Achtergrond
image

Is er een juridische manier om inzicht te krijgen in het securitybeleid van onze school?

woensdag 20 mei 2026, 12:32 door Arnoud Engelfriet, 18 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het nauwelijks hacken omdat de beveiliging minimaal was. Uiteraard vind de school het schandalig, maar voor mij als security auditor en moeder redenen om me af te vragen: is de rest van de school dan ook zo belabberd beveiligd. Kan ik daar inzage in krijgen, mag ik maatregelen eisen?

Antwoord: Het 'hacken' van ict-apparatuur op school is voor leerlingen leuk en interessant, maar inderdaad reageren scholen daar scherp op. De tijd dat je dan een stage bij een securitybedrijf kreeg (of de IT-persoon van school mocht worden) is al lang voorbij: ik ken zo tien gevallen van mensen tegen wie aangifte werd gedaan in zo'n situatie.

Uiteraard is dat vrij kansloos als de security minimaal tot afwezig is, en er natuurlijk geen echte schade is aangericht. En ik snap wel dat je bij afwezige schade als ouder denkt: is dit representatief voor hoe de school ict-security implementeert. Dat zou goed kunnen, hoewel net zo goed mogelijk is dat de printers door een andere partij worden beheerd dan het leerlingvolgsysteem of de financiële administratie.

Inzage in het beveiligingsbeleid van een organisatie is algemeen eigenlijk niet mogelijk. Ook bij beveiligingsbeleid rond persoonsgegevens is daarvoor geen bevoegdheid: de informatieplichten (artikel 13 en 14 AVG) verwijzen niet naar het beveiligingsbeleid. En bij het recht van inzage (artikel 15) kan geen inzage in genomen beveiligingsmaatregelen worden geëist.

Wel heeft de AVG het algemene beginsel van transparantie (artikel 5 lid 1 onder a), waaruit je kunt afleiden dat transparant zijn over de beveiliging van gegevensverwerking er desondanks bij hoort. Hierover is geen jurisprudentie, en in de richtsnoeren van de EDPB of Autoriteit Persoonsgegevens zie je hier niets over terug. Wel beschrijven veel partijen in algemene zin hun beveiligingsmaatregelen in de privacyverklaring, maar dat gaat zelden verder dan mooie beloften of opmerkingen dat ergens een ISO 27001 certificering voor afgegeven is.

In maart deed de Autoriteit Persoonsgegevens een oproep aan scholen en leveranciers van digitale leermiddelen op om goede afspraken te maken en open te zijn over het verwerken van persoonsgegevens van leerlingen. Hierbij noemt men expliciet dat duidelijkheid gegeven zou moeten worden over "Hoe deze gegevens worden beveiligd, hoe lang de gegevens worden bewaard en in welke systemen". Je zou met een beroep op deze oproep het gesprek aan kunnen gaan.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (18)
Reageer met quote
20-05-2026, 13:21 door Anoniem
Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het nauwelijks hacken omdat de beveiliging minimaal was. Uiteraard vind de school het schandalig,

Maar de school zag het niet als een pen-test? Om zwakke plekken bloot te leggen.
Of had het kind rotzooi getrapt met die printer?
Reageer met quote
20-05-2026, 13:24 door Anoniem
Iedere school moet verplicht een medezeggenschapsraad hebben, zoals vastgelegd in deze wet: https://wetten.overheid.nl/BWBR0020685/2025-08-01
Diezelfde wet bepaald ook dat de MR alle onderwerpen bespreekbaar kan en mag maken met de bestuurder van de school. Indien er een meerderheid is in de MR over dat onderwerp, is de bestuurder verplicht om gemotiveerd antwoord te geven.

In dit geval kan de vragensteller contact opnemen met de medezeggenschapsraad, of zich er zelfs kandidaat voor stellen en vanuit die route de bestuurder vragen inzage te geven in het security beleid van de school. Omdat vraagsteller zelf security auditor is, kan vraagsteller ook optreden als externe deskundige voor de MR, als kandidaatstelling (nog) niet toepasselijk is.
Reageer met quote
20-05-2026, 13:33 door Anoniem
Ouders worden op school vertegenwoordigd door de MR. De MR heeft wel een informatierecht en kan toetsen of de informatiebeveiliging op school adequaat is ingericht.
Reageer met quote
20-05-2026, 13:35 door Anoniem
Zonder de school te kennen: ga er maar vanuit dat het zo lek als een mandje is.
Volledig gericht op 'makkelijk'. En niet op 'veilig' (voor zover dat met meuk die aan internet hangt bestaat).
Dat wordt overgoten met een sausje van 'procedures', 'protocollen' en wat 'standaards', al dan niet voorzien van 'certificaten' waardoor het heel wat moet lijken.

