Benchmark IBP

In het mbo benchmarken we al sinds 2015 de kwaliteit van informatiebeveiliging en privacy van alle instellingen. Met de Benchmark IBP onderzoeken hoe volwassen de informatiebeveiliging en privacy hebben georganiseerd. We gebruiken hiervoor toetsingskaders als meetlat. Op het gebied van informatiebeveiliging geven mbo-instellingen aan hoe ze scoren op de 69 statements van het SURFaudit toetsingskader Informatiebeveiliging (het NBA-model). Voor privacy doen ze dat (in 2024 voor het eerst) op 25 statements van het SURFaudit Toetsingskader Privacy, dat is gebaseerd op het AVG-borgingsproduct van de Vereniging Nederlandse Gemeenten.   

Benchmark IBP 2025

Vanuit het programma hebben we instellingen op meerdere manieren hulp geboden bij hun voorbereidingen op de Benchmark IBP 2025. Bijvoorbeeld met het stappenplan dat we in de Teams-omgeving van het netwerk IBP hebben gedeeld. En met inloopmomenten waarin we inhoudelijke vragen hebben beantwoord en onduidelijkheden hebben toegelicht. Instellingen konden voor vragen ook altijd terecht bij Evie-Janne van Noorel. Net als vorig jaar hebben instellingen hun resultaten voor de Benchmark IBP 2025 via TrustBound GRC SURF ingestuurd.

Benchmarkresultaten 2025

Dit jaar ontvangen alle instellingen weer een instellingsrapportage en een sectorrapportage. De instellingsrapportage is vanaf half februari als download beschikbaar in TrustBound. De contactpersonen van de benchmark ontvangen hierover een bericht. De sectorrapportage volgt in maart en ontvangen instellingen dit jaar niet van SURF, maar vanuit het programma Cyberveiligheid. Het rapport krijgt ook een andere invulling. We richten het vooral op de scores die opvallen en koppelen deze aan activiteiten van het programma.

Op woensdag 19 maart organiseren we van 15:00 tot 16.00 uur een webinar waarin we de resultaten van de benchmark IBP bespreken. Ook over de bevindingen van de peerreviews op het privacygedeelte van de benchmark bij tien instellingen, koppelen wij in dit webinar terug.

Resultaten Benchmark IBP 2024

In 2024 hebben alle 51^(*) mbo-instellingen aan de Benchmark IBP deelgenomen. Gemiddeld scoorden de mbo-instellingen toen een 2,3 voor de volwassenheid voor informatiebeveiliging. Dat was een groei van 0,2 ten opzichte van de IB-nulmeting die eind 2022 op verzoek van het programma is uitgevoerd. Bij nadere analyse zagen we bij alle statements een lichte groei.  

De groei was iets sterker op de statements die te maken hebben met technische weerbaarheid. Een mogelijke verklaring daarvoor was de speciale aandacht voor technische weerbaarheid vanuit het programma Cyberveiligheid. Met onder andere de MBOKS-sessies, het kanaal Technische weerbaarheid, schoolbezoeken en concrete handreikingen hebben we de IT-specialisten van de instellingen van praktische ondersteuning voorzien. Een van de statements op het gebied van technische weerbaarheid viel extra op: monitoring en logging steeg met 0,7 naar een volwassenheidsscore van 2,4. Dit was volgens ons een mooie indicatie dat de stimuleringsregeling voor de implementatie van SURFsoc effect heeft gehad. 

Privacy-resultaten 2024

In de Benchmark IBP 2024 kwam de gemiddelde volwassenheidscore voor privacy ook uit op een 2,3. Het viel op dat het statement dat te maken heeft met het uitvoeren van DPIA’s vrij laag scoorde. We hopen dat deze score dit jaar beter is dankzij activiteiten die we vanuit het programma hebben opgezet. Zo voeren we vanuit het programma DPIA’s voor mbo-specifieke applicaties al sectoraal uit. En dragen we financieel bij aan de SURF Vendor Compliance dienst waarmee we sectorale DPIA’s samen met de hogescholen en de universiteiten gaan uitvoeren.   

 ^(*) Een aantal instellingen was bezig met een fusietraject. Deze scholen hebben de benchmark gezamenlijk ingevuld.