken van de bestuurder.

De onafhankelijke variabelen zijn: bestuursgrootte, regio (dummy), lidmaatschap koepelorganisatie, aantal kennisactiviteiten, leeftijdscategorie bestuurder, jaren ervaring bestuurder, ervaring met digitale weerbaarheid in portefeuille bestuurder, affiniteit met digitale weerbaarheid bestuurder, comfortabel met verantwoordelijkheid bestuurder, kwetsbaarheid cyberaanval, en type ICT incident (extern of niet).

De afhankelijke variabelen zijn: checklist, bewustwording, expertise en capaciteit. De checklist bestaat voor funderend onderwijs uit het aantal onderdelen van digitale weerbaarheid welke onder de aandacht van de bestuurder zijn geweest. Voor vervolgonderwijs bestaat de checklist uit het aantal maatregelen met betrekking tot informatieveiligheid en privacy dat binnen de instellingen (deels) zijn geïmplementeerd. Voor bewustwording, expertise en capaciteit bouwen we een theoretische schaal die in de regressieanalyse worden gebruikt. Hieronder wordt toegelicht hoe deze schalen zijn gebouwd.

De beschrijvende statistieken van de afhankelijke en onafhankelijke variabelen worden gepresenteerd in het hoofdstuk Resultaten.

Psychometrische analyse

De psychometrische kwaliteit van de vragenlijst is onderzocht door drie theoretische schalen te bouwen voor zowel funderend- als vervolgonderwijs: bewustwording, capaciteit en expertise.

Datavoorbereiding

Voor alle items van de schalen is het percentage missende waarden berekend en bij een te hoog percentage (>15%) is dit item verwijderd (q20_1). Vervolgens zijn items gehercodeerd zodat een hogere score consistent een hogere mate van het construct weergeeft. Daarna is per schaal een complete-case dataset samengesteld, waarbij alleen respondenten zonder ontbrekende waarden op de betreffende items zijn meegenomen.

Itemresponstheorie (IRT)

Voor elke schaal is een eendimensionaal graded response model (GRM) geschat. Dit model is geschikt voor ordinale antwoordcategorieën en veronderstelt één onderliggende latente dimensie. Met het model zijn itemparameters (disciminatie en moeilijkheid) en latente schaalscores (theta-scores) voor respondenten bepaald. Daarnaast zijn itemkarakteristieke curves geïnspecteerd ter beoordeling van het functioneren van de antwoordcategorieën.

Factoranalyse

Omdat de items ordinaal zijn en niet alle antwoordcategorieën ingevuld zijn, is gebruikgemaakt van polychorische correlaties. Op basis van de correlaties is per schaal een exploratieve factoranalyse uitgevoerd met één factor om de eendimensionaliteit te toetsen.

De resultaten voor de drie schalen zijn te zien in de onderstaande tabellen. Op basis van deze resultaten zijn per schaal items geselecteerd met factorladingen van ongeveer 0,4 of hoger (asterisk). Bij grensgevallen wordt inhoudelijk naar de stellingen gekeken en bepaald of ze worden geselecteerd.

Tabel factorladingen - schaal bewustwording

Itemnr Stelling Funderend onderwijs Vervolgonderwijs
q10_1 Digitale weerbaarheid is essentieel voor de bedrijfsvoering van besturen en scholen 0,46* 0,33
q10_2 In het algemeen maak ik mij zorgen over de digitale dreigingen vandaag de dag 0,20 0,06
q10_3 Digitale weerbaarheid staat hoog op de bestuursagenda 0,72* 0,59*
q10_4 Ik ben actief geïnteresseerd in de nieuwste ontwikkelingen op het gebied van digitale weerbaarheid in het onderwijs 0,65* 0,48*
q10_5 Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie 0,37* 0,39*
q10_14 Digitale weerbaarheid hoort een vast onderdeel te zijn van het professionaliseringsaanbod van schoolorganisaties 0,69* 0,16
q10_15 Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt 0,27 0,36
q15_1 Digitale weerbaarheid structureel opnemen in de begrotingsplannen is absoluut noodzakelijk 0,70* 0,25
q15_2 Ontwikkelingen op het gebied van digitale dreiging gaan sneller dan ik kan bijhouden 0,21 0,38*
q20_2 De vereisten (vanuit de NIS2-richtlijn) voor digitale weerbaarheid in het onderwijs zijn voor mij onoverzichtelijk 0,40* 0,25
q20_3 Ik kan de urgentie van digitale weerbaarheid in het onderwijs gemakkelijk uitleggen 0,40* 0,33

Tabel factorladingen - schaal capaciteit

It emnr Stelling
  • *Funderend o nderwijs**
Vervolgo nderwijs
q10_12 Er zijn onvoldoende middelen beschikbaar in onze organisatie om digitale weerbaarheid te waarborgen 0,42* 0,68*
q10_13 Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken 0,48* -0,01
q15_7 Onze organisatie beschikt over voldoende personeel en middelen om cyberaanvallen effectief tegen te gaan 0,46* 0,41*
q15_8 I(C)T-middelen worden nu (deels) uit eigen vermogen bekostigd 0,24 0,37*
q15_9 Ik zou willen dat ik meer tijd had om aan digitale weerbaarheid te besteden 0,48* -0,05
q15_10 Er wordt van bestuurders meer specialistische kennis van digitale weerbaarheid verwacht dan passend is bij hun rol 0,57* 0,20
q15_12 De vereisten om digitaal weerbaar te zijn/De vereisten vanuit de NIS2-richtlijn rondom digitale weerbaarheid, zijn op dit moment niet haalbaar voor onze organisatie 0,67* 0,43*
q20_9 De IBP-implementatie/De implementatie van de NIS2-richtlijn die van besturen wordt verwacht, is onrealistisch met de huidige (lumpsum)bekostiging 0,53* 0,49*
q20_10

Funderend: De inregeling van digitale weerbaarheid kost dermate veel tijd dat we aan beleidsevaluatie niet eens toekomen

Vervolg: Het continu verbeteren en uitbreiden van onze digitale weerbaarheid vraagt zoveel capaciteit dat de beleidsevaluatie in de knel komt

0,40* 0,54*
q20_11

Funderend: Ik ben blij dat digitale weerbaarheid één van de bestuurlijke verantwoordelijkheden is

Vervolg: Ik vind het vanzelfsprekend dat onze digitale weerbaarheid als bestuurlijke zorgplicht wettelijk verankerd wordt

0,34* 0,08
q20_13

Funderend: Om digitaal weerbaar te zijn, is het nodig dat het mandaat van IBP-functionarissen wordt uitgebreid

Vervolg: Onafhankelijk opereren is essentieel voor de CISO om digitale weerbaarheid beleidsmatig te borgen

0,19 0,04

Tabel factorladingen – schaal expertise

It emnr Stelling Funderend onderwijs Ve rvolgond erwijs
q10_6 Ik heb vertrouwen dat het onderwijs door kan blijven gaan in het geval van een cyberincident 0,06 0,00
q10_7 Om risico’s op tijd te ontdekken, is het nodig dat we de monitoring beter en/of regelmatiger uitvoeren 0,02 0,01
q10_8

Funderend: Het is aan de IBP-functionaris(sen) om het bestuur actief te betrekken bij wat er in de praktijk speelt

Vervolg: In de beleidsevaluatie is het (kritische) gevraagde en ongevraagde advies van de CISO leidend

0,03 0,45*
q10_9 Wijzigingen of herzieningen van het IBP-beleid worden altijd afgestemd tussen het bestuur en de IBP-functionaris/CISO 0,44* 0,63*
q10_10 De IBP-functionaris/CISO is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid 0,47* 0,56*
q10_11 Digitale weerbaarheid in het jaarplan opnemen is niet noodzakelijk -0,35 0,06
q15_3

Funderend: Ik heb wel eens wijzigingen/herzieningen doorgevoerd in het IBP-beleid

Vervolg: Ik heb actief bijgedragen aan het vaststellen of herzien van beleid voor digitale weerbaarheid op basis van risicoanalyses

0,45* 0,76*
q15_4 De IBP-functionaris(sen)/CISO(s) en het bestuur zijn het met elkaar eens over de doelstellingen voor digitale weerbaarheid 0,63* 0,68*
q15_5 Zonder actief gesprek tussen bestuur en IBP-functionaris(sen)/CISO(s) en periodieke rapportages is effectieve sturing op digitale weerbaarheid niet mogelijk 0,49* 0,55*
q15_6 De evaluatie van digitale weerbaarheid is bij ons een terugkerend en cyclisch verbeterproces 0,66* 0,55*
q15_11 De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid -0,20 -0,14
q15_13

Funderend: Zonder nulmeting en/of risicoanalyse kan er geen passend beleid worden gevormd op het gebied van digitale weerbaarheid

Vervolg: Audits en/of risicoanalyses hebben aantoonbaar invloed op ons beleid voor digitale weerbaarheid

0,12 0,63*
q15_14

Funderend: Een duidelijke visie op digitale weerbaarheid ontstaat en groeit door ervaring en evaluatie

Vervolg: Onze visie op digitale weerbaarheid wordt ontwikkeld en aangescherpt door ervaring, evaluatie en structurele risicoanalyses

0,22 0,56*
q15_15 Een jaarlijkse evaluatie waarin beleid en praktijk worden vergeleken, is voldoende voor het waarborgen van onze digitale weerbaarheid -0,21 -0,15
q20_4 Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen 0,45* 0,35*
q20_5

