| n | % | |
|---|---|---|
| Bepaling van beleid en strategie voor IBP | 85 | 87,6 |
| Bewustwording creëren | 85 | 87,6 |
| Omgaan met incidenten en datalekken (inrichting van incidentmanagement) | 78 | 80,4 |
| Planning/roadmap voor informatiebeveiliging | 69 | 71,1 |
| De MR is betrokken bij besluitvorming | 59 | 60,8 |
| In kaart brengen van informatiearchitectuur | 53 | 54,6 |
| Inrichten van een IBP-team met expertise | 45 | 46,4 |
| Vastlegging van beveiligingseisen en -maatregelen in een security baseline | 44 | 45,4 |
| Classificatie van systemen | 24 | 24,7 |
| Inrichting van patchmanagement | 16 | 16,5 |
| Beveiligingseisen voor digitale werkplekken en mobiele apparaten | 80 | 82,5 |
| Inrichting van identiteit- en toegangsbeheer | 79 | 81,4 |
| Opstellen van een back-up en herstelprocedures | 67 | 69,1 |
| Inrichten van leveranciersrisicomanagement | 49 | 50,5 |
| Inrichten van crisismanagement | 43 | 44,3 |
| Inrichting van bedrijfscontinuïteitsmanagement | 32 | 33,0 |
| Uitvoering van pentesten | 22 | 22,7 |
| Borging en delen kennis van medewerkers | 69 | 71,1 |
| Werving en screening van medewerkers | 54 | 55,7 |
| Inrichten van logging | 46 | 47,4 |
| Inrichten van digitaal sleutelbeheer | 36 | 37,1 |
| Classificatie van data | 25 | 25,8 |
| Inrichten van changemanagement | 23 | 23,7 |
| Geen van bovenstaande | 1 | 1,0 |

Technisch Rapport Digitale Weerbaarheid in het onderwijs
Technisch Rapport Digitale Weerbaarheid in het onderwijs
Inleiding
Dit is het TR van het stelselonderzoek naar de digitale weerbaarheid in het onderwijs. Het belangrijkste doel van dit TR is het communiceren van de vrijblijvende richtlijnen voor het opstellen van een technisch rapport door de betrokken onderzoekers. De belangrijkste doelen van een TR van een stelselonderzoek zijn (1) transparantie over alle belangrijke elementen van het onderzoek en (2) onderbouwing van de publicatie-uiting (rapport, factsheet, blog, etc.). Put daarbij ook vooral uit de inleiding van het publicatie-uiting en/of het projectplan, waarin dit ook beschreven is.
De Inspectie van het Onderwijs verwacht dat besturen de continuïteit van het onderwijs en de (digitale) veiligheid van leerlingen, studenten en medewerkers waarborgen. Deze verantwoordelijkheid staat onder toenemende druk door de snelle digitalisering van onderwijs en samenleving. Digitale leermiddelen, administratiesystemen en communicatieplatforms zijn onmisbaar geworden, terwijl digitale dreigingen in aantal en complexiteit toenemen.
Recente cyberincidenten, waarbij onderwijsprocessen verstoord raakten en persoonsgegevens mogelijk zijn buitgemaakt, onderstrepen de urgentie van digitale weerbaarheid. Digitale verstoringen raken direct aan de continuïteit van onderwijs, de bescherming van persoonsgegevens en het vertrouwen in onderwijsdata. Tegelijkertijd geven niet alle besturen aan zich voldoende toegerust te voelen om deze opgave structureel vorm te geven.
Tegen de achtergrond van toenemende digitale dreiging en veranderende regelgeving onderzoekt de Inspectie hoe besturen invulling geven aan digitale weerbaarheid en in hoeverre zij bijdragen aan het waarborgen van onderwijscontinuïteit.
Dit stelselonderzoek heeft een verkennend en agenderend karakter. Het biedt inzicht in de huidige stand van digitale weerbaarheid in het onderwijs en in de bestuurlijke, organisatorische en externe factoren die daarop van invloed zijn. In dit onderzoek wordt een beschrijvend mixed design (kwantitatief en kwalitatief) onderzoek uitgevoerd bij besturen van po-, so- en vo-scholen en mbo- en ho-instellingen. Er is gekozen voor een verkennende en kwantitatieve benadering, waarbij door middel van vragenlijsten stelselbreed een beeld wordt opgehaald. En er is een verdiepend en kwalitatieve benadering, waarbij door middel van interviews inzicht wordt verkregen in onderliggende factoren. Samen geven ze antwoord op de hoofdvraag.
Hoofdvraag:
In hoeverre dragen besturen bij aan digitale weerbaarheid om onderwijscontinuïteit te garanderen in het onderwijs?
Deelvragen:
Verkennend:
In hoeverre hebben besturen zicht op digitale weerbaarheid?
Hoe geven besturen sturing aan digitale weerbaarheid teneinde onderwijscontinuïteit te garanderen?
Hoe verschillen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?
Verdiepend:
Welke factoren helpen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?
Welke factoren belemmeren besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?
Definities
Bewustwording
Bestuurders en medewerkers onderkennen het belang van digitale veiligheid en de bijbehorende risico’s. Gebrek aan bewustzijn bij bestuurders en/of bij onderwijspersoneel heeft een negatief effect op de implementatie van het normenkader. Wanneer we het hebben over bewustwording bij bestuurders doelen we op het besef dat informatiebeveiliging, en het mitigeren van risico’s op dit vlak, essentieel is voor de bedrijfsvoering van een schoolbestuur. Een lage mate van bewustzijn bij onderwijspersoneel kan resulteren in het niet uitvoeren van beheersmaatregelen.
Capaciteit
De beschikbare tijd, mensen en middelen. Gebrek aan (interne en externe) capaciteit die beschikbaar is voor IBP is een belangrijk obstakel, omdat de vertaling van vereisten van normen naar beheersmaatregelen tijd kost en arbeidsintensief is.
CISO
CISO staat voor Chief Inormation Security Officer. Met CISO wordt de medewerker bedoeld die verantwoordelijk is voor (de waarborging van) informatiebeveiliging.
Cyberaanval
Moedwillige activiteit van een actor die is gericht op het met digitale middelen verstoren van één of meer digitale processen.
Cybercriminelen
Cybercrime zijn alle delicten die gepleegd worden met behulp van ICT. Cybercrime omvat criminaliteit die gericht is op een ICT-systeem of de informatie die door ICT wordt verwerkt. Cybercrime omvat ook de al langer bestaande criminaliteit die door ICT een nieuwe impuls heeft gekregen, zoals oplichting en verspreiding van kinderporno via internet. Deze definitie is een samenvoeging van de enge definitie van cybercrime die het Nationaal Cyber Security Centrum en de politie hanteren, en de categorie ‘gedigitaliseerde criminaliteit’ die de politie ook onderscheidt.
Cyberincident
Verstoring van één of meer (digitale) processen (combineer met begrip verstoring tot vragenlijst gebruik).
Datalek
Een datalek is een voorbeeld van een beveiligingsincident, hierbij gaan persoonsgegevens verloren of worden ongeoorloofd ingezien, gewijzigd, verzonden of op andere wijze verwerkt door personen zonder de juiste bevoegdheid.
DDoS-aanval
DDoS-aanval (Distributed Denial-of-Service): een aanval op de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur. Het resultaat van deze aanval is dat digitale diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten.
Digitale weerbaarheid
De mate waarin besturen en scholen in staat zijn de digitale onderwijsomgeving te beschermen en onderwijsprocessen ook bij digitale verstoringen te laten doorgaan. Digitale weerbaarheid omvat het geheel aan maatregelen die zijn genomen om relevante digitale risico’s tot een aanvaardbaar niveau terug te brengen. Deze maatregelen zijn gericht op het voorkomen, tijdig ontdekken en beperken van schade bij cyberincidenten, evenals het vergemakkelijken van herstel. Wat als een aanvaardbaar niveau wordt beschouwd, is het resultaat van een zorgvuldige risico-afweging. Het bestuur moet ervoor zorgen dat de digitale (basis)informatie voor leerlingen/studenten en medewerkers onder alle omstandigheden beschikbaar is en dat deze informatie tijdig, correct en volledig en alleen toegankelijk voor de juiste personen. Als er iets misgaat in de digitale omgeving van een bestuur of school, moet dat snel worden opgemerkt en hersteld.
Digitaal proces
Digitaal proces een proces dat geheel of gedeeltelijk wordt uitgevoerd door de complexe en onderling samenhangende interactie tussen mensen en vele componenten van hardware, software en/of netwerken. Volledig geautomatiseerde processen, zoals procesbesturingssystemen, vallen ook onder het begrip.
Dreiging
Een opzettelijk of niet-opzettelijk gevaar dat kan leiden tot een cyberincident of een combinatie van gelijktijdige of opeenvolgende cyberincidenten.
Ecosysteem
Een ecosysteem is een netwerk van onderling afhankelijke actoren die door samenwerking en complementariteit gezamenlijk waarde creëren rond een bepaalde dienst, technologie of activiteit. Binnen zo’n systeem zijn de bijdragen van verschillende partijen met elkaar verbonden, waardoor acties of verstoringen bij één actor gevolgen kunnen hebben voor andere actoren in het geheel. In het ecosysteem rond digitale weerbaarheid in het onderwijs omvatten deze actoren onder andere onderwijsbesturen, ICT-leveranciers, adviesbureaus, publieke ondersteuningsorganisaties en de overheid, die via samenwerking, uitbesteding en afhankelijkheden gezamenlijk bijdragen aan de digitale veiligheid van onderwijsinstellingen.
Expertise
De aanwezigheid van voldoende kennis en vaardigheden om digitale risico’s te herkennen en passende maatregelen te nemen. Het gebrek aan (technische, juridische en beleidsmatige) expertise is een belangrijk obstakel. Schoolbesturen zonder deze expertise hebben moeite met het maken van de afweging hoe vereisten uit het normenkader kunnen worden omgezet in concrete beheersmaatregelen.
Funderend onderwijs
Onder funderend onderwijs verstaan we primair onderwijs, voortgezet onderwijs en speciaal onderwijs.
IBP
Informatiebeveiliging en privacy. Onze focus ligt op informatiebeveiliging. Informatiebeveiliging is het proces waarbij de gewenste kwaliteit van informatie en informatiesystemen wordt vastgesteld op het gebied van vertrouwelijkheid, beschikbaarheid, integriteit, onweerlegbaarheid en controleerbaarheid. Vervolgens worden passende fysieke, organisatorische en logische beveiligingsmaatregelen getroffen, onderhouden en gecontroleerd. Zo ontstaat een samenhangend pakket aan maatregelen om de informatie adequaat te beschermen.
IBP-functionaris
De medewerker die verantwoordelijk is voor (de waarborging van) informatiebeveiliging.
Ketenafhankelijkheid
De afhankelijkheid van leveranciers en clouddiensten die bij verstoring of misbruik tot grote schade leiden. Deze ketenafhankelijkheid is ook aanwezig in het ecosysteem waarbinnen onderwijs- en onderzoeksinstellingen samenwerken. Een incident bij de ene instelling kan negatieve gevolgen hebben voor de andere instellingen in een samenwerkingsverband.
Onderwijscontinuïteit
Voorbereidende maatregelen en acties die een schoolbestuur neemt om ervoor te zorgen dat de essentiële functies operationeel blijven tijdens en na een crisis.
Organisatiegraad
Geïnstitutionaliseerde samenwerking en kennisdeling tussen instellingen, bijvoorbeeld door lidmaatschap of samenwerking via sectorraden, onderwijskoepels en ondersteunende organisaties zoals SIVON, Kennisnet, SURF en MBO Digitaal.
Risico
De (combinatie van de) kans dat een dreiging leidt tot een cyberincident én de impact van het cyberincident op belangen, beide in relatie tot het actuele niveau van digitale weerbaarheid.
Vervolgonderwijs
Onder vervolgonderwijs verstaan we middelbaarberoepsonderwijs en hoger onderwijs (zowel hoger beroepsonderwijs als universitair onderwijs).
Verstoring
Een aantasting van de beschikbaarheid, integriteit of vertrouwelijkheid van informatie(verwerking).
