Gemeenten hebben de afgelopen jaren stevig geïnvesteerd in privacy- en informatiebeveiligingsteams, blijkt uit het Formatieonderzoek informatiebeveiliging en privacy gemeenten 2025 van M&I/Partners. Maar de groei van formatie leidt nauwelijks tot een hoger volwassenheidsniveau.
Het onderzoek, uitgevoerd onder 35 gemeenten, laat zien dat het aantal fte’s in zowel privacy- als informatiebeveiligingsrollen de afgelopen jaren is toegenomen. Toch blijven gemeenten hangen op volwassenheidsniveaus tussen ad hoc (niveau 1) en bepaald (niveau 3) conform het CMMI-model. Geen enkele gemeente geeft aan niveau 4 (beheerst) of 5 (geoptimaliseerd) van het model te hebben bereikt.
Opvallend is dat bij informatiebeveiliging de gemiddelde volwassenheid zelfs is afgenomen. Een mogelijke verklaring hiervoor is dat gemeenten kritischer kijken naar hun eigen volwassenheid, mede door geopolitieke ontwikkelingen en strengere eisen vanuit wet- en regelgeving, zoals de BIO2.0 en de Cyberbeveiligingswet.
Gemeenten staan op een kantelpunt in informatiebeveiliging en privacy
Gemeenten staan dus op een kantelpunt. Privacy en informatiebeveiliging maken inmiddels deel uit van een bredere compliance-portefeuille, waarin ook onderwerpen als de Cyberbeveiligingswet, Woo en de AI-Verordening een plek hebben gekregen. Daarnaast zorgen geopolitieke ontwikkelingen voor nieuwe vraagstukken, bijvoorbeeld rondom soevereiniteit. Dit betekent dat gemeenten privacy- en informatiebeveiligingsvraagstukken breder in de organisatie moeten oppakken, en niet enkel bij een specialistisch team moeten beleggen.
Overige bevindingen
Een aantal belangrijke bevindingen uit het formatieonderzoek informatiebeveiliging en privacy gemeenten 2025:
- Er zijn duidelijke plafonds voor de functies van CISO en FG: het komt zelfden voor dat er meer dan 1 fte FG of CISO bij een organisatie is, ongeacht organisatiegrootte. Hierdoor hebben 100.000+-gemeenten relatief lage formatiecijfers voor FG en CISO ten opzichte van kleinere gemeenten, terwijl zij vaak de meeste complexe organisatie en dienstverlenging hebben.
- Er komen nog steeds veel dubbelrollen voor, met name bij middelgrote en kleine gemeenten. Vooral privacy officers en CISO’s hebben vaak een (of zelfs meerdere) rollen naast deze functie. Een deel van de combinaties brengt risico’s mee voor de onafhankelijkheid, kwaliteit en continuïteit van informatiebeveiliging en privacy.
- Er is een duidelijke samenhang tussen ICT-inrichting, gemeentegrootte en grootte van het informatiebeveiligingsteam. Organisaties die ICT zelf in huis hebben, hebben een groter team met meer operationele rollen. Organisaties die ICT uitbesteden, hebben aanzienlijk kleinere teams. Hierbij bestaat dus wel het risico dat zij ook de regie op hun beveiliging verliezen.
Benieuwd naar alle resultaten? Lees het rapport Formatieonderzoek informatiebeveiliging en privacy gemeenten 2025
Terug naar het overzicht