Funderend: De mate waarin ik op de hoogte ben van digitale weerbaarheid in de organisatie hangt sterk af van de IBP-functionaris(sen)

Vervolg: De CISO heeft alle ruimte om het bestuur proactief te adviseren over de digitale weerbaarheid van de organisatie

-0,14 0,26
q20_6 Ik weet welke stappen er ondernomen moeten worden bij een cyberincident 0,31 0,66*
q20_7

Funderend: Ik heb duidelijke verwachtingen van de IBP-functionaris(sen) als het gaat om het waarborgen van digitale weerbaarheid

Vervolg: De rol en verantwoordelijkheden van de CISO ten opzichte van het bestuur zijn duidelijk afgesproken en vastgelegd

0,51* 0,43*
q20_8 Risicoanalyses zijn een vast en terugkerend onderdeel van de management- of bestuu rsvergaderingen/beleidsevaluatie 0,35 0,25
q20_12

Funderend: De begroting voor digitale weerbaarheid kan het beste worden opgesteld door een IBP-functionaris

Vervolg: De CISO is primair verantwoordelijk voor de beleidsmatige onderbouwing van de begroting voor digitale weerbaarheid

0,10 0,01
q20_14

Funderend: De regelgeving omtrent cyberwetgeving (NIS2) is een gespreksonderwerp geweest tussen bestuur en IBP

Vervolg: De bestuurlijke verantwoordelijkheden en beleidsimplicaties van de NIS2-richtlijn zijn besproken tussen het bestuur en de CISO

0,28 0,47*

Betrouwbaarheid en schaalconstructie

Voor de geselecteerde items per schaal is de interne consistentie bepaald met een ordinale variant van Cronbach’s alpha, berekend op basis van de polychorische correlatiematrix. De betrouwbaarheid verschilde per schaal, zie tabel hieronder.

Tabel ordinale alpha’s

Schaal Funderend onderwijs Vervolgonderwijs
Bewustwording 0,81 0,73
Capaciteit 0,73 0,65
Expertise 0,81 0,88

Deze resultaten ondersteunen het gebruik van samengestelde schaalscores. Daarom zijn de geselecteerde items per schaal samengevoegd tot één score, berekend als gemiddelde score per respondent. Deze scores zijn meegenomen in de multipele regressieanalyses, beschreven in het hoofdstuk Resultaten.

Resultaten (kwantitatief)

Digitale weerbaarheid in het funderend onderwijs

Zicht op onderdelen van digitale weerbaarheid (deelvraag 1)

In Tabel 1 is te zien welke van de 23 onderdelen van digitale weerbaarheid onder de aandacht van bestuurders zijn geweest. Bestuurders konden meerdere antwoorden kiezen.

Tabel 1: Zicht op onderdelen van digitale weerbaarheid in het funderend onderwijs (n=97)
 n   % 
 Bepaling van beleid en strategie voor IBP  85  87,6 
 Bewustwording creëren  85  87,6 
 Omgaan met incidenten en datalekken (inrichting van incidentmanagement)  78  80,4 
 Planning/roadmap voor informatiebeveiliging  69  71,1 
 De MR is betrokken bij besluitvorming  59  60,8 
 In kaart brengen van informatiearchitectuur  53  54,6 
 Inrichten van een IBP-team met expertise  45  46,4 
 Vastlegging van beveiligingseisen en -maatregelen in een security baseline  44  45,4 
 Classificatie van systemen  24  24,7 
 Inrichting van patchmanagement  16  16,5 
 Beveiligingseisen voor digitale werkplekken en mobiele apparaten  80  82,5 
 Inrichting van identiteit- en toegangsbeheer  79  81,4 
 Opstellen van een back-up en herstelprocedures  67  69,1 
 Inrichten van leveranciersrisicomanagement  49  50,5 
 Inrichten van crisismanagement  43  44,3 
 Inrichting van bedrijfscontinuïteitsmanagement  32  33,0 
 Uitvoering van pentesten  22  22,7 
 Borging en delen kennis van medewerkers  69  71,1 
 Werving en screening van medewerkers  54  55,7 
 Inrichten van logging  46  47,4 
 Inrichten van digitaal sleutelbeheer  36  37,1 
 Classificatie van data  25  25,8 
 Inrichten van changemanagement  23  23,7 
 Geen van bovenstaande  1,0 

Implementatie van onderdelen van digitale weerbaarheid (deelvraag 1)

Vervolgens hebben bestuurders per onderdeel dat ze in de vorige vraag gekozen hebben, aangegeven in hoeverre dit/deze geïmplementeerd is/zijn; in het beleid, in de praktijk, zowel beleid als praktijk of dat er (nog) geen zicht op is, zie Tabel 2.

Tabel 2: Implementatie van onderdelen van digitale weerbaarheid in het funderend onderwijs (n=97)
 Beleid     Praktijk     Beleid + praktijk     Niet van toepassing     Nog geen zicht op     Totaal 
 n   %     n   %     n   %     n   %     n   %     n   % 
 Bepaling van beleid en strategie voor IBP  25  29,8    4,8    53  63,1    0,0    2,4    84  100,0 
 Bewustwording creëren  8,3    16  19,0    59  70,2    0,0    2,4    84  100,0 
 Beveiligingseisen voor digitale werkplekken en mobiele apparaten  2,5    12  15,2    60  75,9    1,3    5,1    79  100,0 
 Inrichting van identiteit- en toegangsbeheer  7,7    11  14,1    58  74,4    1,3    2,6    78  100,0 
 Planning/roadmap voor informatiebeveiliging  17  24,6    8,7    38  55,1    1,4    10,1    69  100,0 
 Borging en delen kennis van medewerkers  10,1    18  26,1    40  58,0    0,0    5,8    69  100,0 
 Opstellen van een back-up en herstelprocedures  7,6    17  25,8    40  60,6    0,0    6,1    66  100,0 
 Werving en screening van medewerkers  13,0    13,0    38  70,4    0,0    3,7    54  100,0 
 In kaart brengen van informatiearchitectuur  12  23,1    11,5    29  55,8    0,0    9,6    52  100,0 
 Inrichten van leveranciersrisicomanagement  12,5    8,3    31  64,6    2,1    12,5    48  100,0 
 Inrichten van logging  6,7    15,6    33  73,3    0,0    4,4    45  100,0 
 Inrichten van een IBP-team met expertise  11,4    9,1    35  79,5    0,0    0,0    44  100,0 
 Vastlegging van beveiligingseisen en -maatregelen in een security baseline  13  29,5    2,3    25  56,8    2,3    9,1    44  100,0 
 Inrichten van crisismanagement  20,9    20,9    21  48,8    2,3    7,0    43  100,0 
 Omgaan met incidenten en datalekken (inrichting van incidentmanagement)  12,8    5,1    31  79,5    0,0    2,6    39  100,0 
 De MR is betrokken bij besluitvorming  21,1    5,3    25  65,8    0,0    7,9    38  100,0 
 Inrichten van digitaal sleutelbeheer  17,1    17,1    21  60,0    0,0    5,7    35  100,0 
 Inrichting van bedrijfscontinuïteitsmanagement  25,0    12,5    14  43,8    3,1    15,6    32  100,0 
 Classificatie van systemen  37,5    4,2    12  50,0    0,0    8,3    24  100,0 
 Uitvoering van pentesten  9,1    9,1    15  68,2    0,0    13,6    22  100,0 
 Inrichten van changemanagement  22,7    18,2    40,9    0,0    18,2    22  100,0 
 Inrichting van patchmanagement  25,0    18,8    43,8    0,0    12,5    16  100,0 

Organisatie van digitale weerbaarheid

In Tabel 3 is weergegeven hoeveel procent van hun werktijd bestuurders gemiddeld aan digitale weerbaarheid besteden. Bestuurders beantwoordden deze vraag op een schaal van 0% tot 100%.

Tabel 3: Hoeveel procent van uw werktijd besteedt u gemiddeld aan digitale weerbaarheid?
 Totaal 
 Gem.   SD   Min.   Max.   n 
 Po  6,5  4,6  1,0  20,0  70 
 So  9,7  6,8  2,0  20,0 
 Vo  7,6  4,3  1,0  16,0  20 
 Totaal  7,0  4,8  1,0  20,0  97 

Veel bestuurders gaven aan dat er binnen hun bestuur medewerkers in dienst zijn die (de inregeling van) digitale weerbaarheid in hun takenpakket hebben én daarvoor zijn toegerust, zie Tabel 4.

Tabel 4: Zijn er binnen uw bestuur medewerkers in dienst die (de inregeling van) digitale weerbaarheid in hun takenpakket hebben én daarvoor zijn toegerust?
 n   % 
 Ja  78  80,4 
 Nee  11  11,3 
 Anders, namelijk...  8,2 
 Totaal  97  100,0 

Daarnaast gaven bestuurders aan hoe digitale weerbaarheid is georganiseerd. Ze konden meerdere antwoorden kiezen, zie Tabel 5.

Tabel 5: Hoe is digitale weerbaarheid georganiseerd?
 n   % 
 (Deels) op bestuursniveau  85  87,6 
 (Deels) op schoolniveau  75  77,3 
 (Deels) uitbesteed aan commerciële partij(en)  61  62,9 
 (Deels) op niveau van het samenwerkingsverband  15  15,5 
 Geen van bovenstaande  0,0 
 Totaal  97  100,0 

In Tabel 6 is te zien waar bestuurders lid van zijn, meerdere antwoorden konden gekozen worden.