Onderzoeksopzet (kwantitatief)
Databronnen en instrumenten
Er zijn twee verschillende versies van een digitale vragenlijst ontwikkeld die zijn ingevuld door de bestuurder en de verantwoordelijke medewerker voor IB-beleid, cybersecuritybeleid in de steekproef. Ten eerste zal de vragenlijst in kaart brengen in hoeverre besturen zicht hebben op en sturing geven aan digitale weerbaarheid (deelvraag 1 t/m 3). Dit deel van de vragenlijst baseert zich op het normenkader IBP dat onlangs is geoperationaliseerd voor het funderend onderwijs en dat ook is gebaseerd op het normenkader dat geldt voor het MBO en HO. Ten tweede worden de vragenlijst gebruikt om factoren in kaart te brengen die besturen mogelijk kunnen helpen of belemmeren in het waarborgen van digitale weerbaarheid, zoals bewustwording, expertise en capaciteit. Vragenlijsten die volledig zijn ingevuld zijn meegenomen in de analyses. Twee besturen die de vragenlijst op één vraag na hebben ingevuld, zijn ook meegenomen. Afhankelijk van de analyses worden deze twee besturen niet meegenomen.
Steekproef, response en representativiteit
Binnen de steekproefgroep voor funderend onderwijs komen de sectoren evenredig voor aan die in het totale besturenbestand. De steekproef funderend onderwijs houdt waar mogelijk rekening met een redelijke verdeling van besturen over regio, uni- of multi-sectoraal bestuur, bestuursgrootte (voor het vervolgonderwijs zijn alle bekostigde besturen gevraagd) en leidende sector. Na sluiting van de vragenlijst zijn per sector non-response analyses uitgevoerd. Het doel van deze analyses was om na te gaan of de response op de verschillende vragenlijsten niet selectief is en daarmee de representativiteit van de steekproef beïnvloedt. De verhouding van kenmerken in het responsebestand verschilt niet significant van die verhouding in het steekproefbestand op basis van t- en Chi-kwadraat toetsen (X2, p > 0,05), dus is er sprake van representativiteit op deze kenmerken (zie onderstaande tabel). Uiteindelijk hebben 97 bestuurders en 48 IBP’ers van de 130 besturen in het funderend onderwijs gereageerd en 97 bestuurders en 87 CISO’s van de 105 besturen in het vervolgonderwijs.
Tabel p-waardes representativiteit
| Funderend onderwijs | Vervolgonderwijs | |||
|---|---|---|---|---|
| Bestuur | IBP | CvB | CISO | |
| Regio | 0,989 | 0,701 | 0,833 | 0,989 |
| Uni-/multisectoraal | 0,743 | 0,968 | 0,435 | 0,846 |
| Bestuursgrootte | 0,526 | 0,052 | 0,914 | 0,942 |
| Leidende sector | 0,897 | 0,353 | 0,353 | 0,381 |
Methode en analyses
Deelvraag 1: In hoeverre hebben besturen zicht op digitale weerbaarheid?
Funderend onderwijs
Beantwoording van deze vraag is samengesteld op basis van de vragenlijst-items q16 t/m q18 en q19: items die de onderdelen van digitale weerbaarheid in kaart brengen. Bestuurders gaven aan welke onderdelen onder hun aandacht zijn geweest (q16 t/m q18) en in hoeverre deze geïmplementeerd zijn (q19; (1) in het beleid, (2) in de praktijk, (3) zowel beleid als praktijk, of (4) dat er (nog) geen zicht op is).
De vraag hoe digitale weerbaarheid is georganiseerd, wordt beantwoord aan de hand van vragenlijst-items q5 t/m q9. Deze items vragen hoeveel procent van de werktijd gemiddeld aan digitale weerbaarheid wordt besteedt (q7), of er binnen het bestuur medewerkers in dienst zijn die (de inregeling van) digitale weerbaarheid in hun takenpakket hebben én daarvoor zijn toegerust (q9), hoe digitale weerbaarheid is georganiseerd (q8), of bestuurders lid zijn van één of meerdere koepelorganisaties (q5), of ze wel eens kennis hebben vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meerdere activiteiten (q6).
Voor alle items zijn aantallen en percentages berekend en staafdiagrammen gemaakt.
Vervolgonderwijs
Beantwoording van deze vraag is samengesteld op basis van vragenlijst-item q24: items die in beeld brengen in hoeverre maatregelen met betrekking tot informatieveiligheid en privacy binnen de instellingen zijn geïmplementeerd ((1) niet, (2) gedeeltelijk, (3) formeel vastgelegd, (4) vastgelegd én toegepast, of (5) toegepast én geëvalueerd).
De vraag hoe digitale weerbaarheid is georganiseerd, wordt beantwoord aan de hand van vragenlijst-items q5 t/m q7. Deze items vragen hoeveel procent van de werktijd gemiddeld aan digitale weerbaarheid wordt besteedt (q7), of bestuurders lid zijn van één of meerdere koepelorganisaties (q5), of ze wel eens kennis hebben vergaard omtrent digitale weerbaarheid in het onderwijs middels één of meerdere activiteiten (q6).
Voor alle items zijn aantallen en percentages berekend en staafdiagrammen gemaakt.
Deelvraag 2: Hoe geven besturen sturing aan digitale weerbaarheid teneinde onderwijscontinuïteit te garanderen?
Deze vraag wordt beantwoord op basis van de stellingen in vragenlijst-items q10, q15 en q20 die zowel door de bestuurder als door de IBP’er/CISO zijn ingevuld, zie onderstaande tabel. Bestuurders en IBP’ers/CISO’s gaven aan in hoeverre ze het eens waren met deze stellingen op een schaal van 1 (helemaal oneens) tot 5 (helemaal eens). Voor zowel funderend als vervolgonderwijs zijn koppels gemaakt van bestuurders en IBP’er/CISO die beide de stellingen hebben beantwoord. Vervolgens is voor deze koppels berekend in hoeveel procent van de gevallen de bestuurder het (on)eens was met de stelling én in hoeveel procent van de gevallen de bestuurder én IBP’er/CISO beide (on)eens hebben ingevuld bij de betreffende stelling. Hiervoor zijn punt 1 (helemaal oneens) en 2 (oneens) samengenomen en ook punt 4 (eens) en 5 (helemaal eens) zijn samengenomen.
Tabel Stellingen deelvraag 2
| Vragenlijst-item | Stelling funderend onderwijs | Stelling vervolgonderwijs |
|---|---|---|
| q10_1 | Digitale weerbaarheid is essentieel voor de bedrijfsvoering van besturen en scholen | Digitale weerbaarheid is een integraal onderdeel van alle primaire processen van de onderwijsinstelling |
| q10_5 | Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie | Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie |
| q10_10 | De IBP-functionaris is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid | De CISO is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid |
| q10_13 | Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken | Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken |
| q10_15 | Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt | Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt |
| q15_11 | De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid | De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid |
| q20_4 | Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen | Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen |
| q20_5 | De mate waarin ik op de hoogte ben van digitale weerbaarheid in de organisatie hangt sterk af van de IBP-functionaris(sen) | De CISO heeft alle ruimte om het bestuur proactief te adviseren over de digitale weerbaarheid van de organisatie |
| q20_6 | Ik weet welke stappen er ondernomen moeten worden bij een cyberincident | Ik weet welke stappen er ondernomen moeten worden bij een cyberincident |
| q20_7 | Ik heb duidelijke verwachtingen van de IBP-functionaris(sen) als het gaat om het waarborgen van digitale weerbaarheid | De rol en verantwoordelijkheden van de CISO ten opzichte van het bestuur zijn duidelijk afgesproken en vastgelegd |
Deelvraag 3: Hoe verschillen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?
Voor het beantwoorden van deze deelvraag zijn meervoudige lineaire regressieanalyses gedaan met de afhankelijke variabelen die zicht op/waarborgen van digitale weerbaarheid (checklist), bewustwording, expertise en capaciteit meten in samenhang met bestuurskenmerken en kenmerken van de bestuurder.
De onafhankelijke variabelen zijn: bestuursgrootte, regio (dummy), lidmaatschap koepelorganisatie, aantal kennisactiviteiten, leeftijdscategorie bestuurder, jaren ervaring bestuurder, ervaring met digitale weerbaarheid in portefeuille bestuurder, affiniteit met digitale weerbaarheid bestuurder, comfortabel met verantwoordelijkheid bestuurder, kwetsbaarheid cyberaanval, en type ICT incident (extern of niet).
De afhankelijke variabelen zijn: checklist, bewustwording, expertise en capaciteit. De checklist bestaat voor funderend onderwijs uit het aantal onderdelen van digitale weerbaarheid welke onder de aandacht van de bestuurder zijn geweest. Voor vervolgonderwijs bestaat de checklist uit het aantal maatregelen met betrekking tot informatieveiligheid en privacy dat binnen de instellingen (deels) zijn geïmplementeerd. Voor bewustwording, expertise en capaciteit bouwen we een theoretische schaal die in de regressieanalyse worden gebruikt. Hieronder wordt toegelicht hoe deze schalen zijn gebouwd.
De beschrijvende statistieken van de afhankelijke en onafhankelijke variabelen worden gepresenteerd in het hoofdstuk Resultaten.
Psychometrische analyse
De psychometrische kwaliteit van de vragenlijst is onderzocht door drie theoretische schalen te bouwen voor zowel funderend- als vervolgonderwijs: bewustwording, capaciteit en expertise.
Datavoorbereiding
Voor alle items van de schalen is het percentage missende waarden berekend en bij een te hoog percentage (>15%) is dit item verwijderd (q20_1). Vervolgens zijn items gehercodeerd zodat een hogere score consistent een hogere mate van het construct weergeeft. Daarna is per schaal een complete-case dataset samengesteld, waarbij alleen respondenten zonder ontbrekende waarden op de betreffende items zijn meegenomen.
Itemresponstheorie (IRT)
Voor elke schaal is een eendimensionaal graded response model (GRM) geschat. Dit model is geschikt voor ordinale antwoordcategorieën en veronderstelt één onderliggende latente dimensie. Met het model zijn itemparameters (disciminatie en moeilijkheid) en latente schaalscores (theta-scores) voor respondenten bepaald. Daarnaast zijn itemkarakteristieke curves geïnspecteerd ter beoordeling van het functioneren van de antwoordcategorieën.
Factoranalyse
Omdat de items ordinaal zijn en niet alle antwoordcategorieën ingevuld zijn, is gebruikgemaakt van polychorische correlaties. Op basis van de correlaties is per schaal een exploratieve factoranalyse uitgevoerd met één factor om de eendimensionaliteit te toetsen.
De resultaten voor de drie schalen zijn te zien in de onderstaande tabellen. Op basis van deze resultaten zijn per schaal items geselecteerd met factorladingen van ongeveer 0,4 of hoger (asterisk). Bij grensgevallen wordt inhoudelijk naar de stellingen gekeken en bepaald of ze worden geselecteerd.
