Beschrijving
Dit betreft een conceptversie, die voorgelegd wordt in de Architectuurraad van donderdag 5 februari 2026. Vervolgens wordt deze versie – na advies van de Architectuurraad – voorgelegd in de Standaardisatieraad van dinsdag 3 maart 2026.
In deze standaard worden afspraken gemaakt over het (basis)niveau van informatiebeveiliging en privacy voor toepassingen die worden gebruikt binnen in het onderwijs (PO, VO, MBO en HO). Het bepaalt het niveau voor Betrouwbaarheid, Integriteit en Vertrouwelijkheid van een toepassing en schrijft op basis daarvan de benodigde maatregelen voor (zie Toetsingskader). Daarnaast geeft deze standaard invulling aan de wijze waarop dit bewerkstelligd kan worden (zie Proces). En hoe dit getoetst kan worden (zie Toezicht). Onderwijsinstellingen moeten er namelijk vanuit kunnen nagaan dat persoonsgegevens op een veilige manier worden verwerkt door onderwijstoepassingen binnen het onderwijs.
Het certificeringsschema bestaat uit een set van documenten. Welke versies van deze documenten zijn vastgesteld en de meest recente versies, staan in onderstaande tabel:
| Document | Type | Vastgesteld | Meest recente versie |
| Algemene beschrijving | Tekstdocument | 3.0 | – |
| Proces | Tekstdocument | 3.0 | – |
| Toetsingskader* | Spreadsheet | 4.0 | – |
| Toezicht | Tekstdocument | 3.0 | – |
* Classificatie is hier onderdeel van.
In deze versie (2025) van het Toetsingskader zijn zowel de BIV-classificatievragen (Stap 2) als de maatregelen herzien en op basis daarvan aangescherpt en verduidelijkt, zodat het Toetsingskader beter aansluit bij actuele ontwikkelingen en het huidige dreigingsbeeld.
Voor Beschikbaarheid is meer nadruk gelegd op rollback-scenario’s bij onderhoud en op inzicht in huidige en recente beschikbaarheidscijfers, die (vanaf niveau Hoog proactief) beschikbaar moeten zijn voor de afnemer.
Voor Integriteit is vastgelegd dat invoer- en uitvoercontrole op niveau Hoog ook betrekking heeft op de integriteit van gegevens, bijvoorbeeld door middel van hashing. Daarnaast geldt voor de controle op de integriteit van configuratie, software en logging een minimale frequentie van jaarlijks. Ook is regulering van root-accounts van toepassing op alle niveaus, inclusief Laag. Voor logging is bovendien expliciet onderscheid gemaakt tussen functionele en technische logging.
Voor Vertrouwelijkheid geldt dat netwerk- en toegangsbeveiliging verder is aangescherpt, met standaard twee-factor authenticatie vanaf vertrouwelijkheidsniveau Midden, het overnemen van 2FA bij federatieve inlog en een strengere scheiding tussen beheer- en gebruikerstoegang. Logging en monitoring, OTAP-eisen en gegevensvernietiging zijn nader uitgewerkt. De maatregel Omgaan met kwetsbaarheden is herschreven en logisch opgebouwd van laag naar hoog, waarbij privacy-by-design en security-by-design nader zijn toegelicht met concrete en specifieke maatregelen. Daarnaast is screening verplicht gesteld voor medewerkers die toegang hebben tot productiegegevens.
Binnen de BIV-classificatie zijn de vragen geactualiseerd over onder andere de impact op gebruikers, contractuele verplichtingen en economische en reputatieschade. Ook zijn antwoordopties consistenter en preciezer geformuleerd, zodat de classificatie beter toepasbaar is in de praktijk.
Een volledig overzicht van alle wijzigingsverzoeken is opgenomen in de bijbehorende RFC-lijst. Hierin zijn ook de RFC’s opgenomen die (nog) niet zijn doorgevoerd, inclusief de toelichting daarvan.