Tabel 6: Bent u lid van één of meer van onderstaande?
 n   % 
 PO-Raad of VO-raad  88  90,7 
 SIVON  42  43,3 
 BIC-Netwerk (bijv. Kennisgroep ICT, Samen Deskundiger)  9,3 
 Geen van bovenstaande  9,3 
 Totaal  97  100,0 

In Tabel 7 is weergegeven op welke manier bestuurders wel eens kennis vergaard hebben omtrent digitale weerbaarheid in het onderwijs. Bestuurders konden meerdere antwoorden kiezen.

Tabel 7: Heeft u wel eens kennis vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meer van onderstaande?
 n   % 
 Kennisnet tools (bijv. Ambitiewijzer, Techwijzer)  41  42,3 
 Digitaal Veilig Onderwijs ondersteuning (bijv. Groeipad en Normenkader IBP)  40  41,2 
 Kennisnet diensten (bijv. SchoolCERT in samenwerking met SIVON, FORA)  37  38,1 
 SIVON diensten (bijv. Deep Dive workshop, Network as a Service)  35  36,1 
 Kennisnet Netwerkbijeenkomsten (fysiek of online)  32  33,0 
 Masterclasses/leertrajecten van PO-Raad of VO-raad  19  19,6 
 Generieke trainingen in digitale weerbaarheid  17  17,5 
 Geen van bovenstaande  15  15,5 
 Centrum Informatiebeveiliging en Privacy (CIP)  3,1 
 Edu-v werkgroep, focusgroep en/of klankbordgroep  2,1 
 Totaal  97  100,0 

Sturing op strategisch, tactisch en operationeel niveau (deelvraag 2)

In Tabel 8 wordt weergegeven in hoeverre bestuurders het (on)eens zijn met stellingen met betrekking tot digitale weerbaarheid. Dit betreft alleen de bestuurders van scholen waar óók een IBP’er de vragenlijst heeft ingevuld. Ook is weergegeven hoe vaak er overeenstemming was tussen de bestuurder en IBP’er. Ze konden de stellingen beoordelen op een schaal van 1 (helemaal oneens) tot 5 (helemaal eens). Voor het analyseren van deze vraag zijn 1 (helemaal eens) en 2 (eens), en 4 (oneens) en 5 (helemaal oneens) samengevoegd.

Tabel 8: Sturing op digitale weerbaarheid in het funderend onderwijs (n = 43)
Stelling Bestuur eens (%) Bestuur en IBP'er eens (%) Bestuur oneens (%) Bestuur en IBP'er oneens (%)
Digitale weerbaarheid is essentieel voor de bedrijfsvoering van besturen en scholen 86,0 79,1 4,7 0,0
Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie 55,8 46,5 25,6 4,7
Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken 20,9 4,7 46,5 23,3
De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid 19,5 2,4 61,0 39,0
Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt 14,0 4,7 67,4 55,8
Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen 81,4 65,1 2,3 0,0
De mate waarin ik op de hoogte ben van digitale weerbaarheid in de organisatie hangt sterk af van de IBP-functionaris(sen) 73,8 57,1 9,5 0,0
Ik heb duidelijke verwachtingen van de IBP-functionaris(sen) als het gaat om het waarborgen van digitale weerbaarheid 82,9 56,1 0,0 0,0
De IBP-functionaris is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid 66,7 57,1 7,1 2,4
Ik weet welke stappen er ondernomen moeten worden bij een cyberincident 65,1 32,6 14,0 4,7

Digitale weerbaarheid in het vervolgonderwijs

Inbedding informatiebeveiliging (deelvraag 1)

Bestuurders hebben aangegeven in hoeverre een tiental maatregelen met betrekking tot informatieveiligheid en privacy binnen hun instelling zijn geïmplementeerd: niet, gedeeltelijk, formeel vastgelegd, vastgelegd én toegepast, of toegepast én geëvalueerd, zie Tabel 9.

Tabel 9: Inbedding informatiebeveiliging in het vervolgonderwijs (n=79)
 Niet     Gedeeltelijk     Formeel vastgelegd     Vastgelegd en toegepast     Toegepast en geevalueerd     Weet ik niet     Totaal 
 n   %     n   %     n   %     n   %     n   %     n   %     n   % 
 Contactpersonen en verantwoordelijkheden vastgelegd m.b.t. crisissituaties  0,0    8,9    11,4    26  32,9    37  46,8    0,0    79  100,0 
 Samenwerking- en communicatieplan voor crisissituaties  1,3    10  12,7    11  13,9    19  24,1    37  46,8    1,3    79  100,0 
 Interne/externe audits  0,0    8,9    11,4    26  32,9    37  46,8    0,0    79  100,0 
 Methoden, procedures en mandaten voor cyberincidenten  0,0    18  22,8    11  13,9    24  30,4    26  32,9    0,0    79  100,0 
 Overleg CISO/CIO/Directeur IT en bestuur over digitale veiligheid en risicobeheersing  1,3    14  17,7    7,6    35  44,3    23  29,1    0,0    79  100,0 
 Crisis- of calamiteitenplan voor digitale incidenten  5,1    12  15,2    16  20,3    24  30,4    21  26,6    2,5    79  100,0 
 Risicoanalyse m.b.t. digitale dreigementen en kwetsbaarheden  2,5    16  20,3    16  20,3    25  31,6    19  24,1    1,3    79  100,0 
 Risicoregister  8,9    17  21,5    10  12,7    21  26,6    15  19,0    11,4    79  100,0 
 Dreigingsrapoprtage delen ten einde vergroten van bewustwording  5,1    21  26,6    11,4    24  30,4    12  15,2    11,4    79  100,0 
 Informatiebeveiligingsketen/beveiligingsafspraken  3,8    16  20,3    17  21,5    22  27,8    12  15,2    11,4    79  100,0 

Organisatie van digitale weerbaarheid

In Tabel 10 is weergegeven hoeveel procent van hun werktijd bestuurders gemiddeld aan digitale weerbaarheid besteden. Bestuurders beantwoordden deze vraag op een schaal van 0% tot 100%.

Tabel 10: Hoeveel procent van uw werktijd besteedt u gemiddeld aan digitale weerbaarheid?
 Totaal 
 Gem.   SD   Min.   Max.   n 
 Ho  7,8  5,8  2,0  33,0  44 
 Mbo  6,4  5,2  1,0  25,0  35 
 Totaal  7,2  5,5  1,0  33,0  79 

In Tabel 11 is te zien waar bestuurders lid van zijn, meerdere antwoorden konden gekozen worden.

Tabel 11: Bent u lid van één of meer van onderstaande?
 n   % 
 Ho 
   Koepels hoger onderwijs (VH, UNL)  40  90,9 
   SURF CIO Raad  9,1 
   Geen van bovenstaande  6,8 
   SIVON  2,3 
   SCIPR/SCIRT  2,3 
   PO-Raad of VO-raad  2,3 
   MBO Netwerk IBP  0,0 
   BIC  0,0 
   MBO Raad  0,0 
   Totaal  44  100,0 
 Mbo 
   MBO Raad  34  97,1 
   MBO Netwerk IBP  25,7 
   SURF CIO Raad  22,9 
   SIVON  17,1 
   PO-Raad of VO-raad  17,1 
   SCIPR/SCIRT  5,7 
   Geen van bovenstaande  2,9 
   Koepels hoger onderwijs (VH, UNL)  0,0 
   BIC  0,0 
   Totaal  35  100,0 
 Totaal 
   Koepels hoger onderwijs (VH, UNL)  40  50,6 
   MBO Raad  34  43,0 
   SURF CIO Raad  12  15,2 
   MBO Netwerk IBP  11,4 
   SIVON  8,9 
   PO-Raad of VO-raad  8,9 
   Geen van bovenstaande  5,1 
   SCIPR/SCIRT  3,8 
   BIC  0,0 
   Totaal  79  100,0 

In Tabel 12 is weergegeven op welke manier bestuurders wel eens kennis vergaard hebben omtrent digitale weerbaarheid in het onderwijs. Bestuurders konden meerdere antwoorden kiezen.

Tabel 12: Heeft u wel eens kennis vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meer van onderstaande?
 n   % 
 SURF diensten (bijv. SURFacademy, SURFcert, Cybersave yourself, OZON/NOZON)  64  81,0 
 Generieke trainingen in digitale weerbaarheid  50  63,3 
 Kennisnet diensten (bijv. SchoolCERT in samenwerking met SIVON, FORA)  11,4 
 Geen van bovenstaande  8,9 
 Kennisnet diensten (bijv. Tabletop-oefening)  6,3 
 Edu-v werkgroep, focusgroep en/of klankbordgroep  6,3 
 SIVON diensten (bijv. Deep Dive workshop, Network as a Service)  2,5 
 Centrum Informatiebeveiliging en Privacy (CIP) diensten (bijv. ransomeware game)  2,5 
 Totaal  79  100,0 

Sturing op strategisch, tactisch en operationeel niveau (deelvraag 2)

In Tabel 13 wordt weergegeven in hoeverre bestuurders het (on)eens zijn met stellingen met betrekking tot digitale weerbaarheid. Dit betreft alleen de bestuurders van scholen waar óók een CISO de vragenlijst heeft ingevuld. Ook is weergegeven hoe vaak er overeenstemming was tussen de bestuurder en CISO. Ze konden de stellingen beoordelen op een schaal van 1 (helemaal oneens) tot 5 (helemaal eens). Voor het analyseren van deze vraag zijn 1 (helemaal eens) en 2 (eens), en 4 (oneens) en 5 (helemaal oneens) samengevoegd.