Tabel factorladingen - schaal bewustwording
| Itemnr | Stelling | Funderend onderwijs | Vervolgonderwijs |
|---|---|---|---|
| q10_1 | Digitale weerbaarheid is essentieel voor de bedrijfsvoering van besturen en scholen | 0,46* | 0,33 |
| q10_2 | In het algemeen maak ik mij zorgen over de digitale dreigingen vandaag de dag | 0,20 | 0,06 |
| q10_3 | Digitale weerbaarheid staat hoog op de bestuursagenda | 0,72* | 0,59* |
| q10_4 | Ik ben actief geïnteresseerd in de nieuwste ontwikkelingen op het gebied van digitale weerbaarheid in het onderwijs | 0,65* | 0,48* |
| q10_5 | Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie | 0,37* | 0,39* |
| q10_14 | Digitale weerbaarheid hoort een vast onderdeel te zijn van het professionaliseringsaanbod van schoolorganisaties | 0,69* | 0,16 |
| q10_15 | Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt | 0,27 | 0,36 |
| q15_1 | Digitale weerbaarheid structureel opnemen in de begrotingsplannen is absoluut noodzakelijk | 0,70* | 0,25 |
| q15_2 | Ontwikkelingen op het gebied van digitale dreiging gaan sneller dan ik kan bijhouden | 0,21 | 0,38* |
| q20_2 | De vereisten (vanuit de NIS2-richtlijn) voor digitale weerbaarheid in het onderwijs zijn voor mij onoverzichtelijk | 0,40* | 0,25 |
| q20_3 | Ik kan de urgentie van digitale weerbaarheid in het onderwijs gemakkelijk uitleggen | 0,40* | 0,33 |
Tabel factorladingen - schaal capaciteit
| It emnr | Stelling |
|
Vervolgo nderwijs |
|---|---|---|---|
| q10_12 | Er zijn onvoldoende middelen beschikbaar in onze organisatie om digitale weerbaarheid te waarborgen | 0,42* | 0,68* |
| q10_13 | Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken | 0,48* | -0,01 |
| q15_7 | Onze organisatie beschikt over voldoende personeel en middelen om cyberaanvallen effectief tegen te gaan | 0,46* | 0,41* |
| q15_8 | I(C)T-middelen worden nu (deels) uit eigen vermogen bekostigd | 0,24 | 0,37* |
| q15_9 | Ik zou willen dat ik meer tijd had om aan digitale weerbaarheid te besteden | 0,48* | -0,05 |
| q15_10 | Er wordt van bestuurders meer specialistische kennis van digitale weerbaarheid verwacht dan passend is bij hun rol | 0,57* | 0,20 |
| q15_12 | De vereisten om digitaal weerbaar te zijn/De vereisten vanuit de NIS2-richtlijn rondom digitale weerbaarheid, zijn op dit moment niet haalbaar voor onze organisatie | 0,67* | 0,43* |
| q20_9 | De IBP-implementatie/De implementatie van de NIS2-richtlijn die van besturen wordt verwacht, is onrealistisch met de huidige (lumpsum)bekostiging | 0,53* | 0,49* |
| q20_10 | Funderend: De inregeling van digitale weerbaarheid kost dermate veel tijd dat we aan beleidsevaluatie niet eens toekomen Vervolg: Het continu verbeteren en uitbreiden van onze digitale weerbaarheid vraagt zoveel capaciteit dat de beleidsevaluatie in de knel komt |
0,40* | 0,54* |
| q20_11 | Funderend: Ik ben blij dat digitale weerbaarheid één van de bestuurlijke verantwoordelijkheden is Vervolg: Ik vind het vanzelfsprekend dat onze digitale weerbaarheid als bestuurlijke zorgplicht wettelijk verankerd wordt |
0,34* | 0,08 |
| q20_13 | Funderend: Om digitaal weerbaar te zijn, is het nodig dat het mandaat van IBP-functionarissen wordt uitgebreid Vervolg: Onafhankelijk opereren is essentieel voor de CISO om digitale weerbaarheid beleidsmatig te borgen |
0,19 | 0,04 |
Tabel factorladingen – schaal expertise
| It emnr | Stelling | Funderend onderwijs | Ve rvolgond erwijs |
|---|---|---|---|
| q10_6 | Ik heb vertrouwen dat het onderwijs door kan blijven gaan in het geval van een cyberincident | 0,06 | 0,00 |
| q10_7 | Om risico’s op tijd te ontdekken, is het nodig dat we de monitoring beter en/of regelmatiger uitvoeren | 0,02 | 0,01 |
| q10_8 | Funderend: Het is aan de IBP-functionaris(sen) om het bestuur actief te betrekken bij wat er in de praktijk speelt Vervolg: In de beleidsevaluatie is het (kritische) gevraagde en ongevraagde advies van de CISO leidend |
0,03 | 0,45* |
| q10_9 | Wijzigingen of herzieningen van het IBP-beleid worden altijd afgestemd tussen het bestuur en de IBP-functionaris/CISO | 0,44* | 0,63* |
| q10_10 | De IBP-functionaris/CISO is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid | 0,47* | 0,56* |
| q10_11 | Digitale weerbaarheid in het jaarplan opnemen is niet noodzakelijk | -0,35 | 0,06 |
| q15_3 | Funderend: Ik heb wel eens wijzigingen/herzieningen doorgevoerd in het IBP-beleid Vervolg: Ik heb actief bijgedragen aan het vaststellen of herzien van beleid voor digitale weerbaarheid op basis van risicoanalyses |
0,45* | 0,76* |
| q15_4 | De IBP-functionaris(sen)/CISO(s) en het bestuur zijn het met elkaar eens over de doelstellingen voor digitale weerbaarheid | 0,63* | 0,68* |
| q15_5 | Zonder actief gesprek tussen bestuur en IBP-functionaris(sen)/CISO(s) en periodieke rapportages is effectieve sturing op digitale weerbaarheid niet mogelijk | 0,49* | 0,55* |
| q15_6 | De evaluatie van digitale weerbaarheid is bij ons een terugkerend en cyclisch verbeterproces | 0,66* | 0,55* |
| q15_11 | De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid | -0,20 | -0,14 |
| q15_13 | Funderend: Zonder nulmeting en/of risicoanalyse kan er geen passend beleid worden gevormd op het gebied van digitale weerbaarheid Vervolg: Audits en/of risicoanalyses hebben aantoonbaar invloed op ons beleid voor digitale weerbaarheid |
0,12 | 0,63* |
| q15_14 | Funderend: Een duidelijke visie op digitale weerbaarheid ontstaat en groeit door ervaring en evaluatie Vervolg: Onze visie op digitale weerbaarheid wordt ontwikkeld en aangescherpt door ervaring, evaluatie en structurele risicoanalyses |
0,22 | 0,56* |
| q15_15 | Een jaarlijkse evaluatie waarin beleid en praktijk worden vergeleken, is voldoende voor het waarborgen van onze digitale weerbaarheid | -0,21 | -0,15 |
| q20_4 | Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen | 0,45* | 0,35* |
| q20_5 | Funderend: De mate waarin ik op de hoogte ben van digitale weerbaarheid in de organisatie hangt sterk af van de IBP-functionaris(sen) Vervolg: De CISO heeft alle ruimte om het bestuur proactief te adviseren over de digitale weerbaarheid van de organisatie |
-0,14 | 0,26 |
| q20_6 | Ik weet welke stappen er ondernomen moeten worden bij een cyberincident | 0,31 | 0,66* |
| q20_7 | Funderend: Ik heb duidelijke verwachtingen van de IBP-functionaris(sen) als het gaat om het waarborgen van digitale weerbaarheid Vervolg: De rol en verantwoordelijkheden van de CISO ten opzichte van het bestuur zijn duidelijk afgesproken en vastgelegd |
0,51* | 0,43* |
| q20_8 | Risicoanalyses zijn een vast en terugkerend onderdeel van de management- of bestuu rsvergaderingen/beleidsevaluatie | 0,35 | 0,25 |
| q20_12 | Funderend: De begroting voor digitale weerbaarheid kan het beste worden opgesteld door een IBP-functionaris Vervolg: De CISO is primair verantwoordelijk voor de beleidsmatige onderbouwing van de begroting voor digitale weerbaarheid |
0,10 | 0,01 |
| q20_14 | Funderend: De regelgeving omtrent cyberwetgeving (NIS2) is een gespreksonderwerp geweest tussen bestuur en IBP Vervolg: De bestuurlijke verantwoordelijkheden en beleidsimplicaties van de NIS2-richtlijn zijn besproken tussen het bestuur en de CISO |
0,28 | 0,47* |
Betrouwbaarheid en schaalconstructie
Voor de geselecteerde items per schaal is de interne consistentie bepaald met een ordinale variant van Cronbach’s alpha, berekend op basis van de polychorische correlatiematrix. De betrouwbaarheid verschilde per schaal, zie tabel hieronder.
Tabel ordinale alpha’s
| Schaal | Funderend onderwijs | Vervolgonderwijs |
|---|---|---|
| Bewustwording | 0,81 | 0,73 |
| Capaciteit | 0,73 | 0,65 |
| Expertise | 0,81 | 0,88 |
Deze resultaten ondersteunen het gebruik van samengestelde schaalscores. Daarom zijn de geselecteerde items per schaal samengevoegd tot één score, berekend als gemiddelde score per respondent. Deze scores zijn meegenomen in de multipele regressieanalyses, beschreven in het hoofdstuk Resultaten.
Resultaten (kwantitatief)
Digitale weerbaarheid in het funderend onderwijs
Zicht op onderdelen van digitale weerbaarheid (deelvraag 1)
In Tabel 1 is te zien welke van de 23 onderdelen van digitale weerbaarheid onder de aandacht van bestuurders zijn geweest. Bestuurders konden meerdere antwoorden kiezen.
Implementatie van onderdelen van digitale weerbaarheid (deelvraag 1)
Vervolgens hebben bestuurders per onderdeel dat ze in de vorige vraag gekozen hebben, aangegeven in hoeverre dit/deze geïmplementeerd is/zijn; in het beleid, in de praktijk, zowel beleid als praktijk of dat er (nog) geen zicht op is, zie Tabel 2.
| Beleid | Praktijk | Beleid + praktijk | Niet van toepassing | Nog geen zicht op | Totaal | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| n | % | n | % | n | % | n | % | n | % | n | % | ||||||
| Bepaling van beleid en strategie voor IBP | 25 | 29,8 | 4 | 4,8 | 53 | 63,1 | 0 | 0,0 | 2 | 2,4 | 84 | 100,0 | |||||
| Bewustwording creëren | 7 | 8,3 | 16 | 19,0 | 59 | 70,2 | 0 | 0,0 | 2 | 2,4 | 84 | 100,0 | |||||
| Beveiligingseisen voor digitale werkplekken en mobiele apparaten | 2 | 2,5 | 12 | 15,2 | 60 | 75,9 | 1 | 1,3 | 4 | 5,1 | 79 | 100,0 | |||||
| Inrichting van identiteit- en toegangsbeheer | 6 | 7,7 | 11 | 14,1 | 58 | 74,4 | 1 | 1,3 | 2 | 2,6 | 78 | 100,0 | |||||
| Planning/roadmap voor informatiebeveiliging | 17 | 24,6 | 6 | 8,7 | 38 | 55,1 | 1 | 1,4 | 7 | 10,1 | 69 | 100,0 | |||||
| Borging en delen kennis van medewerkers | 7 | 10,1 | 18 | 26,1 | 40 | 58,0 | 0 | 0,0 | 4 | 5,8 | 69 | 100,0 | |||||
| Opstellen van een back-up en herstelprocedures | 5 | 7,6 | 17 | 25,8 | 40 | 60,6 | 0 | 0,0 | 4 | 6,1 | 66 | 100,0 | |||||
| Werving en screening van medewerkers | 7 | 13,0 | 7 | 13,0 | 38 | 70,4 | 0 | 0,0 | 2 | 3,7 | 54 | 100,0 | |||||
| In kaart brengen van informatiearchitectuur | 12 | 23,1 | 6 | 11,5 | 29 | 55,8 | 0 | 0,0 | 5 | 9,6 | 52 | 100,0 | |||||
| Inrichten van leveranciersrisicomanagement | 6 | 12,5 | 4 | 8,3 | 31 | 64,6 | 1 | 2,1 | 6 | 12,5 | 48 | 100,0 | |||||
| Inrichten van logging | 3 | 6,7 | 7 | 15,6 | 33 | 73,3 | 0 | 0,0 | 2 | 4,4 | 45 | 100,0 | |||||
| Inrichten van een IBP-team met expertise | 5 | 11,4 | 4 | 9,1 | 35 | 79,5 | 0 | 0,0 | 0 | 0,0 | 44 | 100,0 | |||||
| Vastlegging van beveiligingseisen en -maatregelen in een security baseline | 13 | 29,5 | 1 | 2,3 | 25 | 56,8 | 1 | 2,3 | 4 | 9,1 | 44 | 100,0 | |||||
| Inrichten van crisismanagement | 9 | 20,9 | 9 | 20,9 | 21 | 48,8 | 1 | 2,3 | 3 | 7,0 | 43 | 100,0 | |||||
| Omgaan met incidenten en datalekken (inrichting van incidentmanagement) | 5 | 12,8 | 2 | 5,1 | 31 | 79,5 | 0 | 0,0 | 1 | 2,6 | 39 | 100,0 | |||||
| De MR is betrokken bij besluitvorming | 8 | 21,1 | 2 | 5,3 | 25 | 65,8 | 0 | 0,0 | 3 | 7,9 | 38 | 100,0 | |||||
| Inrichten van digitaal sleutelbeheer | 6 | 17,1 | 6 | 17,1 | 21 | 60,0 | 0 | 0,0 | 2 | 5,7 | 35 | 100,0 | |||||
| Inrichting van bedrijfscontinuïteitsmanagement | 8 | 25,0 | 4 | 12,5 | 14 | 43,8 | 1 | 3,1 | 5 | 15,6 | 32 | 100,0 | |||||
| Classificatie van systemen | 9 | 37,5 | 1 | 4,2 | 12 | 50,0 | 0 | 0,0 | 2 | 8,3 | 24 | 100,0 | |||||
| Uitvoering van pentesten | 2 | 9,1 | 2 | 9,1 | 15 | 68,2 | 0 | 0,0 | 3 | 13,6 | 22 | 100,0 | |||||
| Inrichten van changemanagement | 5 | 22,7 | 4 | 18,2 | 9 | 40,9 | 0 | 0,0 | 4 | 18,2 | 22 | 100,0 | |||||
| Inrichting van patchmanagement | 4 | 25,0 | 3 | 18,8 | 7 | 43,8 | 0 | 0,0 | 2 | 12,5 | 16 | 100,0 | |||||
Organisatie van digitale weerbaarheid
In Tabel 3 is weergegeven hoeveel procent van hun werktijd bestuurders gemiddeld aan digitale weerbaarheid besteden. Bestuurders beantwoordden deze vraag op een schaal van 0% tot 100%.
