Met de Benchmark IBP onderzoekt de sector hoe instellingen de informatiebeveiliging en privacy hebben georganiseerd. De metingen zijn interessant voor scholen omdat ze zien hoe ze scoren ten opzichte van andere. Maar ze zijn ook belangrijke input voor het programma Cyberveiligheid. Omdat we precies weten op welke thema’s we als mbo-sector risico’s lopen, kunnen we daar extra aandacht aan besteden.

In het mbo benchmarken we al sinds 2015 de kwaliteit van informatiebeveiliging en privacy van alle instellingen binnen Nederland instellingen. Met de Benchmark IBP onderzoeken hoe volwassen de informatiebeveiliging en privacy hebben georganiseerd. We gebruiken hiervoor toetsingskaders als meetlat. Op het gebied van informatiebeveiliging geven mbo-instellingen aan hoe ze scoren op de 69 statements van het SURFaudit toetsingskader Informatiebeveiliging (het NBA-model). Voor privacy doen ze dat (in 2024 voor het eerst) op 25 statements van het SURFaudit Toetsingskader Privacy, dat is gebaseerd op het AVG-borgingsproduct van de Vereniging Nederlandse Gemeenten.   

Voorbereiden Benchmark IBP 2025

Volgens afspraak leveren instellingen hun resultaten voor de Benchmark IBP 2025 in vóór 31 januari 2025 bij SURF. Net als vorig jaar doen ze dit via TrustBound GRC. Vanuit het programma Cyberveiligheid organiseren we twee informatieve onlinebijeenkomsten. Hierin beantwoorden we inhoudelijke vragen en lichten we onduidelijkheden toe, die er mogelijk bij instellingen spelen. De bijeenkomsten vinden plaats op donderdag 9 januari 2025 (16:00 17:00 uur) en dinsdag 14 januari 2025 (16:00 17:00 uur). De Teams-links voor deze bijeenkomsten zijn gedeeld in de Teams-omgeving van het netwerk IBP, een stappenplan voor het invullen van de Benchmark IBP 2025 volgt binnenkort. Heb je vragen? Stuur dan een mailtje naar Evie-Janne van Noorel. 

IB-resultaten Benchmark 2024

Alle 51(*) mbo-instellingen hebben aan de Benchmark IBP 2024 deelgenomen. Die laat zien dat mbo-instellingen gemiddeld een volwassenheid voor informatiebeveiliging van 2,3 scoren. Dat is een groei van 0,2 ten opzichte van de IB-nulmeting die eind 2022 op verzoek van ons programma is uitgevoerd. Bij nadere analyse zien we bij alle statements een lichte groei.  

De groei is iets sterker op de statements die te maken hebben met technische weerbaarheid. Dat is wellicht te verklaren door de speciale aandacht voor technische weerbaarheid vanuit het programma Cyberveiligheid. Met onder andere de MBOKS-sessies, het kanaal Technische weerbaarheid, schoolbezoeken en concrete handreikingen hebben we de IT-specialisten van de instellingen van praktische ondersteuning voorzien. Een van de statements op het gebied van technische weerbaarheid valt extra op: monitoring en logging stijgt met 0,7 naar een volwassenheidsscore van 2,4. Dit is volgens ons een mooie indicatie dat de stimuleringsregeling voor de implementatie van SURFsoc effect heeft gehad. 

Privacy-resultaten Benchmark IBP

In de Benchmark IBP 2024 komt ook de gemiddelde volwassenheidscore voor privacy uit op een 2,3. Het valt op dat het statement dat te maken heeft met het uitvoeren van DPIA’s vrij laag scoort. We hopen dat deze score volgend jaar beter is dankzij activiteiten die we vanuit het programma hebben opgezet. Zo voeren we vanuit het programma DPIA’s voor mbo-specifieke applicaties al sectoraal uit. En dragen we financieel bij aan de SURF Vendor Compliance dienst waarmee we sectorale DPIA’s samen met de hogescholen en de universiteiten gaan uitvoeren.   

Veranderingen Benchmark IBP in 2024

In 2024 hebben mbo-instellingen voor het eerst de mbo-brede GRC-applicatie gebruikt om de Benchmark IBP in te vullen en op te sturen. Mbo-scholen gebruiken deze applicatie sinds begin van het jaar om hun volwassenheid op het gebied van informatiebeveiliging en privacy (IBP) te documenteren en de benodigde maatregelen te plannen. De instellingen zijn positief over de nieuwe manier van invullen en opsturen van de Benchmark IBP.  

De ingeleverde mbo-scores worden vanaf dit jaar door SURFaudit verwerkt; eerder deed MBO Digitaal dit voor de mbo-scholen. SURFaudit verwerkt ook de scores van hogescholen en universiteiten en kan op die manier het overkoepelende sectorbeeld schetsen.  

 (*) Een aantal instellingen was bezig met een fusietraject. Deze scholen hebben de benchmark gezamenlijk ingevuld.  

Contactpersoon

Neem contact op met Evie-Janne van Noorel voor meer informatie.