Tabel 13: Sturing op digitale weerbaarheid in het vervolgonderwijs (n = 73)
Stelling CvB eens (%) CvB en CISO eens (%) CvB oneens (%) CvB en CISO oneens (%)
Digitale weerbaarheid is een integraal onderdeel van alle primaire processen van de onderwijsinstelling 61,1 51,4 20,8 5,6
Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie 47,1 35,7 38,6 12,9
Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken 11,8 1,5 48,5 23,5
De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid 10,9 6,3 79,7 42,2
Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt 1,4 0,0 98,6 77,8
Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen 90,3 73,6 1,4 0,0
De CISO heeft alle ruimte om het bestuur proactief te adviseren over de digitale weerbaarheid van de organisatie 100,0 84,7 0,0 0,0
De rol en verantwoordelijkheden van de CISO ten opzichte van het bestuur zijn duidelijk afgesproken en vastgelegd 80,6 55,6 2,8 2,8
De CISO is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid 76,4 61,1 1,4 1,4
Ik weet welke stappen er ondernomen moeten worden bij een cyberincident 82,9 62,9 4,3 1,4

Hoe verschillen besturen in het waarborgen van digitale weerbaarheid? (deelvraag 3)

Beschrijvende statistieken

Funderend onderwijs

Tabel 14: Beschrijvende statistieken afhankelijke variabelen funderend onderwijs
 Totaal 
 Gem.   SD   Min.   Max.   n 
 Zicht op digitale weerbaarheid (checklist)  12,2  4,9  0,0  21,0  97 
 Schaalscore bewust  3,5  0,5  2,0  4,8  97 
 Schaalscore capaciteit  2,9  0,5  1,6  4,3  97 
 Schaalscore expertise  3,8  0,5  2,7  4,9  97 
Tabel 15: Aantal objecten van toezicht (ovt’s) per bestuur
 Totaal 
 Gem.  10,6 
 SD  9,8 
 Min.  1,0 
 Max.  53,0 
 n  97 
Tabel 16: Regio
 n   % 
 Midden  48  49,5 
 Noord  12  12,4 
 Oost  24  24,7 
 Zuid  13  13,4 
 Totaal  97  100,0 
Tabel 17: Tot welke leeftijdscategorie behoort u?
 n   % 
 25 tot 35 jaar oud  1,0 
 35 tot 45 jaar oud  16  16,5 
 45 tot 55 jaar oud  33  34,0 
 55 tot 65 jaar oud  39  40,2 
 65 tot 75 jaar oud  8,2 
 Totaal  97  100,0 
Tabel 18: Hoeveel jaren ervaring heeft u als bestuurder in het onderwijs?
 n   % 
 Minder dan 1 jaar  4,1 
 1 tot 5 jaar  37  38,1 
 5 tot 10 jaar  25  25,8 
 10 tot 15 jaar  18  18,6 
 15 tot 20 jaar  5,2 
 20 tot 25 jaar  2,1 
 Meer dan 25 jaar  6,2 
 Totaal  97  100,0 
Tabel 19: Is digitale weerbaarheid eerder in uw loopbaan onderdeel geweest van uw takenpakket of portefeuille?
 n   % 
 Ja  46  47,4 
 Nee  51  52,6 
 Totaal  97  100,0 
Tabel 20: Bent u lid van één of meer van onderstaande?
 n   % 
 Geen van bovenstaande óf alleen PO-Raad of VO-raad  52  53,6 
 PO-Raad of VO-raad én SIVON en/of BIC-Netwerk  45  46 
 Totaal  97  100,0 
Tabel 21: Heeft u wel eens kennis vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meer van onderstaande? (9 activiteiten)
 Totaal 
 Gem.  2,3 
 SD  1,6 
 Min.  0,0 
 Max.  6,0 
 n  97 
Tabel 22: Heeft u affiniteit met het onderwerp digitale weerbaarheid? (schaal van 0 (geen) tot 10 (veel))
 Totaal 
 Gem.  5,5 
 SD  2,2 
 Min.  0,0 
 Max.  10,0 
 n  97 
Tabel 23: Is de informatiearchitectuur momenteel kwetsbaar voor een cyberaanval? (schaal van 0 (niet) tot 10 (zeer))
 Totaal 
 Gem.  4,2 
 SD  1,8 
 Min.  0,0 
 Max.  9,0 
 n  96 
Tabel 24: Voelt u zich comfortabel met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid? (schaal van 0 (niet) tot 10 (zeer))
 Totaal 
 Gem.  5,3 
 SD  2,3 
 Min.  0,0 
 Max.  10,0 
 n  97 
Tabel 25: Heeft u ooit ervaring opgedaan met één of meer van de onderstaande ICT-incidenten?
 n   % 
 Alleen interne ICT-incident(en)  44  61,1 
 Externe ICT-incident(en) (evt. ook intern)  28  38,9 
 Totaal  72  100,0 

Vervolgonderwijs

Tabel 26: Beschrijvende statistieken afhankelijke variabelen vervolgonderwijs
 Totaal 
 Gem.   SD   Min.   Max.   n 
 Waarborgen van digitale weerbaarheid (checklist)  9,3  1,2  5,0  10,0  80 
 Schaalscore bewust  3,4  0,5  2,3  4,8  80 
 Schaalscore capaciteit  2,5  0,6  1,3  4,2  80 
 Schaalscore expertise  4,0  0,4  2,8  4,9  80 

In Tabel 27 is te zien hoeveel grote en kleine besturen er deelnamen. Bestuursgrootte is in het vervolgonderwijs gemeten aan de hand van organisatiecomplexiteit. Voor het mbo betekent dit dat een bestuur als groot wordt gedefinieerd indien het een multi-sector is en klein indien het een mono-sector is. Voor het ho is organisatiecomplexiteit gemeten aan de hand van het aantal subsectoren. De mediaan van het aantal subsectoren is 11, dus bij 11 of minder subsectoren wordt het gezien als een klein bestuur, en bij 12 of meer als een groot bestuur.

Tabel 27: Bestuursgrootte
 n   % 
 Klein bestuur  38  48,1 
 Groot bestuur  41  51,9 
 Totaal  79  100,0 
Tabel 28: Regio
 n   % 
 Midden  39  49,4 
 Noord  8,9 
 Oost  19  24,1 
 Zuid  14  17,7 
 Totaal  79  100,0 
Tabel 29: Tot welke leeftijdscategorie behoort u?
 n   % 
 35 tot 45 jaar oud  6,3 
 45 tot 55 jaar oud  25  31,3 
 55 tot 65 jaar oud  45  56,3 
 65 tot 75 jaar oud  6,3 
 Totaal  80  100,0 
Tabel 30: Hoeveel jaren ervaring heeft u als bestuurder in het onderwijs?
 n   % 
 Minder dan 1 jaar  8,8 
 1 tot 5 jaar  29  36,3 
 5 tot 10 jaar  25  31,3 
 10 tot 15 jaar  11,3 
 15 tot 20 jaar  7,5 
 20 tot 25 jaar  5,0 
 Totaal  80  100,0 
Tabel 31: Is digitale weerbaarheid eerder in uw loopbaan onderdeel geweest van uw takenpakket of portefeuille?
 n   % 
 Ja  52  65,0 
 Nee  28  35,0 
 Totaal  80  100,0 
Tabel 32: Bent u lid van één of meer van onderstaande?
 n   % 
 Geen van bovenstaande óf alleen Koepels/PO-Raad of VO-raad/MBO Raad  61  76,3 
 Lidmaatschap SIVON/MBO IBP/BIC/SURF CIO Raad/SCIPR/SCIRT (en evt. Koepels/PO-Raad/VO-raad/MBO Raad)  19  23,8 
 Totaal  80  100,0 
Tabel 33: Heeft u wel eens kennis vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meer van onderstaande? (7 activiteiten)
 Totaal 
 Gem.  1,7 
 SD  1,0 
 Min.  0,0 
 Max.  4,0 
 n  80 
Tabel 34: Heeft u affiniteit met het onderwerp digitale weerbaarheid? (schaal van 0 (geen) tot 10 (veel))
 Totaal 
 Gem.  6,8 
 SD  1,8 
 Min.  0,3 
 Max.  9,9 
 n  80 
Tabel 35: Is de informatiearchitectuur momenteel kwetsbaar voor een cyberaanval? (schaal van 0 (niet) tot 10 (zeer))
 Totaal 
 Gem.  4,7 
 SD  1,9 
 Min.  0,2 
 Max.  9,8 
 n  77 
Tabel 36: Voelt u zich comfortabel met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid? (schaal van 0 (niet) tot 10 (zeer))
 Totaal 
 Gem.  6,6 
 SD  1,8 
 Min.  1,1 
 Max.  9,7 
 n  80 
Tabel 37: Heeft u ooit ervaring opgedaan met één of meer van de onderstaande ICT-incidenten?
 n   % 
 Alleen interne ICT-incident(en)  23  31,5 
 Externe ICT-incident(en) (evt. ook intern)  50  68,5 
 Totaal  73  100,0 

Verschillen tussen besturen

Funderend onderwijs

In Tabel 38 zijn de resultaten van de regressieanalyses voor funderend onderwijs te zien.

