11 mrt
Benchmark IBP
11 maart 2026

Benchmark IBP 2026: sterke basis informatiebeveiliging en privacy, uitvoering verdient aandacht

De jaarlijkse SURFaudit Benchmark Informatiebeveiliging en Privacy (IBP) laat zien waar het mbo staat op het gebied van digitale weerbaarheid. In de editie van dit jaar namen alle 51 mbo-instellingen deel. Het resultaat toont een gemixt beeld van de volwassenheid van de sector én biedt concrete aanknopingspunten voor verbetering.

Privacy stabiel, lichte daling informatiebeveiliging

Binnen de mbo-sector is het beeld op het onderdeel Privacy stabiel: net als vorig jaar is het gemiddelde 2,4. Omdat instellingen hun privacyprocessen de afgelopen jaren goed hebben verankerd, hebben we dit niveau weten vast te houden.

Op het onderdeel Informatiebeveiliging zien we een lichte daling. Het gemiddelde komt uit op 2,0: een afname van 0,2 procentpunt. Een verklaring is dat alle instellingen inmiddels een eerste security-audit hebben gehad, waar dat vorig jaar slechts een klein gedeelte betrof. Een externe auditor kijkt nou eenmaal kritischer dan een zelfassessor.

Sterke basis, uitvoering vraagt aandacht

Duiken we dieper in de cijfers, dat zien we dat de sector goed scoort op de informatiebeveiligingsdomeinen Governance, Organisatie en Risk Management. Deze domeinen laten een lichte stijging zien, dus veel mbo-instellingen hebben de basis beleidsmatig en organisatorisch op orde. Tegelijkertijd kunnen we in de uitvoering winst behalen: de domeinen Security Management en IT-operatie blijven achter bij de meer strategische onderdelen. Ook in het privacydomein Beleid is de sector licht gedaald, terwijl de overige privacydomeinen gelijk zijn gebleven of een lichte groei laten zien.

Instellingsrapportage: sturen op verbetering

Voor alle mbo-instellingen is in de mbo-brede GRC-applicatie TrustBound een uitgebreide instellingsrapportage beschikbaar. Hiermee kunnen scholen hun eigen resultaten analyseren en sturen op verbetering. De rapportage bevat ook een vergelijking met de sectorgemiddelden, waarmee instellingen hun positie beter kunnen duiden. Verder zijn de resultaten van de vorige benchmark opgenomen, zodat instellingen een beeld krijgen van hun ontwikkeling.

Leerpunten zichtbaar maken, niet één-op-één vergelijken

Omdat de scores van de Benchmark IBP op verschillende manieren tot stand zijn gekomen, is bij onderlinge vergelijking tussen scholen de nodige voorzichtigheid op zijn plaats. Een deel van de instellingen heeft recent de externe security-audit afgerond en de resultaten daarvan ingevoerd in de Benchmark IBP. Andere instellingen zijn langer geleden ge-audit, hebben sindsdien verbeteringen doorgevoerd en die verwerkt in hun score van de Benchmark IBP. Het gemiddelde cijfer is daarmee een optelsom van verschillende fasen van volwassenheid van instellingen.

Deze mix van benchmarkresultaten maakt het lastig om instellingen één-op-één te vergelijken. De kracht van de Benchmark IBP zit daarom vooral in het zichtbaar maken van trends en leerpunten. Niet om instellingen met elkaar te vergelijken, maar om te bepalen waar we als sector staan en waar we van elkaar kunnen leren.

Concrete aanknopingspunten voor verbetering

De benchmarkresultaten bieden zo aanknopingspunten waarop scholen hun organisatie van informatiebeveiliging en privacy kunnen versterken. Vanuit het programma Cyberveiligheid bieden we daarvoor concrete ondersteuning met meerdere activiteiten.

Een voorbeeld is het statement Testen van, inspectie van en toezicht op beveiliging. Dit is dit jaar mbo-breed het sterkst gedaald, waarschijnlijk omdat instellingen dit statement niet voldoende kunnen aantonen. Het programma biedt meerdere handvatten om het statement te verbeteren, waaronder:

  • Van check tot hack: een serie technische controles waarmee instellingen hun technische weerbaarheid stapsgewijs verhogen. Hierbij onderzoeken we specialisten zowel het externe als interne aanvalsoppervlak en bieden ze handelingsperspectief om risico’s te beperken.
  • Samenwerking met het SURF Expertise Centrum: de hier gebundelde kennis biedt veel mogelijkheden voor mbo-instellingen om hun cyberweerbaarheid te verhogen. Bijvoorbeeld op het gebied van configuratiebeheer en technisch IB-beleid.
  • Kosteloze pentesten, die instellingen inzicht geven in (ketens van) technische kwetsbaarheden zodat ze deze geprioriteerd kunnen oplossen.
  • Ondersteuning, kennisdeling en vraagbaak voor technische weerbaarheid, bijvoorbeeld ten aanzien van security monitoring.
  • De Cyberweerbaarheidspool, die ervoor gaat zorgen dat testen continu uitgevoerd worden in plaats van ad-hoc. Hierin kunnen we zaken ook sectoraal vastleggen in beleid in plaats van ieder voor zich én bijvoorbeeld IT- en functioneel beheer centraliseren.
  • MBOKS: kennisdeling en vraagbaak voor technische weerbaarheid.
  • CISO-as-a-Service: CISO as a Service richt zich primair op het ondersteunen van de scholen bij het voorbereiden en het uitvoeren van de security-audits.
  • Young professionals: mbo-instellingen kunnen via de CISO as a Service ook extra capaciteit van een Young Professional inhuren. Dit is een beginnende security en/of privacy officer met een basisopleiding op het gebied van informatiebeveiliging en privacy. De YP’s worden gedurende hun inzet bijgeschoold door de partnerorganisatie en actief begeleid door de CISO as a.

Een ander voorbeeld is het statement Verwijdering van data, waarop de mbo-sector dit jaar minder scoort. Het zorgvuldig en aantoonbaar verwijderen van data blijft een uitdaging, wat direct raakt aan privacy, informatiebeveiliging én datakwaliteit. De benchmark benadrukt dat deze inzet geen ‘nice to have’ is, maar een noodzakelijke stap om door te groeien in volwassenheid. Met Digital Cleanup mbo zetten we vanuit het programma hier actief op in door instellingen te ondersteunen bij het opschonen van data, het maken van bewaartermijnen en het inrichten van duurzame processen voor dataverwijdering.

In het privacydomein is het statement Verwerkingsregister opzet en vastlegging verwerkingen het meest gestegen. Dit mede dankzij het generiek verwerkingsregister dat we vanuit het programma hebben ontwikkeld en instellingen naar eigen behoefte kunnen aanpassen. Meerdere mbo-instellingen hebben hiermee een hogere score bereikt. We raden instellingen die dit nog niet hebben gedaan aan om hun verwerkingsregister op deze manier werkbaar en toekomstbestendig in te richten

Uitgebreide sectorrapportage volgt

Nu de instellingsrapportages zijn afgerond, werken we vanuit het programma aan een sectorrapportage. Deze geeft een overkoepelend beeld van de belangrijkste trends en aandachtspunten binnen het mbo en biedt verdere aanknopingspunten voor gezamenlijke activiteiten. Zodra de sectorrapportage gereed is, delen we deze binnen het Netwerk IBP.

Meer informatie

Wil je meer informatie over de benchmark IBP of over de ondersteuning die we vanuit het programma Cyberveiligheid bieden? Neem dan contact op met Evie-Janne van Noorel.

Categoriën & Tags

Cyberveiligheid
, , ,
Reacties (0)
Geef een reactie