Maakt net uit. Het is maar data van burgers tenslotte.
Reageer met quote
20-05-2026, 15:40 door Anoniem
Het hacken van de printer an sich kan al gezien worden als computervredebreuk. Het is immers een "geautomatiseerd werk", en hoewel de beveiliging ervan minimaal was, is toegang verkregen door een beveiliging te doorbreken of een technische ingreep. Hoe triviaal dat ook was. Als er een slotje op de voordeur zit dat te lockpicken is met een paperclip, is het nog steeds wel een slotje en niet de bedoeling dat je de deur opent als je de sleutel niet hebt. En zo is ook bijvoorbeeld een default login van admin:admin een (heel slecht) slotje.

De leerling was nieuwsgierig (waarvoor hulde!) en doorbrak een beveiliging (boo!). Ik zou het eerder als een uitstekende gelegenheid zien om iets uit te leggen over responsible disclosure en niet direct te gaan straffen.

Een pentest is het overigens niet, omdat dat een beveiligingsonderzoek is met vooraf gestelde kaders en rules of engagement. (Source: ik heb ruim vijf jaar als pentester gewerkt). Afhankelijk van de intenties van de leerling zou ik het vooral framen als nieuwsgierigheid en benieuwd zijn naar de motivatie die erachter zat. Misschien dat hier een goede insteek te vinden is voor een mooie loopbaan in IT security. Mits het natuurlijk niet keihard wordt neergeslagen door de school.
Reageer met quote
20-05-2026, 15:56 door Anoniem
Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het nauwelijks hacken omdat de beveiliging minimaal was
Toegang verkrijgen is één maar wat is er nog meer gebeurd?
Als de deur van een lokaal open staat en je gaat naar binnen is dat niet zo erg. Als je de kasten leeghaalt en het digibord kapot maakt, dan wel.
Reageer met quote
20-05-2026, 17:19 door Anoniem
Een leerling heeft een printer overgenomen. Ik wil niet zeggen gehackt, want indien de default credentials nog werkte heeft dat geen "hack" gehalte.

Maar jij als Securtiy Auditor weet ook dat het toelaten van derden (je bent immers niet verbonden met de school), omdat ze wel even willen kijken of het allemaal goed is, niet aanvaardbaar is. Tevens weet je dan ook dat centrale printers overal vandaan benaderbaar moeten zijn. Dus wat wordt dan de casus waarop jij je onderzoek wil doen?

Storm in een glas water lijkt mij. En ik doe dat Security dingetje pas een paar jaartjes. Op bijvoorbeeld scholen dienen sommige zaken eenvoudig benaderbaar te zijn. En dat gaat ten koste van de beveiliging. Ik zeg niet dat, indien hier de default settings nog geconfigurred waren, het dan wel goed was. Maar voor een printer werkt een brute force scriptje redelijk. Wel benieuwd of de school het met hun andere beveiligingstools gezien hebben.
Reageer met quote
21-05-2026, 06:39 door Anoniem
Door Anoniem: Zonder de school te kennen: ga er maar vanuit dat het zo lek als een mandje is.
Je pleit voor handelen vanuit vooroordelen.

Het is best mogelijk dat je gelijk zal blijken te hebben als je wat beter naar deze school zou kijken. Het is ook best mogelijk dat dat voor schrikbarend veel scholen geldt.

Maar als je iets zo zeker weet dat je het niet nodig vindt om nog te kijken of het ook echt zo is, ga er dan maar vanuit dat je het dan niet opmerkt als je met een geval te maken hebt dat niet aan je vooroordeel voldoet; en dat je het dan finaal over het hoofd ziet als het beeld aan het veranderen is, dan ga je met je vooroordeel steeds vaker de plank misslaan.

Blijf telkens kijken hoe het echt zit als je een realistisch beeld van een situatie wilt hebben. Het is zinvol om te weten of iets in het algemeen vaak fout of juist vaak goed gaat, dat helpt om te bepalen waar in het algemeen veel energie ingestoken moet worden, en bij het stellen van prioriteiten als je een concreet geval onderzoekt, maar besef wel dat dat algemene beeld de optelsom van concrete gevallen is, en dat in concrete gevallen domweg moet weten hoe het in dat concrete geval zit om daar iets mee te kunnen.

Maakt net uit. Het is maar data van burgers tenslotte.
Daarvoor geldt hetzelfde.
Reageer met quote
21-05-2026, 10:53 door Anoniem
Staat er expliciet op papier wat wel en niet mag? Is het wel duidelijk gemaakt wat de definitie van hacken is vanuit de school? I doubt it.
Reageer met quote
21-05-2026, 11:07 door Anoniem
Ik vermoed dat het doel van de vraagsteller is om te beoordelen of deze school wel geschikt is voor haar kind, en of het gebrek aan beveiliging op een precifiek punt mogelijk representatief is voor andere zaken. Dan is vragen naar beleid een goed manier om te beoordelen of de school in staat is om kwaliteit te leveren.

Of je dit vanuit de AVG aan moet pakken... dat kan, als het werkt dan werkt het, maar je kunt ook bij de onderwijsinspectie kijken of er rapporten beschikbaar zijn, of bij het bestuur kijken of men jaarrapportages publiceert. zijn er certificeringen behaald?
De weg via de MR is ook een goede, maar dan adviseer ik om dat te doen vanuit betrokkenheid en de wens om de school te helpen met verbeteren, of kwalitatief op niveau te blijven, niet voor een persoonlijk doel.