Samenhang
Het certificeringsschema wordt gebruikt om informatiebeveiligingseisen te specificeren voor toepassingen die met Edukoppeling zijn aangesloten. Edukoppeling is de standaard voor veilige gegevensuitwisseling tussen toepassingen binnen het onderwijs.
Ook hangt het samen met de algemene normenkaders voor IBP, die door het PO, VO, MBO en HO worden gebruikt. Deze normenkaders geven richting aan de invulling van Informatiebeveiliging en Privacy d.m.v. volwassenheidsniveau. Het Certificeringschema sluit daarop aan; het geeft daar een nadere invulling op basis
van het BIV-niveau, per onderwijstoepassing. Ofwel, het is complementair aan elkaar.
Verder wordt in een aantal maatregelen van het certificeringsschema doorverwezen naar andere standaarden, zoals die van Uniforme Beveiligingsvoorschriften. Die op hun beurt ook weer gebruikmaken van het classificatiemodel binnen het Toetsingskader om maatregelen aan te wijzen op basis van het BIV-niveau.
Daarnaast wordt het certificeringsschema standaard gebruikt binnen het Convenant digitale onderwijsmiddelen en privacy, om overeen te komen (middels de verwerkersovereenkomst) dat de juiste maatregelen worden genomen. De deelnemers van dit convenant – de verwerkers – dienen namelijk in het beginsel de rapportagevorm te gebruiken van dit certificeringsschema. De deelnemers maken daarvoor gebruik van het Toetsingskader om de juiste BIV-niveau te bepalen en te toetsen of de juiste maatregelen zijn getroffen. De rapportage wordt toegevoegd aan de beveiligingsbijlage van de verwerkersovereenkomst.
Meerwaarde
Met het Certificeringsschema kunnen organisaties die ict-toepassingen leveren in het onderwijs, getoetst worden op basis van een gezamenlijk opgesteld ‘normenkader’ dat wordt beheerd binnen Edustandaard. Organisaties worden daarom niet meermalen getoetst op verschillende normenkaders en kunnen eenvoudig aantonen dat ze informatiebeveiliging en privacy op orde hebben.
Onderwijsinstellingen kunnen eenvoudig nagaan of een ict-toepassing voldoet aan de gestelde maatregelen.
Gebruik
De licentie op het certificeringsschema is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat je vrij bent om het werk te delen en te bewerken, mits je bronvermelding toepast. Let wel op dat het certificeringsschema specifiek is ontworpen voor de educatieve keten.
Heeft u vragen of ideeën over het certificeringsschema? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “Certificeringsschema IBP” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of het certificeringsschema goed te gebruiken is en zijn doelen bereikt.
Wilt u meewerken aan het certificeringsschema? Dan kunt u zich aanmelden voor de werkgroep IBP.
Implementatie
Om het Certificeringsschema als organisatie toe te passen wordt de volgende werkwijze aangeraden:
1. Download de meest recente versies in bovenstaande tabel
2. Lees de algemene beschrijving
3. Ga aan de slag met het Toetsingskader en volg daar de stappen
In het toetsingskader worden alle benodigde stappen toegelicht, wat leidt tot een rapportage van de huidige situatie. De inspanning hiervoor bedraagt 40-60 uur verdeeld over verschillende personen en staat in meer detail beschreven in het procesdocument.
Ontwikkelingen
Deze standaard is onderdeel van de Referentie Onderwijs Sector Architectuur (ROSA ) en wordt binnen Edustandaard beheerd door de werkgroep IBP. Deze werkgroep bestaat uit IBP-specialisten uit de onderwijsketen en vertegenwoordigt zowel onderwijs als leveranciers. Via deze werkgroep kunnen alle partijen in de onderwijsketen invloed uitoefenen op de inhoud van deze standaard.
Documentatie
Normatieve documenten
Alle documentatie en specificaties die verplicht zijn bij het implementeren van een afspraak.