Een hogere mate van zicht op maatregelen die digitale weerbaarheid waarborgen hangt significant samen met 1) een hoger aantal activiteiten waaraan is deelgenomen met als doel kennis vergaren, 2) eerdere ervaring met digitale weerbaarheid in takenpakket/portefeuille van bestuurder, en 3) jongere bestuurders.

Een hogere mate van bewustwording hangt significant samen met 1) grotere besturen, 2) een hoger aantal activiteiten waaraan is deelgenomen met als doel kennis vergaren, en 3) meer affiniteit met het onderwerp digitale weerbaarheid.

Een hogere mate van capaciteit hangt significant samen met 1) grotere besturen en 2) grotere mate van comfort met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid.

Een hogere mate van expertise hangt significant samen met 1) lidmaatschap van SIVON/BIC náást lidmaatschap van PO/VO-Raad, 2) een hoger aantal activiteiten waaraan is deelgenomen met als doel kennis vergaren, en 3) eerdere ervaring met digitale weerbaarheid in takenpakket/portefeuille van bestuurder.

Tabel 38: Regressieanalyses funderend onderwijs
Model zicht op digitale weerbaarheid Model bewust Model capaciteit Model expertise
(Intercept) 13,9 *** 3,0 *** 2,5 *** 3,7 ***
(3,3) (0,3) (0,4) (0,3)
Aantal objecten van toezicht (ovt's) per bestuur -0,0 0,0 * 0,0 ** 0,0
(0,1) (0,0) (0,0) (0,0)
SIVON en/of BIC Netwerk lidmaatschap náást lid van PO/VO-raad 1 0 -0 0 *
(1,1) (0,1) (0,1) (0,1)
Aantal kennisvergrotende activiteiten 1,0 ** 0,1 * -0,1 0,1 *
(0,3) (0,0) (0,0) (0,0)
Regio noord 2,9 -0,0 -0,3 -0,1
(1,6) (0,2) (0,2) (0,2)
Regio oost 0,5 -0,2 0,1 -0,1
(1,2) (0,1) (0,1) (0,1)
Regio zuid 2,1 -0,0 -0,1 0,1
(1,5) (0,1) (0,2) (0,2)
Digitale weerbaarheid eerder in loopbaan in takenpakket/portefeuille -2,3 * -0,2 0,1 -0,2 *
(1,1) (0,1) (0,1) (0,1)
Leeftijdscategorie -1,4 * -0,1 -0,0 0,0
(0,7) (0,1) (0,1) (0,1)
Jaren ervaring als bestuurder categorie 0,6 -0,0 -0,0 -0,0
(0,4) (0,0) (0,0) (0,0)
Affiniteit met digitale weerbaarheid 0,3 0,1 * 0,0 0,0
(0,3) (0,0) (0,0) (0,0)
Kwetsbare informatiearchitectuur -0,4 0,0 -0,0 -0,0
(0,3) (0,0) (0,0) (0,0)
Comfortabel met verantwoordelijkheid digitale weerbaarheid -0,2 0,0 0,1 *** 0,0
(0,2) (0,0) (0,0) (0,0)
Extern ICT-incident meegemaakt 1,0 0,2 0,1 -0,1
(1,1) (0,1) (0,1) (0,1)
N 72 72 72 72
*** p < 0,001; ** p < 0,01; * p < 0,05.

Vervolgonderwijs

In Tabel 39 zijn de resultaten van de regressieanalyses voor vervolgonderwijs te zien.

Een hogere mate van waarborgen van digitale weerbaarheid hangt significant samen met 1) grote besturen en 2) meer affinitiet met het onderwerp digitale weerbaarheid.

Een hogere mate van bewustwording hangt significant samen met 1) grote besturen, 2) meer affiniteit met het onderwerp digitale weerbaarheid en 3) grotere mate van comfort met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid.

Een hogere mate van capaciteit hangt significant samen met 1) regio noord en 2) een grotere mate van comfort met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid.

Een hogere mate van expertise hangt significant samen met meer affiniteit met het onderwerp digitale weerbaarheid.

Tabel 39: Regressieanalyses vervolgonderwijs
Model waarborgen van digitale weerbaarheid Model bewust Model capaciteit Model expertise
(Intercept) 6,4 *** 1,9 *** 1,5 * 3,4 ***
(1,4) (0,5) (0,7) (0,4)
Bestuursgrootte 0,7 * 0,2 * 0,1 0,2
(0,3) (0,1) (0,2) (0,1)
Lidmaatschap SIVON/MBO IBP/BIC/SURF CIO Raad/SCIPR/SCIRT -0,1 0,0 -0,0 0,1
(0,3) (0,1) (0,2) (0,1)
Regio noord -0,3 0,0 0,6 * 0,0
(0,5) (0,2) (0,2) (0,2)
Regio oost 0,0 0,1 0,3 -0,2
(0,4) (0,1) (0,2) (0,1)
Regio zuid 0,1 0,2 0,1 0,1
(0,4) (0,1) (0,2) (0,1)
Digitale weerbaarheid eerder in loopbaan in takenpakket/portefeuille 0,4 0,1 0,2 0,1
(0,3) (0,1) (0,2) (0,1)
Aantal kennisvergrotende activiteiten 0,3 -0,0 -0,0 0,0
(0,2) (0,1) (0,1) (0,1)
Leeftijdscategorie 0,1 -0,2 0,0 -0,1
(0,2) (0,1) (0,1) (0,1)
Jaren ervaring als bestuurder categorie -0,1 0,0 -0,1 0,0
(0,1) (0,0) (0,1) (0,0)
Affiniteit met digitale weerbaarheid 0,2 * 0,2 *** 0,0 0,1 *
(0,1) (0,0) (0,0) (0,0)
Kwetsbare informatiearchitectuur -0,0 0,0 0,0 0,0
(0,1) (0,0) (0,0) (0,0)
Comfortabel met verantwoordelijkheid digitale weerbaarheid 0,1 0,1 ** 0,1 ** 0,0
(0,1) (0,0) (0,0) (0,0)
Extern ICT-incident meegemaakt -0,4 -0,1 -0,1 -0,0
(0,3) (0,1) (0,2) (0,1)
N 71 71 71 71
*** p < 0,001; ** p < 0,01; * p < 0,05.

Onderzoeksopzet (kwalitatief)

Het kwalitatieve onderzoek beantwoordt de deelvragen:

  1. Welke factoren helpen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?

  2. Welke factoren belemmeren besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?

Hiervoor hebben we semigestructureerde interviews afgenomen en een thematische analyse uitgevoerd.

Steekproefopzet

Besturen

In totaal hebben we 25 school- en instellingsbesturen geïnterviewd. Omdat besturen in het vervolgonderwijs (mbo, hbo en wo) doorgaans verder gevorderd zijn op het gebied van digitale weerbaarheid dan besturen in het funderend onderwijs (po, vo en so), kozen we ervoor om de interviewverdeling daarop te baseren. Zodoende namen we 13 interviews af bij besturen binnen het funderend onderwijs (5 bij po, 4 bij vo en 4 bij so) en 12 bij besturen binnen het vervolgonderwijs (5 bij mbo, 3 bij hbo en 4 bij wo).

Voor de interviewsteekproef baseerden wij ons op de geselecteerde besturen voor de vragenlijst (zie Onderzoeksopzet Kwantitatief). Binnen deze groep voerden we vervolgens een gestratificeerde doelgerichte steekproef uit. Dit verwijst naar de toepassing van selectiecriteria binnen de alvorens genoemde sectorselecties, met als doel om de variatie tussen de geselecteerde besturen te waarborgen (Patton, 2002). De gehanteerde selectiecriteria zijn:

  • Variatie in bestuursgrootte;

  • minimaal één multisectoraal bestuur per sector (po, so, vo en mbo);

  • minimaal twee besturen per sector die in hun 2023 jaarverslag een cyberincident1 rapporteerden;

  • minimaal één technische en één niet-technische universiteit.

Bestuursgrootte en organisatiecomplexiteit kwamen uit de Monitor Digitale Weerbaarheid en Veiligheid (Inspectie van het Onderwijs, 2025a)2 naar voren als relevante criteria. De Monitor toonde aan dat zowel grotere besturen als multisector besturen zich vaker in hun jaarverslag verantwoorden over digitale weerbaarheid en veiligheid dan kleinere en monosector besturen. Dit patroon is te zien binnen alle sectoren (Inspectie van het Onderwijs, 2025a, p. 1).

Wij operationaliseerden bestuursgrootte voor po, vo en so als het aantal objecten van toezicht (ovt) dat onder een bestuur valt. Hierbij hanteerden we de indeling: 1 ovt = eenpitter, 2-10 ovt = klein, 11-25 ovt = midden, en meer dan 26 ovt = groot. Bij po, vo en so includeerden we, indien mogelijk, één bestuur per grootte. Het 5e po bestuur was van willekeurige grootte. We hanteerden dezelfde operationalisering van bestuursgrootte in het mbo en ho als bij de vragenlijst (zie Vervolgonderwijs). Daarnaast hielden we in het mbo rekening met de variatie tussen beroepscolleges en regionale opleidingscentra. Binnen het mbo interviewden we 2 multisector besturen en 3 monosector besturen. Binnen het ho interviewden we 4 kleine besturen en 3 grote besturen. Tevens wilden we minimaal één technische universiteit in de steekproef includeren, met de aanname dat zij een unieke invalshoek bieden met betrekking tot digitale weerbaarheid ten opzichte van een niet-technische universiteit.