En als je je zoon dan van school haalt, waar breng je 'm dan naartoe? Als het doel niet is om die overweging te maken, wat is dan het doel? Check dus als vraagsteller wat je probeert te bereiken, en ga daarvoor.
Reageer met quote
21-05-2026, 11:20 door Anoniem
Door Anoniem: Staat er expliciet op papier wat wel en niet mag? Is het wel duidelijk gemaakt wat de definitie van hacken is vanuit de school? I doubt it.

De school hoeft het Wetboek van Strafrecht niet over te schrijven in het lokale reglement.

Hooguit dingen die "normaal" wel mogen maar op school niet, bijvoorbeeld "balspelen op het schoolplein" .

Maar ze hoeven ook niet expliciet te schrijven dat het ingooien van de ramen verboden is.
Reageer met quote
21-05-2026, 14:08 door Anoniem
Dit heb ik vroeger op de middelbare ook wel eens geflikt, maar toen werd je nog uitgenodigd door de systeembeheerder om het een en ander uit te leggen en te laten zien. Jammer hoe deze school het aanpakt
Reageer met quote
21-05-2026, 15:21 door Anoniem
Dat zou wat zijn, als elke ouder zich zou kunnen gaan bemoeien met dat soort beleid van scholen. Of betrokken bij andere bedrijven en organisaties. Ondoenlijk. Het overgrote deel weet ook niet waar ze het over hebben, en diegenen die dat wel weten zijn dan vaak onhebbelijke betweters met oogkleppen die geen enkel compromis acceptabel vinden.

Laten we dit vooral houden bij diegenen die daarvoor bevoegd zijn, er zijn al genoeg toezichthouders, medezeggenschapsorganen, keurmerken, en certificeringen waarmee één en ander afgevangen en aangetoond kan worden.
Reageer met quote
22-05-2026, 11:47 door Anoniem
"Inzage in het beveiligingsbeleid van een organisatie is algemeen eigenlijk niet mogelijk" Dit geld natuurlijk voor de volledige inzage in het beveiligingsbeleid van een organisatie, maar er kan wel gevraagd worden naar toegepaste securitystandaarden, certificeringen en onafhankelijke auditrapportages. Een ISO 27001-certificering geeft daarbij een redelijke indicatie van de volwassenheid en inrichting van het informatiebeveiligingsbeleid, zonder volledig inzicht te geven in de daadwerkelijke securitypositie.Scholen hebben doorgaans richtlijnen ingericht zoals BIO en ISO27001 en kunnen worden geaudit, ook vanuit de SURF instantie. Een makkelijke vraag waarop een school eigenlijk geen nee zou mogen antwoorden is om te vragen of dit is uitgevoerd en of deze op niveau is.
Reageer met quote
22-05-2026, 13:02 door Anoniem
Ja. Hij heeft ook gelijk met koeienletters "School is stom!" op alle binnenmuren gespoten omdat er nu eenmaal geen concierge of CCTV aanwezig was die dat kon detecteren. Adequete maatregelen ontbreken dus dan mag het? Wat een onzin.
Reageer met quote
23-05-2026, 10:44 door Anoniem
"maar voor mij als security auditor en moeder redenen om me af te vragen: is de rest van de school dan ook zo belabberd beveiligd. Kan ik daar inzage in krijgen, mag ik maatregelen eisen?"

Dit laat wel zien waarom audits zo belabberd en nutteloos zijn. Je zou zelf het antwoord moeten weten.
Reageer met quote
26-05-2026, 09:12 door Anoniem
Door Anoniem: Ja. Hij heeft ook gelijk met koeienletters "School is stom!" op alle binnenmuren gespoten omdat er nu eenmaal geen concierge of CCTV aanwezig was die dat kon detecteren. Adequete maatregelen ontbreken dus dan mag het? Wat een onzin.
Niemand maakt dat punt
Reageer met quote
26-05-2026, 10:22 door Anoniem
Door Anoniem: "maar voor mij als security auditor en moeder redenen om me af te vragen: is de rest van de school dan ook zo belabberd beveiligd. Kan ik daar inzage in krijgen, mag ik maatregelen eisen?"

Dit laat wel zien waarom audits zo belabberd en nutteloos zijn. Je zou zelf het antwoord moeten weten.
Een security auditor wordt ingehuurd om iets door te lichten, op basis van een contract dat toegang geeft tot mensen en informatie. De school huurt deze moeder niet in als auditor, ze is ouder van een leerling, dus heeft ze niet zomaar die mogelijkheden die ze in haar werk wel heeft. Haar vraag is waar je als ouder juridisch gezien dan eigenlijk staat als je toch meer wil weten en normen wil stellen.

Ik zie eigenlijk totaal niet in waarom ze zelf het antwoord zou moeten weten op de vraag die ze stelt, ze is security auditor en geen jurist, en (dus) ook niet waarom hieruit zou blijken dat audits belabberd en nutteloos zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure GenAI Deep Dive Security Training