Benchmark IBP

In het mbo benchmarken we al sinds 2015 de kwaliteit van informatiebeveiliging en privacy van alle instellingen. Met de Benchmark IBP onderzoeken hoe volwassen de informatiebeveiliging en privacy hebben georganiseerd. We gebruiken hiervoor toetsingskaders als meetlat. Op het gebied van informatiebeveiliging geven mbo-instellingen aan hoe ze scoren op de 69 statements van het SURFaudit toetsingskader Informatiebeveiliging (het NBA-model). Voor privacy doen ze dat (vanaf 2024) op 25 statements van het SURFaudit Toetsingskader Privacy, dat is gebaseerd op het AVG-borgingsproduct van de Vereniging Nederlandse Gemeenten.   

Ondersteuning vanuit het programma

Vanuit het programma bieden we instellingen op meerdere manieren hulp bij hun voorbereidingen op de Benchmark IBP. Bijvoorbeeld met het stappenplan dat we in de Teams-omgeving van het netwerk IBP delen. Ook zijn er inloopmomenten waarin we inhoudelijke vragen beantwoorden en onduidelijkheden toelichten. Instellingen konden voor vragen ook altijd terecht bij Evie-Janne van Noorel. 

Resultaten Benchmark IBP 2025

Net als het jaar ervoor hebben instellingen hun resultaten voor de Benchmark IBP 2025 via TrustBound GRC ingestuurd. De resultaten laten zien dat de mbo-sector dat jaar op het onderdeel Privacy met 0,1 is gestegen naar een gemiddelde van 2,4. Het onderdeel Informatiebeveiliging is daarentegen iets is gedaald ten opzichte van de benchmark van een jaar eerder (met 0,1 naar 2,2). Dat was te verwachten. Eerdere jaren deden alle scholen dit op basis van zelfassessments, terwijl een deel van de mbo-instellingen de resultaten van in 2024 heeft vastgesteld op basis van externe security-audits door Deloitte. Een externe auditor kijkt altijd kritischer naar de bewijslast dan een zelfassessor. Omdat Deloitte de scholen concrete adviezen heeft gegeven, gaan we ervan uit dat de cijfermatige terugval van tijdelijke aard is.

Sector- en instellingsrapportages Benchmark IBP 2025

Vanuit het programma Cyberveiligheid hebben we de sectorrapportage van de Benchmark IBP 2025 gedeeld via de Teams-omgeving van het netwerk IBP. In deze rapportage bespreken we de scores voor informatiebeveiliging en privacy per domein, met een gedetailleerde toelichting en actiepunten voor instellingen om hun scores te verbeteren. We hebben ook de bevindingen van Deloitte opgenomen, gebaseerd op hun ervaringen met security-audits bij instellingen. Daarnaast bevat de sectorrapportage de bevindingen Maurits Toet. Hij heeft bij tien mbo-instellingen een expertreview op de privacy-statements uitgevoerd.

Leren van elkaar en andere sectoren

De benchmarkcijfers van 2025 laten vooral zien dat mbo-instellingen in SURF-verband veel van elkaar en van de andere sectoren kunnen leren. Daarom blijven we vanuit het programma de samenwerking in het vervolgonderwijs stimuleren, bijvoorbeeld via het SURF Security Expertise Centrum (SEC). In het domein Governance en Organisatie scoort het mbo traditioneel goed. Beleidsmatig hebben we het gemiddeld genomen dus goed voor elkaar. Maar in de domeinen Risicomanagement, Security Management, Identiteits- en toegangsbeheer en Ketenbeheer kunnen we verbeteren. Ook belangrijke statements als Verwijderen van data en Externe back-up-opslag verdienen de komende tijd extra aandacht van mbo-instellingen. Vanuit het programma Cyberveiligheid stimuleren we dat onder meer met Digital Cleanup mbo.

Benchmark IBP 2026

De deadline voor het inleveren van de Benchmark IBP 2026 is vrijdag 30 januari 2026. Ook dit jaar sturen instellingen hun resultaten in via TrustBound GRC. Vanuit het programma krijgen scholen weer een instellingsrapportage en een sectorrapportage.