Volgens Jan Bakker van APS IT-diensten wordt de druk op scholen om hun cyberveiligheid op orde te hebben steeds groter. “En dat komt nog bovenop de kerntaak van scholen: goed onderwijs geven.” Wachtwoordbeheer is daarbij nog altijd het ‘laaghangend fruit’: een cruciale eerste stap naar structurele digitale weerbaarheid in het onderwijs.

Wat valt er in het onderwijs te halen?

Jan Bakker loopt al sinds de jaren tachtig mee in de onderwijs-ICT en zag de ontwikkeling van dichtbij. “We zijn van floppy disks en on-premise servers naar volledig cloudgebaseerde omgevingen gegaan. De technologie is veranderd, maar de verantwoordelijkheid om het goed te regelen is gebleven.”

In het primair onderwijs wordt inmiddels massaal gewerkt met oplossingen van partijen als Microsoft en Google. De overstap naar SaaS en cloud heeft veel beheer uit handen genomen, maar volgens Jan betekent dat bepaald niet dat scholen achterover kunnen leunen. “Integendeel, je kunt veel uitbesteden, maar je moet wel je regierol blijven invullen. Contractmanagement, borgen van privacy-afspraken, toezicht op leveranciers, dat wordt alleen maar belangrijker.”

Het idee dat scholen geen interessant doelwit zijn voor cybercriminelen noemt Jan een misvatting. “Onderwijsinstellingen staan steevast hoog in de lijstjes van sectoren die worden aangevallen. Terwijl het beeld vaak is: wat valt er bij ons nou te halen?” Het antwoord is simpel: data. Leerlinggegevens, zorginformatie, toetsresultaten en personeelsdossiers zijn waardevol. Bovendien werken scholen met veel gebruikers en relatief open infrastructuren.

“Er hoeft maar één zwakke schakel te zijn,” zegt Jan. “Eén datalek, één gecompromitteerd account, en je hebt een serieus probleem.”

De balans tussen beheersing en innovatie

Scholen moeten voldoen aan het normenkader voor informatiebeveiliging en privacy, onderdeel van het programma Digitaal Veilig Onderwijs. Dat vraagt om groei naar een hoger volwassenheidsniveau, met aandacht voor beleid, techniek en organisatie. Maar tegelijkertijd willen scholen blijven vernieuwen en inspelen op technologische ontwikkelingen.

In de praktijk verschilt de uitgangspositie sterk. “Grote stichtingen kunnen functies centraliseren en schaalvoordelen benutten,” zegt Jan. “Maar er zijn ook individuele scholen waar ICT er gewoon bij wordt gedaan. Daar zit een heel spectrum tussen.” De toenemende schaalvergroting in het onderwijs helpt volgens hem wel. “Die consolidatieslag zorgt uiteindelijk voor verdere professionalisering en daarmee meer veiligheid.”

De opkomst van AI maakt die balans nog urgenter. Tools zoals Microsoft Copilot worden steeds vaker gebruikt in het onderwijs. “Je ziet dat mensen met allerlei AI-applicaties gaan experimenteren, vaak met data van de school. Dan moet je je steeds wel afvragen of dat  veilig is.”

Verbieden is volgens Jan geen gewenste oplossing. “Als je niks doet, sta je stil. Maar je moet wel weten wat er met je data gebeurt.” De uitdaging voor scholen is daarom om ruimte te geven aan innovatie, en tegelijkertijd grip te houden op risico’s.

Begin bij de dagelijkse kwetsbaarheden

In plaats van te verdwalen in complexe vraagstukken zoals AI, cloudgovernance en DPIA’s (Data Protection Impact Assessments), is het belangrijk te beginnen bij de dagelijkse kwetsbaarheden, zegt Jan. In de praktijk ziet hij dat medewerkers op scholen met talloze applicaties werken, dat wachtwoorden worden hergebruikt of gedeeld en dat multifactor authenticatie niet altijd consequent is ingericht. “Als je daar begint, zet je al een enorme stap.”

Volgens Jan helpt het om die kwetsbaarheid concreet te maken. “Als je laat zien wat er nu eigenlijk gebeurt met wachtwoorden binnen een organisatie, dan gaat het gesprek vanzelf.” Nulmetingen maken zichtbaar waar de risico’s zitten en zorgen ervoor dat bestuurders, samen met hun ICT-verantwoordelijken, gerichter keuzes kunnen maken. Bovendien draagt professioneel wachtwoordbeheer direct bij aan verbetering van het volwassenheidsniveau binnen het normenkader.

Wachtwoordbeheer als fundament

Vanuit die redenering kijkt Jan ook positief naar een oplossing zoals MindYourPass. Voor hem draait de keuze niet om marketing of merkvoorkeur, maar om praktische en bestuurlijke overwegingen. De centrale vragen zijn steeds: verlaagt deze toepassing aantoonbaar het risico en is het uitvoerbaar binnen de schoolorganisatie?

Daarbij spelen meerdere factoren mee. Een oplossing moet overzicht en controle bieden, maar ook aansluiten op de bestaande infrastructuur, vaak gebaseerd op Microsoft- of Google-omgevingen. “Het moet passen binnen de realiteit van de school,” benadrukt hij. Als de implementatie te complex of te arbeidsintensief is, blijft het liggen. Daarnaast moet de oplossing ook financieel haalbaar zijn.

Ook privacy en herkomst wegen mee. Steeds vaker willen ook scholen weten waar hun data wordt verwerkt en onder welke juridische kaders. Transparantie en Europese borging worden in dat licht steeds belangrijker.

Uiteindelijk ziet Jan professioneel wachtwoordbeheer niet als eindpunt, maar als fundament. Het gebruik van een tool is geen doel op zich; het gaat om grip krijgen op een concreet en dagelijks risico. In die context past MindYourPass volgens hem binnen de keuzes die scholen nu moeten maken om hun digitale basis structureel te versterken.