| Totaal | |||||
|---|---|---|---|---|---|
| Gem. | SD | Min. | Max. | n | |
| Po | 6,5 | 4,6 | 1,0 | 20,0 | 70 |
| So | 9,7 | 6,8 | 2,0 | 20,0 | 7 |
| Vo | 7,6 | 4,3 | 1,0 | 16,0 | 20 |
| Totaal | 7,0 | 4,8 | 1,0 | 20,0 | 97 |
Veel bestuurders gaven aan dat er binnen hun bestuur medewerkers in dienst zijn die (de inregeling van) digitale weerbaarheid in hun takenpakket hebben én daarvoor zijn toegerust, zie Tabel 4.
| n | % | |
|---|---|---|
| Ja | 78 | 80,4 |
| Nee | 11 | 11,3 |
| Anders, namelijk... | 8 | 8,2 |
| Totaal | 97 | 100,0 |
Daarnaast gaven bestuurders aan hoe digitale weerbaarheid is georganiseerd. Ze konden meerdere antwoorden kiezen, zie Tabel 5.
| n | % | |
|---|---|---|
| (Deels) op bestuursniveau | 85 | 87,6 |
| (Deels) op schoolniveau | 75 | 77,3 |
| (Deels) uitbesteed aan commerciële partij(en) | 61 | 62,9 |
| (Deels) op niveau van het samenwerkingsverband | 15 | 15,5 |
| Geen van bovenstaande | 0 | 0,0 |
| Totaal | 97 | 100,0 |
In Tabel 6 is te zien waar bestuurders lid van zijn, meerdere antwoorden konden gekozen worden.
| n | % | |
|---|---|---|
| PO-Raad of VO-raad | 88 | 90,7 |
| SIVON | 42 | 43,3 |
| BIC-Netwerk (bijv. Kennisgroep ICT, Samen Deskundiger) | 9 | 9,3 |
| Geen van bovenstaande | 9 | 9,3 |
| Totaal | 97 | 100,0 |
In Tabel 7 is weergegeven op welke manier bestuurders wel eens kennis vergaard hebben omtrent digitale weerbaarheid in het onderwijs. Bestuurders konden meerdere antwoorden kiezen.
| n | % | |
|---|---|---|
| Kennisnet tools (bijv. Ambitiewijzer, Techwijzer) | 41 | 42,3 |
| Digitaal Veilig Onderwijs ondersteuning (bijv. Groeipad en Normenkader IBP) | 40 | 41,2 |
| Kennisnet diensten (bijv. SchoolCERT in samenwerking met SIVON, FORA) | 37 | 38,1 |
| SIVON diensten (bijv. Deep Dive workshop, Network as a Service) | 35 | 36,1 |
| Kennisnet Netwerkbijeenkomsten (fysiek of online) | 32 | 33,0 |
| Masterclasses/leertrajecten van PO-Raad of VO-raad | 19 | 19,6 |
| Generieke trainingen in digitale weerbaarheid | 17 | 17,5 |
| Geen van bovenstaande | 15 | 15,5 |
| Centrum Informatiebeveiliging en Privacy (CIP) | 3 | 3,1 |
| Edu-v werkgroep, focusgroep en/of klankbordgroep | 2 | 2,1 |
| Totaal | 97 | 100,0 |
Sturing op strategisch, tactisch en operationeel niveau (deelvraag 2)
In Tabel 8 wordt weergegeven in hoeverre bestuurders het (on)eens zijn met stellingen met betrekking tot digitale weerbaarheid. Dit betreft alleen de bestuurders van scholen waar óók een IBP’er de vragenlijst heeft ingevuld. Ook is weergegeven hoe vaak er overeenstemming was tussen de bestuurder en IBP’er. Ze konden de stellingen beoordelen op een schaal van 1 (helemaal oneens) tot 5 (helemaal eens). Voor het analyseren van deze vraag zijn 1 (helemaal eens) en 2 (eens), en 4 (oneens) en 5 (helemaal oneens) samengevoegd.
| Stelling | Bestuur eens (%) | Bestuur en IBP'er eens (%) | Bestuur oneens (%) | Bestuur en IBP'er oneens (%) |
|---|---|---|---|---|
| Digitale weerbaarheid is essentieel voor de bedrijfsvoering van besturen en scholen | 86,0 | 79,1 | 4,7 | 0,0 |
| Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie | 55,8 | 46,5 | 25,6 | 4,7 |
| Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken | 20,9 | 4,7 | 46,5 | 23,3 |
| De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid | 19,5 | 2,4 | 61,0 | 39,0 |
| Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt | 14,0 | 4,7 | 67,4 | 55,8 |
| Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen | 81,4 | 65,1 | 2,3 | 0,0 |
| De mate waarin ik op de hoogte ben van digitale weerbaarheid in de organisatie hangt sterk af van de IBP-functionaris(sen) | 73,8 | 57,1 | 9,5 | 0,0 |
| Ik heb duidelijke verwachtingen van de IBP-functionaris(sen) als het gaat om het waarborgen van digitale weerbaarheid | 82,9 | 56,1 | 0,0 | 0,0 |
| De IBP-functionaris is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid | 66,7 | 57,1 | 7,1 | 2,4 |
| Ik weet welke stappen er ondernomen moeten worden bij een cyberincident | 65,1 | 32,6 | 14,0 | 4,7 |
Digitale weerbaarheid in het vervolgonderwijs
Inbedding informatiebeveiliging (deelvraag 1)
Bestuurders hebben aangegeven in hoeverre een tiental maatregelen met betrekking tot informatieveiligheid en privacy binnen hun instelling zijn geïmplementeerd: niet, gedeeltelijk, formeel vastgelegd, vastgelegd én toegepast, of toegepast én geëvalueerd, zie Tabel 9.
| Niet | Gedeeltelijk | Formeel vastgelegd | Vastgelegd en toegepast | Toegepast en geevalueerd | Weet ik niet | Totaal | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| n | % | n | % | n | % | n | % | n | % | n | % | n | % | |||||||
| Contactpersonen en verantwoordelijkheden vastgelegd m.b.t. crisissituaties | 0 | 0,0 | 7 | 8,9 | 9 | 11,4 | 26 | 32,9 | 37 | 46,8 | 0 | 0,0 | 79 | 100,0 | ||||||
| Samenwerking- en communicatieplan voor crisissituaties | 1 | 1,3 | 10 | 12,7 | 11 | 13,9 | 19 | 24,1 | 37 | 46,8 | 1 | 1,3 | 79 | 100,0 | ||||||
| Interne/externe audits | 0 | 0,0 | 7 | 8,9 | 9 | 11,4 | 26 | 32,9 | 37 | 46,8 | 0 | 0,0 | 79 | 100,0 | ||||||
| Methoden, procedures en mandaten voor cyberincidenten | 0 | 0,0 | 18 | 22,8 | 11 | 13,9 | 24 | 30,4 | 26 | 32,9 | 0 | 0,0 | 79 | 100,0 | ||||||
| Overleg CISO/CIO/Directeur IT en bestuur over digitale veiligheid en risicobeheersing | 1 | 1,3 | 14 | 17,7 | 6 | 7,6 | 35 | 44,3 | 23 | 29,1 | 0 | 0,0 | 79 | 100,0 | ||||||
| Crisis- of calamiteitenplan voor digitale incidenten | 4 | 5,1 | 12 | 15,2 | 16 | 20,3 | 24 | 30,4 | 21 | 26,6 | 2 | 2,5 | 79 | 100,0 | ||||||
| Risicoanalyse m.b.t. digitale dreigementen en kwetsbaarheden | 2 | 2,5 | 16 | 20,3 | 16 | 20,3 | 25 | 31,6 | 19 | 24,1 | 1 | 1,3 | 79 | 100,0 | ||||||
| Risicoregister | 7 | 8,9 | 17 | 21,5 | 10 | 12,7 | 21 | 26,6 | 15 | 19,0 | 9 | 11,4 | 79 | 100,0 | ||||||
| Dreigingsrapoprtage delen ten einde vergroten van bewustwording | 4 | 5,1 | 21 | 26,6 | 9 | 11,4 | 24 | 30,4 | 12 | 15,2 | 9 | 11,4 | 79 | 100,0 | ||||||
| Informatiebeveiligingsketen/beveiligingsafspraken | 3 | 3,8 | 16 | 20,3 | 17 | 21,5 | 22 | 27,8 | 12 | 15,2 | 9 | 11,4 | 79 | 100,0 | ||||||
Organisatie van digitale weerbaarheid
In Tabel 10 is weergegeven hoeveel procent van hun werktijd bestuurders gemiddeld aan digitale weerbaarheid besteden. Bestuurders beantwoordden deze vraag op een schaal van 0% tot 100%.
| Totaal | |||||
|---|---|---|---|---|---|
| Gem. | SD | Min. | Max. | n | |
| Ho | 7,8 | 5,8 | 2,0 | 33,0 | 44 |
| Mbo | 6,4 | 5,2 | 1,0 | 25,0 | 35 |
| Totaal | 7,2 | 5,5 | 1,0 | 33,0 | 79 |
In Tabel 11 is te zien waar bestuurders lid van zijn, meerdere antwoorden konden gekozen worden.
| n | % | |
|---|---|---|
| Ho | ||
| Koepels hoger onderwijs (VH, UNL) | 40 | 90,9 |
| SURF CIO Raad | 4 | 9,1 |
| Geen van bovenstaande | 3 | 6,8 |
| SIVON | 1 | 2,3 |
| SCIPR/SCIRT | 1 | 2,3 |
| PO-Raad of VO-raad | 1 | 2,3 |
| MBO Netwerk IBP | 0 | 0,0 |
| BIC | 0 | 0,0 |
| MBO Raad | 0 | 0,0 |
| Totaal | 44 | 100,0 |
| Mbo | ||
| MBO Raad | 34 | 97,1 |
| MBO Netwerk IBP | 9 | 25,7 |
| SURF CIO Raad | 8 | 22,9 |
| SIVON | 6 | 17,1 |
| PO-Raad of VO-raad | 6 | 17,1 |
| SCIPR/SCIRT | 2 | 5,7 |
| Geen van bovenstaande | 1 | 2,9 |
| Koepels hoger onderwijs (VH, UNL) | 0 | 0,0 |
| BIC | 0 | 0,0 |
| Totaal | 35 | 100,0 |
| Totaal | ||
| Koepels hoger onderwijs (VH, UNL) | 40 | 50,6 |
| MBO Raad | 34 | 43,0 |
| SURF CIO Raad | 12 | 15,2 |
| MBO Netwerk IBP | 9 | 11,4 |
| SIVON | 7 | 8,9 |
| PO-Raad of VO-raad | 7 | 8,9 |
| Geen van bovenstaande | 4 | 5,1 |
| SCIPR/SCIRT | 3 | 3,8 |
| BIC | 0 | 0,0 |
| Totaal | 79 | 100,0 |
In Tabel 12 is weergegeven op welke manier bestuurders wel eens kennis vergaard hebben omtrent digitale weerbaarheid in het onderwijs. Bestuurders konden meerdere antwoorden kiezen.