Tot slot wilden we de inclusie van besturen garanderen die op de hoogte waren van een voorgedane cyberincident. Hiervoor maakten we gebruik van de dataset van de Monitor Digitale Weerbaarheid en Veiligheid 2025. Deze dataset verschafte informatie omtrent besturen die in hun 2023 jaarverslag een cyberincident rapporteerde. Wij zochten per sector variatie in besturen die wel en geen incident gerapporteerd hadden.

Binnen de hierboven beschreven selectiecriteria hebben we elk bestuur geselecteerd met behulp van de randomisatiefunctie in Excel.

Participanten

Per bestuur verzochten we om 2 personen te interviewen: een lid van het College van Bestuur (CvB) met digitale weerbaarheid of een verwant onderwerp in diens portefeuille, en een medewerker die verantwoordelijk is voor de informatiebeveiliging en privacy (IBP). In de praktijk bekleedden de door de besturen geselecteerde IBP-interviewparticipanten uiteenlopende functietitels, waaronder chief information security officer (CISO), information security officer (ISO), hoofd-IT en beleidsmedewerker IBP. Ook spraken we enkele personen in functies met meer afstand tot informatiebeveiliging, zoals een i-coach en functionarissen gegevensbescherming. In het publieksrapport en het technisch rapport verwijzen we naar al deze participanten gezamenlijk als IBP-functionarissen. Tegelijkertijd is het functieverschil tussen bijvoorbeeld een CISO en een i-coach groot; hier is tijdens de data-analyse rekening mee gehouden. Ook is voor elk citaat in het rapport gecontroleerd of de aanduiding ‘IBP-functionaris’ een passend functiepseudoniem was, en indien niet, is dit aangepast.

In totaal hebben we 67 personen geïnterviewd: 29 in de rol van bestuurslid3 en 38 in de rol van IBP-functionaris of een overige functie. Bij 10 van de 25 interviews namen uiteindelijk meer dan 2 en maximaal 4 participanten deel aan het gesprek. Tijdens één interview was het bestuurslid onverhoopt afwezig, diens plek werd ingenomen door een tweede IBP-functionaris.

Dataverzameling

De dataverzameling vond plaats van september 2025 tot en met november 2025. In totaal waren 9 projectteamleden betrokken bij de dataverzameling. De interviews werden afgenomen in tweetallen van een wetenschappelijk medewerker en een inspecteur van de desbetreffende sector. De meerderheid van de interviews vonden fysiek plaats, 4 interviews met vo-besturen vonden digitaal plaats. De interviewduur varieerde van 60 tot 90 minuten. De audio van alle interviews zijn, met toestemming van de participanten, opgenomen en vervolgens getranscribeerd door de transcribeerdienst Amberscript. Persoons-, instellings-, school- en bestuursnamen zijn verwijderd uit de transcripten. Alle besturen zijn voorzien van een pseudoniem (bijv.: “PO1” en “MBO5”). De audio-opnames zijn vernietigd na voltooiing van het rapport.

De interviews waren semigestructureerd, waarbij we gebruik maakten van drie verschillende topiclijsten afgestemd op funderend onderwijs, mbo en ho (zie Bijlage II). De topics waren geïnformeerd door de literatuur en bestonden uit: (1) bestuur en organisatie (2) capaciteit (3) expertise (4) beleid en ontwikkeling (5) praktijk en (6) toekomst. De topiclijsten van mbo en ho wijken af van de topiclijst voor funderend onderwijs, doordat deze een extra vraag bevatten over de NIS2-richtlijn. Na elk interview maakten de interviewers analytische memo’s ter reflectie op het interview en om eerste inzichten vast te leggen (zie Kwaliteit van het onderzoek).

Data-analyse

Voor de kwalitatieve data-analyse van de 25 interviewtranscripten voerden we een thematische analyse uit geïnformeerd door Braun en Clarke (2006). Daarbij richtten we ons op de identificatie, analyse en rapportage van overkoepelende thema’s binnen de dataset (Braun & Clarke, 2006, p. 79). Het codeerproces proces omvat het organiseren van de data door tekstuele codes te creëren en toe te kennen aan tekstfragmenten. Deze codes zijn vervolgens gegroepeerd tot betekenisvolle thema’s die een relevant aspect van de data in relatie tot deelvragen 4 en 5 benadrukken, en verschillende patronen binnen de dataset weergeven (Braun & Clarke, 2006, p. 82).

Drie wetenschappelijk medewerkers en één inspecteur waren betrokken in de uitvoering van de kwalitatieve analyse. Allen waren ook betrokken bij de dataverzameling. De meerderheid van de interviews, 24, zijn gecodeerd door de wetenschappelijk medewerkers. Voor het coderen gebruikten we de kwalitatieve data-analyse software NVivo (versie 14 en 15). De analyse vond plaats van eind november 2025 tot en met februari 2026.

Codeerproces

Gedurende de analyse hanteerden we een gerichte doch inductieve analysestrategie. Deelvragen 4 en 5 bakenden het focusgebied van de analyse af, namelijk helpende en belemmerende factoren met betrekking tot digitale weerbaarheidswaarborging door onderwijsbesturen. Daarbovenop werkten we met vooraf opgestelde codegroepen: capaciteit, expertise, bewustwording, ketenafhankelijkheid, samenwerkingen en de rol van de inspectie. Deze groepen waren gebaseerd op het theoretisch kader, de topiclijst, onze interviewindrukken en de analytische memo’s. Op basis daarvan anticipeerden we deze onderwerpen in de dataset aan te treffen. Codes die daarbuiten vielen, plaatsten we in de codegroep ‘Overig’. Per codegroep (met uitzondering van ‘rol inspectie’) codeerden we helpende factoren en belemmerende factoren.

We hanteerden een inductieve codeerstrategie. Dat houdt in dat we codes creëerden op basis van de interviewdata, en niet louter op basis van theoretische inzichten. Deze openheid vereist flexibiliteit, wat we waarborgden door de toevoegingen van de ‘overig’ (sub)codegroepen. Deze ‘overig’ groepen waren bedoeld voor codes die de we als relevant beschouwden, maar die afweken van de vooraf gecreëerde inhoudelijke groepen.

Tijdens de eerste codeerronde zijn er in totaal 7 transcripten gecodeerd, waarbij elke onderwijssector minimaal één keer gerepresenteerd was. Vervolgens zijn de codeerders twee keer samengekomen om de daaruit voortgevloeide codes te bespreken en het codeerschema te verfijnen. Naar aanleiding daarvan is de codegroep ‘Samenwerkingen’ aangepast naar ‘Samenwerkingen (extern)’ en creëerden we de nieuwe codegroep ‘Organisatie en aanpak IBP (intern)’. In de laatste codegroep plaatsten we onder andere codes gerelateerd aan interne samenwerkingen, bijvoorbeeld samenwerkingen tussen afdelingen of individuen binnen een bestuur, school of instelling.

De overige transcripten zijn gecodeerd op basis van het herziene codeerschema. Gedurende de analysefase hadden de codeerders regelmatig contact om met elkaar af te stemmen en ideeën te delen. Zo verzekerden we dat we dezelfde interpretatie van de codes hadden. Daarnaast bespraken de codeerders de tussentijdse resultaten met de overige projectteamleden tijdens plenaire sessies.

Thematiseren

Tijdens het coderen werd al gauw duidelijk dat vrijwel elke geïdentificeerde helpende en belemmerende factor direct of indirect terug te herleiden valt naar capaciteit, expertise en bewustwording. Zodoende bevestigde dit onze verwachting, op basis van de literatuurstudie, dat deze factoren randvoorwaarden zijn voor digitale weerbaarheid.

In directe zin geldt voor alle drie dat de aanwezigheid ervan een helpende factor is, en de afwezigheid ervan een belemmerende factor. Daarnaast kwamen uit de analyse ook indirecte factoren naar voren. Deze helpen of belemmeren het vergaren of behouden van capaciteit, expertise en/of bewustwording. Bijvoorbeeld op het gebied van bestuurlijke samenwerkingen. Participanten noemden verschillende helpende en belemmerende factoren met betrekking tot deze type samenwerkingen. Dit kwam aan bod tijdens de interviews omdat bestuurlijke samenwerkingen op hun beurt (kunnen) worden ingezet voor kennisdeling, wat weer verbonden is aan het versterken van de randvoorwaarde expertise.

De interviewdata bevatte een breed scala aan voorbeelden, oorzaken en gevolgen van zowel de (in)directe aanwezigheid als afwezigheid van capaciteit, expertise en bewustwording. Deze randvoorwaarden opereren niet geïsoleerd; in de analyse kwam naar voren dat er sprake is van een onderlinge wisselwerking waarbij de aan- en afwezigheid van capaciteit, expertise en bewustwording elkaar versterken en beperken. Zodoende, in het creëren van thema’s, richtten wij ons op het identificeren van overstijgende patronen tussen de opgestelde codegroepen. De nadruk lag hierbij op de interactie tussen capaciteit, expertise en bewustwording, en hoe deze randvoorwaarden elkaar wederzijds beïnvloeden.

Op basis daarvan resulteerde het hergroeperen van de codes en codegroepen in vier conceptuele thema’s: de veelzijdigheid van IBP, veiligheidscultuur, digitale weerbaarheid als ecosysteem en tot slot samenwerkingen (zie Bijlage I). In het publieksrapport bespreken we per thema hoe de randvoorwaarden direct en indirect, tezamen en apart van elkaar helpend of belemmerend kunnen zijn.

