Security in onderwijsland: waarom leveranciers meer verantwoordelijkheid moeten durven pakken

In dit artikel:

Onderwijsinstellingen in Nederland werken met ingewikkelde ketens en veel privacygevoelige gegevens, maar willen vooral goed onderwijs leveren en niet worstelen met IT-beheer. Die combinatie maakt security in het onderwijs kwetsbaar: gefragmenteerde leverancierslandschappen en uiteenlopende volwassenheidsniveaus bemoeilijken structurele beheersing van cyberrisico’s.

Xedule, een Visma-bedrijf dat rooster- en onderwijslogistieke software levert aan mbo- en hbo-instellingen, verwerkt dagelijks roosters, planningen en aanwezigheid en koppelt met andere systemen. Walter van Hest, Information Security Manager bij Xedule, legt uit dat die ketenafhankelijkheid security essentieel maakt. In een recent gesprek beschrijft hij hoe Xedule probeert een voortrekkersrol te vervullen door aantoonbare maatregelen, meer transparantie en actieve ketensamenwerking.

Een knelpunt ligt in de inkoop: security-eisen in aanbestedingen variëren sterk en worden niet altijd onafhankelijk geverifieerd. Xedule zet daarom in op meer dan het minimum; het bedrijf is ISO 27001-gecertificeerd en levert een verklaring van toepasselijkheid waarmee het concreet maakt welke maatregelen zijn doorgevoerd en hoe die worden onderhouden. Dat hielp er toe dat ten minste één onderwijsinstelling deze verklaring standaard opnam in haar aanbestedingsvraag, wat de vergelijkbaarheid en het veiligheidsniveau verhoogt.

Transparantie is een tweede pijler. Xedule rapporteert proactief over incidenten, bevindingen en verbeteracties: security-rapportages zitten standaard in hun SLA’s, ook als een melding geen directe impact had. Ze delen dreigingsinformatie met klanten, bijvoorbeeld wanneer hun SOC een inlogpagina op het dark web tegenkomt; ze verscherpen logging en waarschuwen instellingen ook als het exacte risico nog niet te duiden is. Die open houding leidt tot meer vertrouwen en tot verzoeken van instellingen om hulp bij audits en penetratietests — taken waar sommige leveranciers terughoudend in zijn.

Xedule benadrukt dat security niet stopt bij de applicatie. Omdat meerdere partijen toegang hebben tot data, ontstaan onduidelijke verantwoordelijkheden. Xedule neemt vaak het voortouw bij het opstellen van verwerkersovereenkomsten en bij het vastleggen van rolverdelingen (wie is verwerkingsverantwoordelijke, wie heeft toegang, wie is aansprakelijk). Om ketenrisico’s concreet en toetsbaar te maken, liet Xedule onafhankelijk door SURF een sectorbrede DPIA uitvoeren voor Xedule en My Xedule. Die beoordeling, bedoeld om privacyrisico’s in kaart te brengen, identificeerde zowel verbeterpunten bij de leverancier als bij instellingen en leverde concrete mitigaties op. Xedule was de eerste leverancier in het onderwijs die op eigen initiatief zo’n onafhankelijke DPIA initieerde.

Als onderdeel van Visma maakt Xedule gebruik van een centraal securityprogramma: periodieke assessments, onafhankelijke reviews, volwassenheidsniveaus en 24/7-monitoring via een SOC. Die infrastructuur en het netwerk van securityspecialisten binnen Visma helpen Xedule om security structureel in te bedden en klanten praktisch te ondersteunen. Volgens Van Hest maakt die combinatie het mogelijk om niet alleen aan compliancetools te voldoen, maar ook daadwerkelijk ketenveiligheid te verbeteren en onderwijsinstellingen te ontzorgen.