| n | % | |
|---|---|---|
| SURF diensten (bijv. SURFacademy, SURFcert, Cybersave yourself, OZON/NOZON) | 64 | 81,0 |
| Generieke trainingen in digitale weerbaarheid | 50 | 63,3 |
| Kennisnet diensten (bijv. SchoolCERT in samenwerking met SIVON, FORA) | 9 | 11,4 |
| Geen van bovenstaande | 7 | 8,9 |
| Kennisnet diensten (bijv. Tabletop-oefening) | 5 | 6,3 |
| Edu-v werkgroep, focusgroep en/of klankbordgroep | 5 | 6,3 |
| SIVON diensten (bijv. Deep Dive workshop, Network as a Service) | 2 | 2,5 |
| Centrum Informatiebeveiliging en Privacy (CIP) diensten (bijv. ransomeware game) | 2 | 2,5 |
| Totaal | 79 | 100,0 |
Sturing op strategisch, tactisch en operationeel niveau (deelvraag 2)
In Tabel 13 wordt weergegeven in hoeverre bestuurders het (on)eens zijn met stellingen met betrekking tot digitale weerbaarheid. Dit betreft alleen de bestuurders van scholen waar óók een CISO de vragenlijst heeft ingevuld. Ook is weergegeven hoe vaak er overeenstemming was tussen de bestuurder en CISO. Ze konden de stellingen beoordelen op een schaal van 1 (helemaal oneens) tot 5 (helemaal eens). Voor het analyseren van deze vraag zijn 1 (helemaal eens) en 2 (eens), en 4 (oneens) en 5 (helemaal oneens) samengevoegd.
| Stelling | CvB eens (%) | CvB en CISO eens (%) | CvB oneens (%) | CvB en CISO oneens (%) |
|---|---|---|---|---|
| Digitale weerbaarheid is een integraal onderdeel van alle primaire processen van de onderwijsinstelling | 61,1 | 51,4 | 20,8 | 5,6 |
| Het is voor een bestuurder soms lastig om de verantwoordelijkheid voor digitale weerbaarheid te vertalen naar concrete keuzes en/of merkbare impact binnen de organisatie | 47,1 | 35,7 | 38,6 | 12,9 |
| Digitale weerbaarheid neemt relatief veel tijd in beslag binnen mijn bestuurstaken | 11,8 | 1,5 | 48,5 | 23,5 |
| De gedachte aan het melden van een ICT-incident bij de Inspectie, gaat gepaard met een gevoel van terughoudendheid | 10,9 | 6,3 | 79,7 | 42,2 |
| Ik maak mij alleen zorgen over digitale weerbaarheid als er een cyberincident plaatsvindt | 1,4 | 0,0 | 98,6 | 77,8 |
| Ik ben mij bewust van de risico’s waar onze organisatie mee te maken kan krijgen | 90,3 | 73,6 | 1,4 | 0,0 |
| De CISO heeft alle ruimte om het bestuur proactief te adviseren over de digitale weerbaarheid van de organisatie | 100,0 | 84,7 | 0,0 | 0,0 |
| De rol en verantwoordelijkheden van de CISO ten opzichte van het bestuur zijn duidelijk afgesproken en vastgelegd | 80,6 | 55,6 | 2,8 | 2,8 |
| De CISO is tevreden met zijn/haar verantwoordelijkheid voor de waarborging van digitale weerbaarheid | 76,4 | 61,1 | 1,4 | 1,4 |
| Ik weet welke stappen er ondernomen moeten worden bij een cyberincident | 82,9 | 62,9 | 4,3 | 1,4 |
Hoe verschillen besturen in het waarborgen van digitale weerbaarheid? (deelvraag 3)
Beschrijvende statistieken
Funderend onderwijs
| Totaal | |||||
|---|---|---|---|---|---|
| Gem. | SD | Min. | Max. | n | |
| Zicht op digitale weerbaarheid (checklist) | 12,2 | 4,9 | 0,0 | 21,0 | 97 |
| Schaalscore bewust | 3,5 | 0,5 | 2,0 | 4,8 | 97 |
| Schaalscore capaciteit | 2,9 | 0,5 | 1,6 | 4,3 | 97 |
| Schaalscore expertise | 3,8 | 0,5 | 2,7 | 4,9 | 97 |
| Totaal | |
|---|---|
| Gem. | 10,6 |
| SD | 9,8 |
| Min. | 1,0 |
| Max. | 53,0 |
| n | 97 |
| n | % | |
|---|---|---|
| Midden | 48 | 49,5 |
| Noord | 12 | 12,4 |
| Oost | 24 | 24,7 |
| Zuid | 13 | 13,4 |
| Totaal | 97 | 100,0 |
| n | % | |
|---|---|---|
| 25 tot 35 jaar oud | 1 | 1,0 |
| 35 tot 45 jaar oud | 16 | 16,5 |
| 45 tot 55 jaar oud | 33 | 34,0 |
| 55 tot 65 jaar oud | 39 | 40,2 |
| 65 tot 75 jaar oud | 8 | 8,2 |
| Totaal | 97 | 100,0 |
| n | % | |
|---|---|---|
| Minder dan 1 jaar | 4 | 4,1 |
| 1 tot 5 jaar | 37 | 38,1 |
| 5 tot 10 jaar | 25 | 25,8 |
| 10 tot 15 jaar | 18 | 18,6 |
| 15 tot 20 jaar | 5 | 5,2 |
| 20 tot 25 jaar | 2 | 2,1 |
| Meer dan 25 jaar | 6 | 6,2 |
| Totaal | 97 | 100,0 |
| n | % | |
|---|---|---|
| Ja | 46 | 47,4 |
| Nee | 51 | 52,6 |
| Totaal | 97 | 100,0 |
| n | % | |
|---|---|---|
| Geen van bovenstaande óf alleen PO-Raad of VO-raad | 52 | 53,6 |
| PO-Raad of VO-raad én SIVON en/of BIC-Netwerk | 45 | 46 |
| Totaal | 97 | 100,0 |
| Totaal | |
|---|---|
| Gem. | 2,3 |
| SD | 1,6 |
| Min. | 0,0 |
| Max. | 6,0 |
| n | 97 |
| Totaal | |
|---|---|
| Gem. | 5,5 |
| SD | 2,2 |
| Min. | 0,0 |
| Max. | 10,0 |
| n | 97 |
| Totaal | |
|---|---|
| Gem. | 4,2 |
| SD | 1,8 |
| Min. | 0,0 |
| Max. | 9,0 |
| n | 96 |
| Totaal | |
|---|---|
| Gem. | 5,3 |
| SD | 2,3 |
| Min. | 0,0 |
| Max. | 10,0 |
| n | 97 |
| n | % | |
|---|---|---|
| Alleen interne ICT-incident(en) | 44 | 61,1 |
| Externe ICT-incident(en) (evt. ook intern) | 28 | 38,9 |
| Totaal | 72 | 100,0 |
Vervolgonderwijs
| Totaal | |||||
|---|---|---|---|---|---|
| Gem. | SD | Min. | Max. | n | |
| Waarborgen van digitale weerbaarheid (checklist) | 9,3 | 1,2 | 5,0 | 10,0 | 80 |
| Schaalscore bewust | 3,4 | 0,5 | 2,3 | 4,8 | 80 |
| Schaalscore capaciteit | 2,5 | 0,6 | 1,3 | 4,2 | 80 |
| Schaalscore expertise | 4,0 | 0,4 | 2,8 | 4,9 | 80 |
In Tabel 27 is te zien hoeveel grote en kleine besturen er deelnamen. Bestuursgrootte is in het vervolgonderwijs gemeten aan de hand van organisatiecomplexiteit. Voor het mbo betekent dit dat een bestuur als groot wordt gedefinieerd indien het een multi-sector is en klein indien het een mono-sector is. Voor het ho is organisatiecomplexiteit gemeten aan de hand van het aantal subsectoren. De mediaan van het aantal subsectoren is 11, dus bij 11 of minder subsectoren wordt het gezien als een klein bestuur, en bij 12 of meer als een groot bestuur.
| n | % | |
|---|---|---|
| Klein bestuur | 38 | 48,1 |
| Groot bestuur | 41 | 51,9 |
| Totaal | 79 | 100,0 |
| n | % | |
|---|---|---|
| Midden | 39 | 49,4 |
| Noord | 7 | 8,9 |
| Oost | 19 | 24,1 |
| Zuid | 14 | 17,7 |
| Totaal | 79 | 100,0 |
| n | % | |
|---|---|---|
| 35 tot 45 jaar oud | 5 | 6,3 |
| 45 tot 55 jaar oud | 25 | 31,3 |
| 55 tot 65 jaar oud | 45 | 56,3 |
| 65 tot 75 jaar oud | 5 | 6,3 |
| Totaal | 80 | 100,0 |
| n | % | |
|---|---|---|
| Minder dan 1 jaar | 7 | 8,8 |
| 1 tot 5 jaar | 29 | 36,3 |
| 5 tot 10 jaar | 25 | 31,3 |
| 10 tot 15 jaar | 9 | 11,3 |
| 15 tot 20 jaar | 6 | 7,5 |
| 20 tot 25 jaar | 4 | 5,0 |
| Totaal | 80 | 100,0 |
| n | % | |
|---|---|---|
| Ja | 52 | 65,0 |
| Nee | 28 | 35,0 |
| Totaal | 80 | 100,0 |
| n | % | |
|---|---|---|
| Geen van bovenstaande óf alleen Koepels/PO-Raad of VO-raad/MBO Raad | 61 | 76,3 |
| Lidmaatschap SIVON/MBO IBP/BIC/SURF CIO Raad/SCIPR/SCIRT (en evt. Koepels/PO-Raad/VO-raad/MBO Raad) | 19 | 23,8 |
| Totaal | 80 | 100,0 |
| Totaal | |
|---|---|
| Gem. | 1,7 |
| SD | 1,0 |
| Min. | 0,0 |
| Max. | 4,0 |
| n | 80 |
| Totaal | |
|---|---|
| Gem. | 6,8 |
| SD | 1,8 |
| Min. | 0,3 |
| Max. | 9,9 |
| n | 80 |
| Totaal | |
|---|---|
| Gem. | 4,7 |
| SD | 1,9 |
| Min. | 0,2 |
| Max. | 9,8 |
| n | 77 |
| Totaal | |
|---|---|
| Gem. | 6,6 |
| SD | 1,8 |
| Min. | 1,1 |
| Max. | 9,7 |
| n | 80 |
| n | % | |
|---|---|---|
| Alleen interne ICT-incident(en) | 23 | 31,5 |
| Externe ICT-incident(en) (evt. ook intern) | 50 | 68,5 |
| Totaal | 73 | 100,0 |
Verschillen tussen besturen
Funderend onderwijs
In Tabel 38 zijn de resultaten van de regressieanalyses voor funderend onderwijs te zien.
Een hogere mate van zicht op maatregelen die digitale weerbaarheid waarborgen hangt significant samen met 1) een hoger aantal activiteiten waaraan is deelgenomen met als doel kennis vergaren, 2) eerdere ervaring met digitale weerbaarheid in takenpakket/portefeuille van bestuurder, en 3) jongere bestuurders.
Een hogere mate van bewustwording hangt significant samen met 1) grotere besturen, 2) een hoger aantal activiteiten waaraan is deelgenomen met als doel kennis vergaren, en 3) meer affiniteit met het onderwerp digitale weerbaarheid.
Een hogere mate van capaciteit hangt significant samen met 1) grotere besturen en 2) grotere mate van comfort met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid.