Kwaliteit van het onderzoek

In deze sectie beschrijven we de maatregelen die we hebben genomen om de kwaliteit van het onderzoek te waarborgen.

Het onderzoeken van digitale weerbaarheid vereiste een bepaald kennisniveau omtrent de onderwerpen informatiebeveiliging en -privacy in het onderwijs, cyberrisico’s en -dreigingen en de relevante beleidscontext. Want om een fenomeen goed te kunnen begrijpen, is het noodzakelijk dat er rekening wordt gehouden met de context waarin het zich voordoet (Lincoln & Guba, 1985). Om dit te bereiken, is er een uitvoerige literatuurstudie uitgevoerd voorafgaand aan de dataverzameling en -analyse. Deze functioneerde als oriëntatie voor de betrokken onderzoekers en diende als basis voor het onderzoek. Daarnaast lieten we ons informeren door personen en partijen buiten het projectteam met specialistische kennis omtrent IBP. Zo raadpleegden we hen onder meer tijdens het opstellen van de topiclijst.

Literatuur speelde daarnaast een belangrijke rol in het opstellen van de topiclijst en de steekproef. Zo formuleerden we theoretisch gefundeerde interviewvragen. Daarnaast bepaalden we de steekproef op basis van literatuur. Inzichten uit eerder onderzoek hielpen ons om relevante bestuurskenmerken te identificeren voor dit onderzoek (zie Steekproefopzet: Besturen). Deze bestuurskenmerken hebben we vervolgens gebruikt als selectiecriteria. Op deze manier hanteerden we theoretisch onderbouwde selectiecriteria waarmee we voldoende variëteit in onze steekproef konden garanderen.

Na elk interview schreven de interviewduo’s interviewmemo’s. Hierin beschreven de interviewers relevante contextuele factoren (zoals het aantal interviewparticipanten), opvallende gesprekspunten en interpretatieve ideeën. Door middel van de memo’s bleven de onderzoekers op de hoogte van elkaars interviews. Ook fungeerde het als voorzetje voor de analyse doordat het de onderzoekers attendeerde op aanvankelijk waargenomen patronen, en opvallende verschillen en overeenkomsten tussen de interviews.

Uit de interviewdata kwam de rol van niet-besturen (denk aan publieke ondersteunende organisaties en IT-leveranciers) evident naar voren. Voor de duiding van de resultaten vonden wij het belangrijk om hen te betrekken in het onderzoek. We organiseerden daarom in februari 2026 een focusgroep met vertegenwoordigers van Kennisnet, SIVON en SURF. Tijdens deze sessie presenteerden we onze initiële resultaten die op hen betrekking hadden, om hun perspectief erop te verkrijgen. De uitkomsten van de focusgroep zijn meegenomen in de nadere interpretatie van de data.

Wegens ethische overwegingen kozen we ervoor om in de rapportage van de kwalitatieve resultaten naast onderwijssector, bestuursgrootte en -complexiteit, geen nadere bestuurskenmerken te vermelden. We benoemden daarbovenop grootte en complexiteit louter op het moment dat deze relevant waren voor de analyseresultaten. Hiermee trachtten we de herleidbaarheid van de deelnemende besturen zoveel mogelijk te minimaliseren. Onder andere de kenmerken van technische- en niet technische universiteiten en de 2023 jaarverslagvermeldingen van cyberincidenten hebben we niet opgenomen in de rapportage. Deze selectiecriteria zijn toegepast voor variatiedekking. Echter, kennis van deze kenmerken per bestuur draagt naar ons inzicht niet bij aan het begrip van de resultatensectie en doet daarom geen afbreuk aan de kwaliteit van het onderzoek.

Reflecties

In deze paragraaf staan we stil bij de institutionele identiteit van de inspectie en hoe deze van invloed was op het onderzoek. Als inspectie zijn wij toezichthouder op de geïnterviewde besturen. Op die manier bekleedden de projectteamleden van dit onderzoek een dubbele rol, namelijk die van toezichthouder en onderzoeker. Dit resulteert in inherente spanningen in de uitvoering van kwalitatieve onderzoeksinterviews.

Allereerst kan sociale wenselijkheid en/of terughoudendheid van de participanten hun antwoorden hebben beïnvloed, met name vanwege onze positie als toezichthouder. Dit themaonderzoek is uitgevoerd in het kader van stelseltoezicht4, wat betekent dat wij geen oordeel geven op individueel school-, instelling- en bestuursniveau. Daarnaast houdt de inspectie ten tijde van de uitvoering van dit onderzoek niet direct toezicht op digitale weerbaarheid. Desalniettemin kunnen de interviewparticipanten de interviews hebben ervaren als een beoordeling. Zo gaat een inspectiebezoek voor velen gepaard met zich gecontroleerd voelen, ongeacht het type onderzoek. Dit kan vervolgens beïnvloeden wat een participant wel en niet met ons deelt tijdens een interview.

Daarbovenop is het onderzoek gesitueerd in de veranderende beleidscontext omtrent de invoering van de NIS2-richtlijn in het hbo en wo, en de heersende onzekerheid omtrent toezicht op digitale weerbaarheid in het mbo en funderend onderwijs. Voorafgaand aan de dataverzameling waren we ons bewust van de geladenheid van het onderzoeksonderwerp in combinatie met onze rol als toezichthouder. Mogelijk hinderde deze geladenheid de openhartigheid van sommige participanten.

We poogden hiermee om te gaan door middel van duidelijke, transparante communicatie en het scholen van de projectteamleden. In de aankondigingsbrief en verbaal ter inleiding van de interviews communiceerden we ons onderzoeksdoel en benadrukten we dat wij geen beoordeling geven. Daarnaast zijn de betrokken projectteamleden geïnstrueerd over kwalitatief onderzoek en het aanhouden van een open houding als interviewer. Hiermee trachtten we een zo open mogelijke sfeer te creëren voor de gespreksdeelnemers. Tegelijkertijd erkennen we de grenzen van deze inspanningen, en de mogelijkheid dat sociale wenselijkheid en/of de geladenheid van het onderwerp alsnog een rol hebben gespeeld tijdens de interviews. Desondanks hebben we waardevolle informatie verzameld omtrent belemmerende en helpende factoren in digitale weerbaarheidswaarborging.

Ten tweede willen we stilstaan bij de rol van de inspectie binnen het ecosysteem van digitale weerbaarheid. In het publieksrapport wordt de onderwijsinspectie niet besproken in relatie tot het ecosysteem. Dit betekent echter niet dat deze er geen rol in speelt. In tegendeel: ook de Inspectie van het Onderwijs is hierbinnen een actor. Een volwaardige verkenning van de dynamiek en implicaties van formeel toezicht binnen het ecosysteem lag buiten de scope van dit onderzoek. Toch blijft het belangrijk om te benadrukken dat de onderwijsinspectie wel degelijk een rol speelt, een die meer zichtbaar wordt met de inwerkingtreding van de NIS2-richtlijn.

Thans richten we ons op de directe impact van dit stelselonderzoek op de deelnemende besturen. Een einddoel van dit rapport is stimulerend toezicht. Op die manier tracht de inspectie als helpende factor op te treden binnen het ecosysteem van digitale weerbaarheid. Tegelijkertijd wezen enkele interviewparticipanten ons op de inzet die dit onderzoek van hen vereiste. Interviewdeelname, het invullen van de vragenlijst en de bijbehorende voorbereidingen nemen tijd in beslag. In het publieksrapport bespreken we hoe besturen en IBP-functionarissen wegens beperkte capaciteit soms moeilijke keuzes moeten maken over de inzet van hun tijd en prioriteiten.

Deelname aan inspectieonderzoek is wettelijk gezien niet vrijblijvend. Zodoende kan het mogelijk een extra belasting vormen voor besturen en IBP-functionarissen met beperkte capaciteit. Het uitgangspunt voor dit onderzoek is dat de resultaten op langere termijn ten bate van de besturen zullen zijn. Om de tijdsinvestering voor interviewparticipanten te beperken, zijn onderwijsbesturen die al betrokken waren bij een ander inspectieonderzoek niet opgenomen in de steekproef. Desalniettemin zijn we ons bewust dat elk stelselonderzoek, ondanks deze afweging, een bepaalde mate van tijdinvestering vraagt.

Referenties

Braun, V., & Clarke, V. (2006). Using thematic analysis in psychology. Qualitative research in psychology3(2), 77-101.

