Gemeenschappelijke regelingen bouwen aan basis privacy en informatiebeveiliging, maar blijven kwetsbaar

Gemeenschappelijke regelingen (GR’en) hebben de afgelopen jaren belangrijke stappen gezet op het gebied van privacy en informatiebeveiliging, blijkt uit het Formatieonderzoek informatiebeveiliging en privacy gemeenschappelijke regelingen 2025 van M&I/Partners. Alle deelnemende organisaties beschikken inmiddels over privacy- en informatiebeveiligingsrollen. Toch blijft de formatie vaak klein en kwetsbaar, waardoor volwassenheidsniveaus achterblijven bij de ambities.

Het onderzoek, uitgevoerd onder 31 gemeenschappelijke regelingen – waaronder Shared Service Centra (SSC’s), veiligheidsregio’s, GGD’en en sociaal domein-organisaties – laat zien dat het gemiddelde volwassenheidsniveau op privacy en informatiebeveiliging blijft steken rond CMMi-niveau 2 (herhaalbaar) tot 3 (bepaald). Slechts een beperkt aantal organisaties behaalt niveau 3 structureel; niveaus 4 (beheerst) en 5 (geoptimaliseerd) worden nauwelijks bereikt. Veel organisaties blijven afhankelijk van enkele sleutelfunctionarissen, wat de weerbaarheid onder druk zet.

Gemeenschappelijke regelingen op een kantelpunt

GR’en bevinden zich op een kantelpunt in privacy en informatiebeveiliging. Geopolitieke ontwikkelingen en toenemende wet- en regelgeving, zoals de Cyberbeveiligingswet, de AI Verordening en sectorspecifieke normen (zoals NEN7510 voor GGD’en), zorgen voor extra druk. Privacy en informatiebeveiliging zijn allang geen geïsoleerde specialistische thema’s meer. Ze maken steeds vaker deel uit van een bredere compliance- en risicomanagementportefeuille.

Het onderzoek laat zien dat veel organisaties hoge ambities formuleren om door te groeien naar CMMi-niveau 3 of 4. Die ambities staan echter onder spanning zolang uitbreiding van formatie niet plaatsvindt en rollen worden gecombineerd. Privacy en informatiebeveiliging vragen daarom om bredere verankering in de organisatie, in plaats van exclusieve belegging bij een klein specialistisch team.

Overige bevindingen

Een aantal belangrijke bevindingen uit het Formatieonderzoek informatiebeveiliging en privacy gemeenschappelijke regelingen 2025:

• Plafonds voor sleutelrollen: net als bij gemeenten is er een duidelijk ‘plafond’ zichtbaar voor de functies van FG en CISO. Het komt zelden voor dat deze rollen boven 1 fte uitkomen, ongeacht organisatiegrootte.
• Veel dubbelrollen: dubbelrollen komen veel voor in IB&P-functies. Sommige combinaties brengen risico’s mee voor onafhankelijkheid, kwaliteit en continuïteit, vooral wanneer strategische, tactische en operationele rollen samenkomen.
• Kwetsbaarheid door kleine teams: hoewel alle organisaties beschikken over kernrollen, zijn de teams vaak klein. Dit maakt GR’en kwetsbaar bij uitval, verloop of toenemende druk vanuit toezicht en wetgeving.
• Invloed van ICT-inrichting: organisaties die ICT grotendeels zelf in huis hebben, beschikken doorgaans over grotere informatiebeveiligingsteams. GR’en die ICT (deels) uitbesteden hebben kleinere teams, wat het risico vergroot dat zij onvoldoende regie voeren op hun informatiebeveiliging.

Benieuwd naar alle resultaten? Lees het volledige rapport Formatieonderzoek informatiebeveiliging en privacy gemeenschappelijke regelingen 2025