Een hogere mate van expertise hangt significant samen met 1) lidmaatschap van SIVON/BIC náást lidmaatschap van PO/VO-Raad, 2) een hoger aantal activiteiten waaraan is deelgenomen met als doel kennis vergaren, en 3) eerdere ervaring met digitale weerbaarheid in takenpakket/portefeuille van bestuurder.
| Model zicht op digitale weerbaarheid | Model bewust | Model capaciteit | Model expertise | |
|---|---|---|---|---|
| (Intercept) | 13,9 *** | 3,0 *** | 2,5 *** | 3,7 *** |
| (3,3) | (0,3) | (0,4) | (0,3) | |
| Aantal objecten van toezicht (ovt's) per bestuur | -0,0 | 0,0 * | 0,0 ** | 0,0 |
| (0,1) | (0,0) | (0,0) | (0,0) | |
| SIVON en/of BIC Netwerk lidmaatschap náást lid van PO/VO-raad | 1 | 0 | -0 | 0 * |
| (1,1) | (0,1) | (0,1) | (0,1) | |
| Aantal kennisvergrotende activiteiten | 1,0 ** | 0,1 * | -0,1 | 0,1 * |
| (0,3) | (0,0) | (0,0) | (0,0) | |
| Regio noord | 2,9 | -0,0 | -0,3 | -0,1 |
| (1,6) | (0,2) | (0,2) | (0,2) | |
| Regio oost | 0,5 | -0,2 | 0,1 | -0,1 |
| (1,2) | (0,1) | (0,1) | (0,1) | |
| Regio zuid | 2,1 | -0,0 | -0,1 | 0,1 |
| (1,5) | (0,1) | (0,2) | (0,2) | |
| Digitale weerbaarheid eerder in loopbaan in takenpakket/portefeuille | -2,3 * | -0,2 | 0,1 | -0,2 * |
| (1,1) | (0,1) | (0,1) | (0,1) | |
| Leeftijdscategorie | -1,4 * | -0,1 | -0,0 | 0,0 |
| (0,7) | (0,1) | (0,1) | (0,1) | |
| Jaren ervaring als bestuurder categorie | 0,6 | -0,0 | -0,0 | -0,0 |
| (0,4) | (0,0) | (0,0) | (0,0) | |
| Affiniteit met digitale weerbaarheid | 0,3 | 0,1 * | 0,0 | 0,0 |
| (0,3) | (0,0) | (0,0) | (0,0) | |
| Kwetsbare informatiearchitectuur | -0,4 | 0,0 | -0,0 | -0,0 |
| (0,3) | (0,0) | (0,0) | (0,0) | |
| Comfortabel met verantwoordelijkheid digitale weerbaarheid | -0,2 | 0,0 | 0,1 *** | 0,0 |
| (0,2) | (0,0) | (0,0) | (0,0) | |
| Extern ICT-incident meegemaakt | 1,0 | 0,2 | 0,1 | -0,1 |
| (1,1) | (0,1) | (0,1) | (0,1) | |
| N | 72 | 72 | 72 | 72 |
| *** p < 0,001; ** p < 0,01; * p < 0,05. | ||||
Vervolgonderwijs
In Tabel 39 zijn de resultaten van de regressieanalyses voor vervolgonderwijs te zien.
Een hogere mate van waarborgen van digitale weerbaarheid hangt significant samen met 1) grote besturen en 2) meer affinitiet met het onderwerp digitale weerbaarheid.
Een hogere mate van bewustwording hangt significant samen met 1) grote besturen, 2) meer affiniteit met het onderwerp digitale weerbaarheid en 3) grotere mate van comfort met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid.
Een hogere mate van capaciteit hangt significant samen met 1) regio noord en 2) een grotere mate van comfort met de bestuurlijke verantwoordelijkheid voor digitale weerbaarheid.
Een hogere mate van expertise hangt significant samen met meer affiniteit met het onderwerp digitale weerbaarheid.
| Model waarborgen van digitale weerbaarheid | Model bewust | Model capaciteit | Model expertise | |
|---|---|---|---|---|
| (Intercept) | 6,4 *** | 1,9 *** | 1,5 * | 3,4 *** |
| (1,4) | (0,5) | (0,7) | (0,4) | |
| Bestuursgrootte | 0,7 * | 0,2 * | 0,1 | 0,2 |
| (0,3) | (0,1) | (0,2) | (0,1) | |
| Lidmaatschap SIVON/MBO IBP/BIC/SURF CIO Raad/SCIPR/SCIRT | -0,1 | 0,0 | -0,0 | 0,1 |
| (0,3) | (0,1) | (0,2) | (0,1) | |
| Regio noord | -0,3 | 0,0 | 0,6 * | 0,0 |
| (0,5) | (0,2) | (0,2) | (0,2) | |
| Regio oost | 0,0 | 0,1 | 0,3 | -0,2 |
| (0,4) | (0,1) | (0,2) | (0,1) | |
| Regio zuid | 0,1 | 0,2 | 0,1 | 0,1 |
| (0,4) | (0,1) | (0,2) | (0,1) | |
| Digitale weerbaarheid eerder in loopbaan in takenpakket/portefeuille | 0,4 | 0,1 | 0,2 | 0,1 |
| (0,3) | (0,1) | (0,2) | (0,1) | |
| Aantal kennisvergrotende activiteiten | 0,3 | -0,0 | -0,0 | 0,0 |
| (0,2) | (0,1) | (0,1) | (0,1) | |
| Leeftijdscategorie | 0,1 | -0,2 | 0,0 | -0,1 |
| (0,2) | (0,1) | (0,1) | (0,1) | |
| Jaren ervaring als bestuurder categorie | -0,1 | 0,0 | -0,1 | 0,0 |
| (0,1) | (0,0) | (0,1) | (0,0) | |
| Affiniteit met digitale weerbaarheid | 0,2 * | 0,2 *** | 0,0 | 0,1 * |
| (0,1) | (0,0) | (0,0) | (0,0) | |
| Kwetsbare informatiearchitectuur | -0,0 | 0,0 | 0,0 | 0,0 |
| (0,1) | (0,0) | (0,0) | (0,0) | |
| Comfortabel met verantwoordelijkheid digitale weerbaarheid | 0,1 | 0,1 ** | 0,1 ** | 0,0 |
| (0,1) | (0,0) | (0,0) | (0,0) | |
| Extern ICT-incident meegemaakt | -0,4 | -0,1 | -0,1 | -0,0 |
| (0,3) | (0,1) | (0,2) | (0,1) | |
| N | 71 | 71 | 71 | 71 |
| *** p < 0,001; ** p < 0,01; * p < 0,05. | ||||
Onderzoeksopzet (kwalitatief)
Het kwalitatieve onderzoek beantwoordt de deelvragen:
Welke factoren helpen besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?
Welke factoren belemmeren besturen in het waarborgen van digitale weerbaarheid met betrekking tot onderwijscontinuïteit?
Hiervoor hebben we semigestructureerde interviews afgenomen en een thematische analyse uitgevoerd.
Steekproefopzet
Besturen
In totaal hebben we 25 school- en instellingsbesturen geïnterviewd. Omdat besturen in het vervolgonderwijs (mbo, hbo en wo) doorgaans verder gevorderd zijn op het gebied van digitale weerbaarheid dan besturen in het funderend onderwijs (po, vo en so), kozen we ervoor om de interviewverdeling daarop te baseren. Zodoende namen we 13 interviews af bij besturen binnen het funderend onderwijs (5 bij po, 4 bij vo en 4 bij so) en 12 bij besturen binnen het vervolgonderwijs (5 bij mbo, 3 bij hbo en 4 bij wo).
Voor de interviewsteekproef baseerden wij ons op de geselecteerde besturen voor de vragenlijst (zie Onderzoeksopzet Kwantitatief). Binnen deze groep voerden we vervolgens een gestratificeerde doelgerichte steekproef uit. Dit verwijst naar de toepassing van selectiecriteria binnen de alvorens genoemde sectorselecties, met als doel om de variatie tussen de geselecteerde besturen te waarborgen (Patton, 2002). De gehanteerde selectiecriteria zijn:
Variatie in bestuursgrootte;
minimaal één multisectoraal bestuur per sector (po, so, vo en mbo);
minimaal twee besturen per sector die in hun 2023 jaarverslag een cyberincident1 rapporteerden;
minimaal één technische en één niet-technische universiteit.
Bestuursgrootte en organisatiecomplexiteit kwamen uit de Monitor Digitale Weerbaarheid en Veiligheid (Inspectie van het Onderwijs, 2025a)2 naar voren als relevante criteria. De Monitor toonde aan dat zowel grotere besturen als multisector besturen zich vaker in hun jaarverslag verantwoorden over digitale weerbaarheid en veiligheid dan kleinere en monosector besturen. Dit patroon is te zien binnen alle sectoren (Inspectie van het Onderwijs, 2025a, p. 1).
Wij operationaliseerden bestuursgrootte voor po, vo en so als het aantal objecten van toezicht (ovt) dat onder een bestuur valt. Hierbij hanteerden we de indeling: 1 ovt = eenpitter, 2-10 ovt = klein, 11-25 ovt = midden, en meer dan 26 ovt = groot. Bij po, vo en so includeerden we, indien mogelijk, één bestuur per grootte. Het 5e po bestuur was van willekeurige grootte. We hanteerden dezelfde operationalisering van bestuursgrootte in het mbo en ho als bij de vragenlijst (zie Vervolgonderwijs). Daarnaast hielden we in het mbo rekening met de variatie tussen beroepscolleges en regionale opleidingscentra. Binnen het mbo interviewden we 2 multisector besturen en 3 monosector besturen. Binnen het ho interviewden we 4 kleine besturen en 3 grote besturen. Tevens wilden we minimaal één technische universiteit in de steekproef includeren, met de aanname dat zij een unieke invalshoek bieden met betrekking tot digitale weerbaarheid ten opzichte van een niet-technische universiteit.
Tot slot wilden we de inclusie van besturen garanderen die op de hoogte waren van een voorgedane cyberincident. Hiervoor maakten we gebruik van de dataset van de Monitor Digitale Weerbaarheid en Veiligheid 2025. Deze dataset verschafte informatie omtrent besturen die in hun 2023 jaarverslag een cyberincident rapporteerde. Wij zochten per sector variatie in besturen die wel en geen incident gerapporteerd hadden.
Binnen de hierboven beschreven selectiecriteria hebben we elk bestuur geselecteerd met behulp van de randomisatiefunctie in Excel.
Participanten
Per bestuur verzochten we om 2 personen te interviewen: een lid van het College van Bestuur (CvB) met digitale weerbaarheid of een verwant onderwerp in diens portefeuille, en een medewerker die verantwoordelijk is voor de informatiebeveiliging en privacy (IBP). In de praktijk bekleedden de door de besturen geselecteerde IBP-interviewparticipanten uiteenlopende functietitels, waaronder chief information security officer (CISO), information security officer (ISO), hoofd-IT en beleidsmedewerker IBP. Ook spraken we enkele personen in functies met meer afstand tot informatiebeveiliging, zoals een i-coach en functionarissen gegevensbescherming. In het publieksrapport en het technisch rapport verwijzen we naar al deze participanten gezamenlijk als IBP-functionarissen. Tegelijkertijd is het functieverschil tussen bijvoorbeeld een CISO en een i-coach groot; hier is tijdens de data-analyse rekening mee gehouden. Ook is voor elk citaat in het rapport gecontroleerd of de aanduiding ‘IBP-functionaris’ een passend functiepseudoniem was, en indien niet, is dit aangepast.
In totaal hebben we 67 personen geïnterviewd: 29 in de rol van bestuurslid3 en 38 in de rol van IBP-functionaris of een overige functie. Bij 10 van de 25 interviews namen uiteindelijk meer dan 2 en maximaal 4 participanten deel aan het gesprek. Tijdens één interview was het bestuurslid onverhoopt afwezig, diens plek werd ingenomen door een tweede IBP-functionaris.
Dataverzameling
De dataverzameling vond plaats van september 2025 tot en met november 2025. In totaal waren 9 projectteamleden betrokken bij de dataverzameling. De interviews werden afgenomen in tweetallen van een wetenschappelijk medewerker en een inspecteur van de desbetreffende sector. De meerderheid van de interviews vonden fysiek plaats, 4 interviews met vo-besturen vonden digitaal plaats. De interviewduur varieerde van 60 tot 90 minuten. De audio van alle interviews zijn, met toestemming van de participanten, opgenomen en vervolgens getranscribeerd door de transcribeerdienst Amberscript. Persoons-, instellings-, school- en bestuursnamen zijn verwijderd uit de transcripten. Alle besturen zijn voorzien van een pseudoniem (bijv.: “PO1” en “MBO5”). De audio-opnames zijn vernietigd na voltooiing van het rapport.