Inspectie van het Onderwijs. (2025a). Monitor digitale weerbaarheid en veiligheid. Geraadpleegd van https://www.onderwijsinspectie.nl/site/binaries/site-content/collections/documents/2025/09/29/rapport-monitor-digitale-weerbaarheid-en-veiligheid/84015+-+IvhO+-+Kort+rapport+Monitor+digitale+weerbaarheid+en+veiligheid_TG-UA.pdf

Inspectie van het Onderwijs. (2025b). Technisch Rapport: Monitor digitale weerbaarheid en veiligheid. Geraadpleegd van https://www.onderwijsinspectie.nl/site/binaries/site-content/collections/documents/2025/09/29/rapport-monitor-digitale-weerbaarheid-en-veiligheid/Technisch+rapport+Monitor+digitale+weerbaarheid+en+veiligheid.pdf

Patton, M. Q. (2002). Qualitative research and evaluation methods (Vol. 3). Sage

Bijlage I - Codeboom

Veelzijdigheid van informatiebeveiliging en privacy (IBP)

  • Integrale veiligheidsvisie

  • Bestuurlijke betrokkenheid

    • Agenderen en prioriteren IBP
  • Multidisciplinaire inrichting van IBP

    • Integrale samenwerking (intern)

    • Centrale organisatie IBP

    • Duidelijke rol- en verantwoordelijkheidsverdeling

    • Korte lijntjes

  • Monitoring en evaluatie

    • Onafhankelijke toetsing

    • Self-assesments

Veiligheidscultuur

  • Digitale weerbaarheid als gedeelde verantwoordelijkheid (intern)

    • Betrokkenheid medewerkers

    • Draagvlak creëren

    • Communicatiestrategieën

  • Open, lerende cultuur

    • Laagdrempeligheid

    • Fouten maken mag

    • Leren van elkaar

    • Transparantie (zij naar jou, jij naar hen)

  • Zichtbaar leiderschap

    • Voorbeeldgedrag

    • Zichtbare steun IBP-maatregelen (legitimatie)

  • Trainingen en scholing

    • Verhogen digitale geletterdheid

    • Toespitsen op context

Ecosysteem en verantwoordelijkheid

  • Samenwerken met (en dus afhankelijkheid van) externe partners is onvermijdelijk

    • ICT-middelen

    • Inhuurkrachten

    • Kennisdeling

  • Externen leveren diensten die je zelf niet kunt realiseren

  • Je moet externe partners controleren en aansturen

  • Aanwezige risico's liggen buiten je directe invloedsfeer

  • DWV is een gedeelde verantwoordelijkheid (extern)

  • Commercie IT-partners schuren met DW waarborging besturen

Samenwerkingen

  • Kansen

    • IBP op nationaal niveau organiseren en standaardiseren

    • Leren van elkaar en bestaande kennis benutten

    • Shared services en gezamenlijke aanbestedingen

    • Gezamenlijk optrekken tegen commerciële IT-partners

  • Helpende factoren

    • Externe partijen faciliteren samenwerkingen tussen besturen

    • Gebruik maken van bestaande samenwerkingen

    • Eenheid van bevel

    • Commitment en bereidheid concessies te doen

  • Risico’s en belemmerende factoren

    • Ontbreken gelijksoortige sparringpartner

    • Afwijkende kennisbehoeften per bestuur

    • Prisoner’s dilemma en (angst voor) meeliftgedrag

    • Ongehoorde stem binnen samenwerking (beperkte invloed)

    • Wens om eigen zaken eerst op orde te hebben voordat je samenwerking aangaat

    • Medebesturen zitten met dezelfde vraagstukken

    • Fragmentatie publieke ondersteuningsorganisaties

    • Afhankelijkheid van dezelfde partij vergroot kwetsbaarheid

Bijlage II - Topiclijst

Topic 1: Bestuur en organisatie

  1. IBP’er: Hoe is het IBP-team samengesteld en welke rollen zijn er verdeeld?

    1. Sprake van inhuur IBP-professionals?

    2. Sprake van dubbele rollen? (VB: onderwijsfunctie & IBP-taken)

  2. Hoe verhoudt het bestuur zich tot het IBP-team m.b.t. de waarborging van digitale weerbaarheid (DW)?

    1. Hoe duidelijk is het voor jullie wie waarvoor verantwoordelijk is?
  3. Op welke momenten hebben het bestuur en IBP-team contact over DW?

    1. Structureel vs. incidenteel?

    2. Welke onderwerpen komen er aan bod?

  4. In hoeverre leeft het thema DW onder de andere bestuursleden en het schoolpersoneel?

    1. En onder leerlingen?

    2. Waaruit blijkt dat?

Topic 2: Capaciteit

  1. Hoe wordt IBP begroot?

    1. Welke rol speelt het IBP-team in dit besluitproces?

    2. Op welke momenten wordt het budget aangepast? (bijv. jaarlijks/per kwartaal/etc.)

      1. Waarom?
  2. Welke factoren bepalen de besteding van het IBP-budget?

    1. In hoeverre is het huidige budget toereikend voor de waarborging van DW?
  3. Hoe ervaren jullie de werkdruk rondom de waarborging van DW?

    1. Oorzaak werkdruk?

      1. Beschikbare FTE binnen de school en/of het bestuur?

      2. Eigen werkbare uren?

Topic 3: Expertise

  1. Hoe komen jullie (het IBP-team en het schoolbestuur) aan de benodigde expertise voor de waarborging van DW?

    1. Welke rol speelt externe kennisdeling hierin?

      1. Samenwerkingen met netwerken en/of andere scholen en besturen?
  2. In hoeverre denken jullie dat het schoolpersoneel en -bestuur beschikken over de benodigde expertise om de DW te kunnen waarborgen?

    1. Hoe speel je hierop in?

      1. Professionalisering?
  3. Onderzoek toont aan dat in veel scholen, de IBP-expertise veelal bij een kleine groep medewerkers ligt (Dialogical, 2023). Dit betekent dat als één van deze sleutelfiguren uitvalt, dit impact kan hebben op de digitale weerbaarheid van de school (= single points of failure).

    1. Hoe ervaren jullie dit?

    2. Hoe waarborgen jullie DW indien er een sleutelfiguur uitvalt?

Topic 4: Beleid & ontwikkeling

  1. Hoe zouden jullie de huidige stand van zaken omschrijven rond digitale weerbaarheid binnen het bestuur en de school/scholen?

    1. Waar zijn jullie tevreden over?

    2. Welke belemmeringen ervaren jullie?

      1. Oorzaak belemmeringen?
  2. Kunnen jullie iets vertellen over de ontwikkeling die de school/scholen en het bestuur hebben doorgemaakt om de digitale weerbaarheid te vergroten?

    1. Welke belemmeringen ervaarden jullie?

      1. Hoe gingen jullie daarmee om?
    2. Welke factoren hielpen jullie om stappen vooruit te zetten?

      1. Welke hulpmiddelen gebruiken jullie hiervoor? (denk aan de richtlijnen normenkader IBP, NIS2, enzovoorts)
  3. Wanneer en met welke reden maken jullie aanpassingen in het IBP-beleid?

Topic 5: Praktijk

  1. Wij definiëren (cyber)incident als een verstoring van je digitale omgeving (Digital Trust Center, z.d.). Deze verstoring kan door mensen veroorzaakt worden, maar ook door defecte apparatuur of een stroomstoring. Voorbeelden van cyberincidenten zijn een hack of een DDoS-aanval, maar ook de internetverbinding die even niet beschikbaar is, of een digibord dat niet meer aangaat.

    1. Hebben jullie te maken gehad met een (cyber)incident binnen het bestuur of de school/scholen en zo ja, hoe gingen jullie te werk?

    2. Kunnen jullie een praktijkvoorbeeld noemen?

      1. Wat ging er goed gedurende dit proces?

      2. Waar lagen de knelpunten?

    3. Wat gebeurt er nadat een incident is verholpen?

    4. In hoeverre kunnen jullie terugvallen op beleid tijdens een (cyber)incident?

  2. Hoe wordt de onderwijscontinuïteit gewaarborgd tijdens een incident?

Topic 6: Toekomst

  1. Kijkend naar de toekomst, waar maken jullie je zorgen over als het gaat om de waarborging van digitale weerbaarheid op de school/scholen?

    1. Wat hebben jullie nodig om hierop in te kunnen spelen?
  2. (MBO) Wat betekent de inwerkingtreding van de cyberveiligheidswet in het HBO en WO voor het MBO?

    1. Welke invloed zal de inwerkingtreding hebben op de samenwerking tussen het MBO en HBO/WO binnen het SURF-verband?
  3. (HBO/WO) Hoe kijken jullie naar de inwerkingtreding van de cyberbeveiligingswet (NIS2-richtlijnen) voor hogescholen en universiteiten?

    1. Welke kansen zien jullie?

    2. Welke risico’s zien jullie?

    3. Wat hebben jullie nodig om de cyberveiligheidswet op een duurzame manier te implementeren?

  4. Welke rol zou de onderwijsinspectie volgens jullie idealiter vervullen op het gebied van DW in het onderwijs?

    1. Welke rol niet?

    2. Waarom zou je een (cyber)incident wel of juist niet melden bij de inspectie?

Afsluiting

  1. Is er iets dat jullie nog kwijt willen over dit onderwerp?

Voetnoten

  1. Onder cyberincident wordt hier verstaan: beveiligingsincident, cyberaanval, datalek, DDoS-aanval, phishing en ransomware (Inspectie van het Onderwijs, 2025b).↩︎

  2. Voor dit onderzoek kregen wij vroegtijdig toegang tot de resultaten en dataset van de Monitor Digitale Weerbaarheid En Veiligheid. De publicatiedatum van de Monitor was september 2025, en onze steekproef voor het kwalitatieve onderzoek werd opgezet rond het voorjaar van 2025.↩︎

  3. Tijdens één interview spraken we een directeur in plaats van CvB-lid. Dit was vooraf met ons afgestemd.↩︎

  4. Stelseltoezicht verwijst naar de toezicht op de kwaliteit van het onderwijs gericht op het onderwijsstelsel als geheel. Onderzoeken binnen stelseltoezicht zijn niet gericht om een oordeel te verschaffen op individuele scholen, instellingen en besturen. Stelseltoezicht | Inspectie van het onderwijs↩︎