Benchmark IBP

In het mbo benchmarken we al sinds 2015 de kwaliteit van informatiebeveiliging en privacy van alle instellingen. Met de Benchmark IBP onderzoeken hoe volwassen de informatiebeveiliging en privacy hebben georganiseerd. We gebruiken hiervoor toetsingskaders als meetlat. Op het gebied van informatiebeveiliging geven mbo-instellingen aan hoe ze scoren op de 69 statements van het SURFaudit toetsingskader Informatiebeveiliging (het NBA-model). Voor privacy doen ze dat (vanaf 2024) op 25 statements van het SURFaudit Toetsingskader Privacy, dat is gebaseerd op het AVG-borgingsproduct van de Vereniging Nederlandse Gemeenten.   

Ondersteuning vanuit het programma

Vanuit het programma hebben we instellingen op meerdere manieren hulp geboden bij hun voorbereidingen op de Benchmark IBP 2025. Bijvoorbeeld met het stappenplan dat we in de Teams-omgeving van het netwerk IBP hebben gedeeld. Ook waren er inloopmomenten waarin we inhoudelijke vragen hebben beantwoord en onduidelijkheden hebben toegelicht. Instellingen konden voor vragen ook altijd terecht bij Evie-Janne van Noorel. Net als vorig jaar hebben instellingen hun resultaten voor de Benchmark IBP 2025 via TrustBound GRC ingestuurd.

Resultaten Benchmark IBP 2025

De Benchmark IBP 2025 laat zien dat de mbo-sector op het onderdeel Privacy met 0,1 is gestegen naar een gemiddelde van 2,4. Het onderdeel Informatiebeveiliging is daarentegen iets is gedaald ten opzichte van de benchmark van vorig jaar (met 0,1 naar 2,2). Dat was te verwachten. Vorige jaren deden alle scholen dit op basis van zelfassessments, terwijl een deel van de mbo-instellingen de resultaten van dit jaar heeft vastgesteld op basis van externe security-audits door Deloitte. Een externe auditor kijkt altijd kritischer naar de bewijslast dan een zelfassessor. Omdat Deloitte de scholen concrete adviezen heeft gegeven, gaan we ervan uit dat de cijfermatige terugval van tijdelijke aard is.

Leren van elkaar en andere sectoren

De benchmarkcijfers van 2025 laten vooral zien dat mbo-instellingen in SURF-verband veel van elkaar en van de andere sectoren kunnen leren. Daarom willen we vanuit ons programma de samenwerking in het vervolgonderwijs verder stimuleren, bijvoorbeeld via het SURF Security Expertise Centrum (SEC). In het domein Governance en Organisatie scoort het mbo traditioneel goed. Beleidsmatig hebben we het gemiddeld genomen dus goed voor elkaar. Maar in de domeinen Risicomanagement, Security Management, Identiteits- en toegangsbeheer en Ketenbeheer kunnen we verbeteren. Ook belangrijke statements als Verwijderen van data en Externe back-up-opslag verdienen de komende tijd extra aandacht van mbo-instellingen. Vanuit het programma Cyberveiligheid stimuleren we dat onder meer met Digital Cleanup mbo.

Sector- en instellingsrapportages Benchmark IBP 2025

Net als eerdere jaren zijn er van de Benchmark IBP 2025 een algemene sectorrapportage en voor elke instelling een individuele rapportage opgesteld. De instellingsrapportage is sinds eind april beschikbaar in Trustbound. Contactpersonen van de benchmark hebben een bericht ontvangen met een instructie hoe ze de instellingsrapportage kunnen downloaden.

Vanuit het programma Cyberveiligheid hebben we de sectorrapportage van de Benchmark IBP 2025 in dezelfde periode gedeeld via de Teams-omgeving van het netwerk IBP. In deze rapportage bespreken we de scores voor informatiebeveiliging en privacy per domein, met een gedetailleerde toelichting en actiepunten voor instellingen om hun scores te verbeteren. We hebben ook de bevindingen van Deloitte opgenomen, gebaseerd op hun ervaringen met security-audits bij instellingen. Daarnaast bevat de sectorrapportage de bevindingen Maurits Toet. Hij heeft bij tien mbo-instellingen een expertreview op de privacy-statements uitgevoerd.