De interviews waren semigestructureerd, waarbij we gebruik maakten van drie verschillende topiclijsten afgestemd op funderend onderwijs, mbo en ho (zie Bijlage II). De topics waren geïnformeerd door de literatuur en bestonden uit: (1) bestuur en organisatie (2) capaciteit (3) expertise (4) beleid en ontwikkeling (5) praktijk en (6) toekomst. De topiclijsten van mbo en ho wijken af van de topiclijst voor funderend onderwijs, doordat deze een extra vraag bevatten over de NIS2-richtlijn. Na elk interview maakten de interviewers analytische memo’s ter reflectie op het interview en om eerste inzichten vast te leggen (zie Kwaliteit van het onderzoek).
Data-analyse
Voor de kwalitatieve data-analyse van de 25 interviewtranscripten voerden we een thematische analyse uit geïnformeerd door Braun en Clarke (2006). Daarbij richtten we ons op de identificatie, analyse en rapportage van overkoepelende thema’s binnen de dataset (Braun & Clarke, 2006, p. 79). Het codeerproces proces omvat het organiseren van de data door tekstuele codes te creëren en toe te kennen aan tekstfragmenten. Deze codes zijn vervolgens gegroepeerd tot betekenisvolle thema’s die een relevant aspect van de data in relatie tot deelvragen 4 en 5 benadrukken, en verschillende patronen binnen de dataset weergeven (Braun & Clarke, 2006, p. 82).
Drie wetenschappelijk medewerkers en één inspecteur waren betrokken in de uitvoering van de kwalitatieve analyse. Allen waren ook betrokken bij de dataverzameling. De meerderheid van de interviews, 24, zijn gecodeerd door de wetenschappelijk medewerkers. Voor het coderen gebruikten we de kwalitatieve data-analyse software NVivo (versie 14 en 15). De analyse vond plaats van eind november 2025 tot en met februari 2026.
Codeerproces
Gedurende de analyse hanteerden we een gerichte doch inductieve analysestrategie. Deelvragen 4 en 5 bakenden het focusgebied van de analyse af, namelijk helpende en belemmerende factoren met betrekking tot digitale weerbaarheidswaarborging door onderwijsbesturen. Daarbovenop werkten we met vooraf opgestelde codegroepen: capaciteit, expertise, bewustwording, ketenafhankelijkheid, samenwerkingen en de rol van de inspectie. Deze groepen waren gebaseerd op het theoretisch kader, de topiclijst, onze interviewindrukken en de analytische memo’s. Op basis daarvan anticipeerden we deze onderwerpen in de dataset aan te treffen. Codes die daarbuiten vielen, plaatsten we in de codegroep ‘Overig’. Per codegroep (met uitzondering van ‘rol inspectie’) codeerden we helpende factoren en belemmerende factoren.
We hanteerden een inductieve codeerstrategie. Dat houdt in dat we codes creëerden op basis van de interviewdata, en niet louter op basis van theoretische inzichten. Deze openheid vereist flexibiliteit, wat we waarborgden door de toevoegingen van de ‘overig’ (sub)codegroepen. Deze ‘overig’ groepen waren bedoeld voor codes die de we als relevant beschouwden, maar die afweken van de vooraf gecreëerde inhoudelijke groepen.
Tijdens de eerste codeerronde zijn er in totaal 7 transcripten gecodeerd, waarbij elke onderwijssector minimaal één keer gerepresenteerd was. Vervolgens zijn de codeerders twee keer samengekomen om de daaruit voortgevloeide codes te bespreken en het codeerschema te verfijnen. Naar aanleiding daarvan is de codegroep ‘Samenwerkingen’ aangepast naar ‘Samenwerkingen (extern)’ en creëerden we de nieuwe codegroep ‘Organisatie en aanpak IBP (intern)’. In de laatste codegroep plaatsten we onder andere codes gerelateerd aan interne samenwerkingen, bijvoorbeeld samenwerkingen tussen afdelingen of individuen binnen een bestuur, school of instelling.
De overige transcripten zijn gecodeerd op basis van het herziene codeerschema. Gedurende de analysefase hadden de codeerders regelmatig contact om met elkaar af te stemmen en ideeën te delen. Zo verzekerden we dat we dezelfde interpretatie van de codes hadden. Daarnaast bespraken de codeerders de tussentijdse resultaten met de overige projectteamleden tijdens plenaire sessies.
Thematiseren
Tijdens het coderen werd al gauw duidelijk dat vrijwel elke geïdentificeerde helpende en belemmerende factor direct of indirect terug te herleiden valt naar capaciteit, expertise en bewustwording. Zodoende bevestigde dit onze verwachting, op basis van de literatuurstudie, dat deze factoren randvoorwaarden zijn voor digitale weerbaarheid.
In directe zin geldt voor alle drie dat de aanwezigheid ervan een helpende factor is, en de afwezigheid ervan een belemmerende factor. Daarnaast kwamen uit de analyse ook indirecte factoren naar voren. Deze helpen of belemmeren het vergaren of behouden van capaciteit, expertise en/of bewustwording. Bijvoorbeeld op het gebied van bestuurlijke samenwerkingen. Participanten noemden verschillende helpende en belemmerende factoren met betrekking tot deze type samenwerkingen. Dit kwam aan bod tijdens de interviews omdat bestuurlijke samenwerkingen op hun beurt (kunnen) worden ingezet voor kennisdeling, wat weer verbonden is aan het versterken van de randvoorwaarde expertise.
De interviewdata bevatte een breed scala aan voorbeelden, oorzaken en gevolgen van zowel de (in)directe aanwezigheid als afwezigheid van capaciteit, expertise en bewustwording. Deze randvoorwaarden opereren niet geïsoleerd; in de analyse kwam naar voren dat er sprake is van een onderlinge wisselwerking waarbij de aan- en afwezigheid van capaciteit, expertise en bewustwording elkaar versterken en beperken. Zodoende, in het creëren van thema’s, richtten wij ons op het identificeren van overstijgende patronen tussen de opgestelde codegroepen. De nadruk lag hierbij op de interactie tussen capaciteit, expertise en bewustwording, en hoe deze randvoorwaarden elkaar wederzijds beïnvloeden.
Op basis daarvan resulteerde het hergroeperen van de codes en codegroepen in vier conceptuele thema’s: de veelzijdigheid van IBP, veiligheidscultuur, digitale weerbaarheid als ecosysteem en tot slot samenwerkingen (zie Bijlage I). In het publieksrapport bespreken we per thema hoe de randvoorwaarden direct en indirect, tezamen en apart van elkaar helpend of belemmerend kunnen zijn.
Kwaliteit van het onderzoek
In deze sectie beschrijven we de maatregelen die we hebben genomen om de kwaliteit van het onderzoek te waarborgen.
Het onderzoeken van digitale weerbaarheid vereiste een bepaald kennisniveau omtrent de onderwerpen informatiebeveiliging en -privacy in het onderwijs, cyberrisico’s en -dreigingen en de relevante beleidscontext. Want om een fenomeen goed te kunnen begrijpen, is het noodzakelijk dat er rekening wordt gehouden met de context waarin het zich voordoet (Lincoln & Guba, 1985). Om dit te bereiken, is er een uitvoerige literatuurstudie uitgevoerd voorafgaand aan de dataverzameling en -analyse. Deze functioneerde als oriëntatie voor de betrokken onderzoekers en diende als basis voor het onderzoek. Daarnaast lieten we ons informeren door personen en partijen buiten het projectteam met specialistische kennis omtrent IBP. Zo raadpleegden we hen onder meer tijdens het opstellen van de topiclijst.
Literatuur speelde daarnaast een belangrijke rol in het opstellen van de topiclijst en de steekproef. Zo formuleerden we theoretisch gefundeerde interviewvragen. Daarnaast bepaalden we de steekproef op basis van literatuur. Inzichten uit eerder onderzoek hielpen ons om relevante bestuurskenmerken te identificeren voor dit onderzoek (zie Steekproefopzet: Besturen). Deze bestuurskenmerken hebben we vervolgens gebruikt als selectiecriteria. Op deze manier hanteerden we theoretisch onderbouwde selectiecriteria waarmee we voldoende variëteit in onze steekproef konden garanderen.
Na elk interview schreven de interviewduo’s interviewmemo’s. Hierin beschreven de interviewers relevante contextuele factoren (zoals het aantal interviewparticipanten), opvallende gesprekspunten en interpretatieve ideeën. Door middel van de memo’s bleven de onderzoekers op de hoogte van elkaars interviews. Ook fungeerde het als voorzetje voor de analyse doordat het de onderzoekers attendeerde op aanvankelijk waargenomen patronen, en opvallende verschillen en overeenkomsten tussen de interviews.
Uit de interviewdata kwam de rol van niet-besturen (denk aan publieke ondersteunende organisaties en IT-leveranciers) evident naar voren. Voor de duiding van de resultaten vonden wij het belangrijk om hen te betrekken in het onderzoek. We organiseerden daarom in februari 2026 een focusgroep met vertegenwoordigers van Kennisnet, SIVON en SURF. Tijdens deze sessie presenteerden we onze initiële resultaten die op hen betrekking hadden, om hun perspectief erop te verkrijgen. De uitkomsten van de focusgroep zijn meegenomen in de nadere interpretatie van de data.
Wegens ethische overwegingen kozen we ervoor om in de rapportage van de kwalitatieve resultaten naast onderwijssector, bestuursgrootte en -complexiteit, geen nadere bestuurskenmerken te vermelden. We benoemden daarbovenop grootte en complexiteit louter op het moment dat deze relevant waren voor de analyseresultaten. Hiermee trachtten we de herleidbaarheid van de deelnemende besturen zoveel mogelijk te minimaliseren. Onder andere de kenmerken van technische- en niet technische universiteiten en de 2023 jaarverslagvermeldingen van cyberincidenten hebben we niet opgenomen in de rapportage. Deze selectiecriteria zijn toegepast voor variatiedekking. Echter, kennis van deze kenmerken per bestuur draagt naar ons inzicht niet bij aan het begrip van de resultatensectie en doet daarom geen afbreuk aan de kwaliteit van het onderzoek.
Reflecties
In deze paragraaf staan we stil bij de institutionele identiteit van de inspectie en hoe deze van invloed was op het onderzoek. Als inspectie zijn wij toezichthouder op de geïnterviewde besturen. Op die manier bekleedden de projectteamleden van dit onderzoek een dubbele rol, namelijk die van toezichthouder en onderzoeker. Dit resulteert in inherente spanningen in de uitvoering van kwalitatieve onderzoeksinterviews.
Allereerst kan sociale wenselijkheid en/of terughoudendheid van de participanten hun antwoorden hebben beïnvloed, met name vanwege onze positie als toezichthouder. Dit themaonderzoek is uitgevoerd in het kader van stelseltoezicht4, wat betekent dat wij geen oordeel geven op individueel school-, instelling- en bestuursniveau. Daarnaast houdt de inspectie ten tijde van de uitvoering van dit onderzoek niet direct toezicht op digitale weerbaarheid. Desalniettemin kunnen de interviewparticipanten de interviews hebben ervaren als een beoordeling. Zo gaat een inspectiebezoek voor velen gepaard met zich gecontroleerd voelen, ongeacht het type onderzoek. Dit kan vervolgens beïnvloeden wat een participant wel en niet met ons deelt tijdens een interview.
Daarbovenop is het onderzoek gesitueerd in de veranderende beleidscontext omtrent de invoering van de NIS2-richtlijn in het hbo en wo, en de heersende onzekerheid omtrent toezicht op digitale weerbaarheid in het mbo en funderend onderwijs. Voorafgaand aan de dataverzameling waren we ons bewust van de geladenheid van het onderzoeksonderwerp in combinatie met onze rol als toezichthouder. Mogelijk hinderde deze geladenheid de openhartigheid van sommige participanten.
