Benchmark IBP 2025: ‘Mbo-sector groeit in volwassenheid, maar de cijfers laten dat niet altijd zien’
De jaarlijkse Benchmark IBP geeft inzicht in hoe de mbo-instellingen ervoor staan op het gebied van informatiebeveiliging en privacy. Omdat naast het mbo ook het hbo en de universiteiten meedoen, ontstaat een sectorbreed beeld. Dat maakt het mogelijk om van elkaar te leren.
De SURFaudit Benchmark Informatiebeveiliging en Privacy (IBP) is een jaarlijks onderzoek naar de kwaliteit van informatiebeveiliging en privacy in het vervolgonderwijs. Dit jaar deden ruim 100 instellingen mee aan de benchmark, waaronder meer dan 50 mbo-instellingen.
Invloed externe audits op score 2025
De benchmark laat zien dat de mbo-sector op het onderdeel Privacy met 0,1 is gestegen naar een gemiddelde van 2,4. Het onderdeel Informatiebeveiliging is daarentegen iets is gedaald ten opzichte van de benchmark van vorig jaar (met 0,1 naar 2,2). Dat was te verwachten, omdat een deel van de mbo-instellingen de resultaten van dit jaar heeft vastgesteld op basis van externe security-audits. Vorige jaren deden alle scholen dit op basis van zelfassessments. ‘Een externe auditor kijkt toch altijd kritischer naar de bewijslast dan een zelfassessor’, aldus Martijn Bijleveld programmamanager Cyberveiligheid mbo.
Leren van audits, van elkaar en van andere sectoren
Omdat Deloitte de scholen concrete adviezen heeft gegeven, is de cijfermatige terugval volgens de programmamanager van tijdelijke aard. ‘Ik durf de stelling wel aan dat zelfs instellingen met een flinke terugval, juist met een hogere volwassenheid uit de audit komen. En deze benchmarkcijfers laten vooral zien dat mbo-instellingen in SURF-verband veel van elkaar en van de andere sectoren kunnen leren. Daarom willen we vanuit ons programma de samenwerking in het vervolgonderwijs verder stimuleren, bijvoorbeeld via het SURF Security Expertise Centrum (SEC).’
Onderling vergelijk dit jaar lastiger
De scores voor de benchmark IBP zijn op verschillende manieren tot stand gekomen. Sommige scholen hebben de scores met een zelfassessment bepaald, andere baseerden ze op de externe audit. Ook zijn er instellingen die een mix van beide hebben gebruikt. Onderling vergelijken was altijd al lastig vanwege de onnauwkeurigheid van het instrument zelfassessment. Nu we gefaseerd overgaan naar externe audits, is dat tijdelijk nog moeilijker. Martijn: ‘Gebruik de resultaten dus vooral om je als individuele instelling te meten aan de landelijke trend, niet voor een wedstrijdje ver-plassen. De benchmark geeft inzicht in de gebieden waar je van andere mbo-instellingen kan leren.’
De belangrijkste trends in 2025
In het domein Governance en Organisatie scoort het mbo traditioneel goed. Beleidsmatig hebben we het gemiddeld genomen dus goed voor elkaar. Maar in de domeinen Risicomanagement, Security Management, Identiteits- en toegangsbeheer en Ketenbeheer kunnen we verbeteren. Ook belangrijke statements als Verwijderen van data en Externe back-up-opslag verdienen de komende tijd extra aandacht van mbo-instellingen.
Inzage in kwetsbaarheden – en mogelijke maatregelen
Op basis van het Convenant Cyberveiligheid is met de scholen afgesproken dat MBO Digitaal de beschikking krijgt over de scores van de Benchmark IBP en security-audits. Op die manier kunnen we best-practices herkennen en die gebruiken als input voor onze modelaanpak en -documenten. Voor onderdelen waar de hele sector achterblijft, ontwikkelen we vanuit het programma Cyberveiligheid activiteiten om de scholen verder te helpen. Zo zetten we in het domein Risicomanagement al diverse activiteiten op, waar mogelijk in SURF-verband.
Instellingsrapportages en sectorbeeld
Op dit moment werken we hard aan de instellingsrapportages en het sectorbeeld 2025. We verspreiden beide rapportages voor het einde van maart via het Netwerk IBP.
Meer informatie
Wil je meer informatie over de benchmark IBP en de ondersteuning die wij bieden vanuit het programma Cyberveiligheid? Neem dan contact op met Evie-Janne van Noorel of Martijn Bijleveld.