We poogden hiermee om te gaan door middel van duidelijke, transparante communicatie en het scholen van de projectteamleden. In de aankondigingsbrief en verbaal ter inleiding van de interviews communiceerden we ons onderzoeksdoel en benadrukten we dat wij geen beoordeling geven. Daarnaast zijn de betrokken projectteamleden geïnstrueerd over kwalitatief onderzoek en het aanhouden van een open houding als interviewer. Hiermee trachtten we een zo open mogelijke sfeer te creëren voor de gespreksdeelnemers. Tegelijkertijd erkennen we de grenzen van deze inspanningen, en de mogelijkheid dat sociale wenselijkheid en/of de geladenheid van het onderwerp alsnog een rol hebben gespeeld tijdens de interviews. Desondanks hebben we waardevolle informatie verzameld omtrent belemmerende en helpende factoren in digitale weerbaarheidswaarborging.
Ten tweede willen we stilstaan bij de rol van de inspectie binnen het ecosysteem van digitale weerbaarheid. In het publieksrapport wordt de onderwijsinspectie niet besproken in relatie tot het ecosysteem. Dit betekent echter niet dat deze er geen rol in speelt. In tegendeel: ook de Inspectie van het Onderwijs is hierbinnen een actor. Een volwaardige verkenning van de dynamiek en implicaties van formeel toezicht binnen het ecosysteem lag buiten de scope van dit onderzoek. Toch blijft het belangrijk om te benadrukken dat de onderwijsinspectie wel degelijk een rol speelt, een die meer zichtbaar wordt met de inwerkingtreding van de NIS2-richtlijn.
Thans richten we ons op de directe impact van dit stelselonderzoek op de deelnemende besturen. Een einddoel van dit rapport is stimulerend toezicht. Op die manier tracht de inspectie als helpende factor op te treden binnen het ecosysteem van digitale weerbaarheid. Tegelijkertijd wezen enkele interviewparticipanten ons op de inzet die dit onderzoek van hen vereiste. Interviewdeelname, het invullen van de vragenlijst en de bijbehorende voorbereidingen nemen tijd in beslag. In het publieksrapport bespreken we hoe besturen en IBP-functionarissen wegens beperkte capaciteit soms moeilijke keuzes moeten maken over de inzet van hun tijd en prioriteiten.
Deelname aan inspectieonderzoek is wettelijk gezien niet vrijblijvend. Zodoende kan het mogelijk een extra belasting vormen voor besturen en IBP-functionarissen met beperkte capaciteit. Het uitgangspunt voor dit onderzoek is dat de resultaten op langere termijn ten bate van de besturen zullen zijn. Om de tijdsinvestering voor interviewparticipanten te beperken, zijn onderwijsbesturen die al betrokken waren bij een ander inspectieonderzoek niet opgenomen in de steekproef. Desalniettemin zijn we ons bewust dat elk stelselonderzoek, ondanks deze afweging, een bepaalde mate van tijdinvestering vraagt.
Referenties
Braun, V., & Clarke, V. (2006). Using thematic analysis in psychology. Qualitative research in psychology, 3(2), 77-101.
Inspectie van het Onderwijs. (2025a). Monitor digitale weerbaarheid en veiligheid. Geraadpleegd van https://www.onderwijsinspectie.nl/site/binaries/site-content/collections/documents/2025/09/29/rapport-monitor-digitale-weerbaarheid-en-veiligheid/84015+-+IvhO+-+Kort+rapport+Monitor+digitale+weerbaarheid+en+veiligheid_TG-UA.pdf
Inspectie van het Onderwijs. (2025b). Technisch Rapport: Monitor digitale weerbaarheid en veiligheid. Geraadpleegd van https://www.onderwijsinspectie.nl/site/binaries/site-content/collections/documents/2025/09/29/rapport-monitor-digitale-weerbaarheid-en-veiligheid/Technisch+rapport+Monitor+digitale+weerbaarheid+en+veiligheid.pdf
Patton, M. Q. (2002). Qualitative research and evaluation methods (Vol. 3). Sage
Bijlage I - Codeboom
Veelzijdigheid van informatiebeveiliging en privacy (IBP)
Integrale veiligheidsvisie
Bestuurlijke betrokkenheid
- Agenderen en prioriteren IBP
Multidisciplinaire inrichting van IBP
Integrale samenwerking (intern)
Centrale organisatie IBP
Duidelijke rol- en verantwoordelijkheidsverdeling
Korte lijntjes
Monitoring en evaluatie
Onafhankelijke toetsing
Self-assesments
Veiligheidscultuur
Digitale weerbaarheid als gedeelde verantwoordelijkheid (intern)
Betrokkenheid medewerkers
Draagvlak creëren
Communicatiestrategieën
Open, lerende cultuur
Laagdrempeligheid
Fouten maken mag
Leren van elkaar
Transparantie (zij naar jou, jij naar hen)
Zichtbaar leiderschap
Voorbeeldgedrag
Zichtbare steun IBP-maatregelen (legitimatie)
Trainingen en scholing
Verhogen digitale geletterdheid
Toespitsen op context
Ecosysteem en verantwoordelijkheid
Samenwerken met (en dus afhankelijkheid van) externe partners is onvermijdelijk
ICT-middelen
Inhuurkrachten
Kennisdeling
Externen leveren diensten die je zelf niet kunt realiseren
Je moet externe partners controleren en aansturen
Aanwezige risico's liggen buiten je directe invloedsfeer
DWV is een gedeelde verantwoordelijkheid (extern)
Commercie IT-partners schuren met DW waarborging besturen
Samenwerkingen
Kansen
IBP op nationaal niveau organiseren en standaardiseren
Leren van elkaar en bestaande kennis benutten
Shared services en gezamenlijke aanbestedingen
Gezamenlijk optrekken tegen commerciële IT-partners
Helpende factoren
Externe partijen faciliteren samenwerkingen tussen besturen
Gebruik maken van bestaande samenwerkingen
Eenheid van bevel
Commitment en bereidheid concessies te doen
Risico’s en belemmerende factoren
Ontbreken gelijksoortige sparringpartner
Afwijkende kennisbehoeften per bestuur
Prisoner’s dilemma en (angst voor) meeliftgedrag
Ongehoorde stem binnen samenwerking (beperkte invloed)
Wens om eigen zaken eerst op orde te hebben voordat je samenwerking aangaat
Medebesturen zitten met dezelfde vraagstukken
Fragmentatie publieke ondersteuningsorganisaties
Afhankelijkheid van dezelfde partij vergroot kwetsbaarheid
Bijlage II - Topiclijst
Topic 1: Bestuur en organisatie
IBP’er: Hoe is het IBP-team samengesteld en welke rollen zijn er verdeeld?
Sprake van inhuur IBP-professionals?
Sprake van dubbele rollen? (VB: onderwijsfunctie & IBP-taken)
Hoe verhoudt het bestuur zich tot het IBP-team m.b.t. de waarborging van digitale weerbaarheid (DW)?
- Hoe duidelijk is het voor jullie wie waarvoor verantwoordelijk is?
Op welke momenten hebben het bestuur en IBP-team contact over DW?
Structureel vs. incidenteel?
Welke onderwerpen komen er aan bod?
In hoeverre leeft het thema DW onder de andere bestuursleden en het schoolpersoneel?
En onder leerlingen?
Waaruit blijkt dat?
Topic 2: Capaciteit
Hoe wordt IBP begroot?
Welke rol speelt het IBP-team in dit besluitproces?
Op welke momenten wordt het budget aangepast? (bijv. jaarlijks/per kwartaal/etc.)
- Waarom?
Welke factoren bepalen de besteding van het IBP-budget?
- In hoeverre is het huidige budget toereikend voor de waarborging van DW?
Hoe ervaren jullie de werkdruk rondom de waarborging van DW?
Oorzaak werkdruk?
Beschikbare FTE binnen de school en/of het bestuur?
Eigen werkbare uren?
Topic 3: Expertise
Hoe komen jullie (het IBP-team en het schoolbestuur) aan de benodigde expertise voor de waarborging van DW?
Welke rol speelt externe kennisdeling hierin?
- Samenwerkingen met netwerken en/of andere scholen en besturen?
In hoeverre denken jullie dat het schoolpersoneel en -bestuur beschikken over de benodigde expertise om de DW te kunnen waarborgen?
Hoe speel je hierop in?
- Professionalisering?
Onderzoek toont aan dat in veel scholen, de IBP-expertise veelal bij een kleine groep medewerkers ligt (Dialogical, 2023). Dit betekent dat als één van deze sleutelfiguren uitvalt, dit impact kan hebben op de digitale weerbaarheid van de school (= single points of failure).
Hoe ervaren jullie dit?
Hoe waarborgen jullie DW indien er een sleutelfiguur uitvalt?
Topic 4: Beleid & ontwikkeling
Hoe zouden jullie de huidige stand van zaken omschrijven rond digitale weerbaarheid binnen het bestuur en de school/scholen?
Waar zijn jullie tevreden over?
Welke belemmeringen ervaren jullie?
- Oorzaak belemmeringen?
Kunnen jullie iets vertellen over de ontwikkeling die de school/scholen en het bestuur hebben doorgemaakt om de digitale weerbaarheid te vergroten?
Welke belemmeringen ervaarden jullie?
- Hoe gingen jullie daarmee om?
Welke factoren hielpen jullie om stappen vooruit te zetten?
- Welke hulpmiddelen gebruiken jullie hiervoor? (denk aan de richtlijnen normenkader IBP, NIS2, enzovoorts)
Wanneer en met welke reden maken jullie aanpassingen in het IBP-beleid?
Topic 5: Praktijk
Wij definiëren (cyber)incident als een verstoring van je digitale omgeving (Digital Trust Center, z.d.). Deze verstoring kan door mensen veroorzaakt worden, maar ook door defecte apparatuur of een stroomstoring. Voorbeelden van cyberincidenten zijn een hack of een DDoS-aanval, maar ook de internetverbinding die even niet beschikbaar is, of een digibord dat niet meer aangaat.
Hebben jullie te maken gehad met een (cyber)incident binnen het bestuur of de school/scholen en zo ja, hoe gingen jullie te werk?
Kunnen jullie een praktijkvoorbeeld noemen?
Wat ging er goed gedurende dit proces?
Waar lagen de knelpunten?
Wat gebeurt er nadat een incident is verholpen?
In hoeverre kunnen jullie terugvallen op beleid tijdens een (cyber)incident?
Hoe wordt de onderwijscontinuïteit gewaarborgd tijdens een incident?
Topic 6: Toekomst
Kijkend naar de toekomst, waar maken jullie je zorgen over als het gaat om de waarborging van digitale weerbaarheid op de school/scholen?
- Wat hebben jullie nodig om hierop in te kunnen spelen?
(MBO) Wat betekent de inwerkingtreding van de cyberveiligheidswet in het HBO en WO voor het MBO?
- Welke invloed zal de inwerkingtreding hebben op de samenwerking tussen het MBO en HBO/WO binnen het SURF-verband?
(HBO/WO) Hoe kijken jullie naar de inwerkingtreding van de cyberbeveiligingswet (NIS2-richtlijnen) voor hogescholen en universiteiten?
Welke kansen zien jullie?
Welke risico’s zien jullie?
Wat hebben jullie nodig om de cyberveiligheidswet op een duurzame manier te implementeren?
Welke rol zou de onderwijsinspectie volgens jullie idealiter vervullen op het gebied van DW in het onderwijs?
Welke rol niet?
Waarom zou je een (cyber)incident wel of juist niet melden bij de inspectie?
Afsluiting
- Is er iets dat jullie nog kwijt willen over dit onderwerp?
Voetnoten
Onder cyberincident wordt hier verstaan: beveiligingsincident, cyberaanval, datalek, DDoS-aanval, phishing en ransomware (Inspectie van het Onderwijs, 2025b).↩︎
Voor dit onderzoek kregen wij vroegtijdig toegang tot de resultaten en dataset van de Monitor Digitale Weerbaarheid En Veiligheid. De publicatiedatum van de Monitor was september 2025, en onze steekproef voor het kwalitatieve onderzoek werd opgezet rond het voorjaar van 2025.↩︎
Tijdens één interview spraken we een directeur in plaats van CvB-lid. Dit was vooraf met ons afgestemd.↩︎
Stelseltoezicht verwijst naar de toezicht op de kwaliteit van het onderwijs gericht op het onderwijsstelsel als geheel. Onderzoeken binnen stelseltoezicht zijn niet gericht om een oordeel te verschaffen op individuele scholen, instellingen en besturen. Stelseltoezicht | Inspectie van het onderwijs↩︎