Cyberdreigingen, strengere wetgeving en groeiende verantwoordingsdruk dwingen gemeenschappelijke regelingen tot folinke investeringen in informatiebeveiliging en privacy. Vrijwel alle organisaties beschikken inmiddels over functies als CISO, privacy officer en functionaris gegevensbescherming. Toch blijkt de organisatorische weerbaarheid van veel organisaties nog kwetsbaar. Kleine teams, dubbelrollen en beperkte capaciteit maken het lastig.
Waarom gemeenschappelijke regelingen blijven worstelen met cybersecurity
De basis staat, maar eisen vanuit wetgeving, toezicht en geopolitieke ontwikkelingen nemen snel toe.
Dat blijkt uit het Formatieonderzoek informatiebeveiliging en privacy gemeenschappelijke regelingen 2025 van M&I/Partners. Het onderzoek onder 31 organisaties, waaronder Shared Service Centra, veiligheidsregio’s, GGD’en en sociaal domein-organisaties, laat zien dat de meeste organisaties nog niet 'volwassen' zijn op gebied van informatiebeveiliging. Tegelijkertijd nemen de eisen vanuit wetgeving, toezicht en geopolitieke ontwikkelingen snel toe.
Voor bestuurders ontstaat daarmee een groeiend spanningsveld. Organisaties spreken grote ambities uit over digitale veiligheid, maar de personele inrichting groeit daar lang niet altijd in mee. Vooral de afhankelijkheid van enkele sleutelfunctionarissen maakt veel gemeenschappelijke regelingen kwetsbaar voor uitval, toenemende toezichtdruk en de steeds complexere eisen rond informatiebeveiliging en privacy.
Privacy en informatiebeveiliging
Volgens het onderzoek bevinden gemeenschappelijke regelingen zich op een kantelpunt. Waar privacy en informatiebeveiliging jarenlang vooral specialistische thema’s waren binnen ICT- en juridische teams, ontwikkelen deze onderwerpen zich steeds nadrukkelijker tot organisatiebrede governancevraagstukken.
Nieuwe wet- en regelgeving, waaronder de Cyberbeveiligingswet, de AI-verordening en sectorspecifieke normen zoals NEN7510, vergroten de druk op organisaties aanzienlijk. Tegelijkertijd nemen geopolitieke spanningen en cyberdreigingen verder toe. Daardoor groeit de noodzaak om informatiebeveiliging steviger organisatorisch te verankeren.
Uit het onderzoek blijkt echter dat veel organisaties die verbreding nog onvoldoende hebben gerealiseerd. In veel gevallen rust de verantwoordelijkheid nog steeds op een klein aantal specialisten. Dat beperkt niet alleen de slagkracht van organisaties, maar maakt hen ook kwetsbaar wanneer sleutelfunctionarissen uitvallen of wanneer toezicht en verantwoordingsdruk verder toenemen.
SSC’s verder ontwikkeld dan centrumgemeenten
Een opvallende uitkomst van het onderzoek is dat Shared Service Centra gemiddeld hoger scoren op volwassenheid dan centrumgemeenten, zowel op het gebied van privacy als informatiebeveiliging. Bij zowel privacy als informatiebeveiliging behalen SSC’s gemiddeld een hoger volwassenheidsniveau dan centrumgemeenten.
Dat resultaat is opvallend, omdat centrumgemeenten doorgaans al langer actief zijn op het gebied van privacy en informatiebeveiliging. Volgens de onderzoekers speelt de organisatorische complexiteit hierbij mogelijk een belangrijke rol. Centrumgemeenten bedienen vaak meerdere domeinen tegelijk, waaronder het sociaal domein, fysieke leefomgeving en openbare orde en veiligheid. SSC’s zijn doorgaans sterker gefocust op ICT-dienstverlening en bedrijfsvoering, waardoor zij gerichter kunnen investeren in informatiebeveiliging. Tegelijkertijd spreken zowel SSC’s als centrumgemeenten stevige ambities uit. Veel organisaties willen flink doorgroeien in volwassenheid met de genoemde thema's
Kleine teams dragen grote verantwoordelijkheden
Hoewel vrijwel alle deelnemende organisaties beschikken over kernrollen zoals FG, privacy officer en CISO of ISO, blijven de teams vaak klein. Bij veel organisaties blijkt ongeveer één fte het praktische maximum voor zowel de FG- als de CISO-functie, ongeacht de omvang van de organisatie. Dat patroon is zichtbaar bij SSC’s, centrumgemeenten, veiligheidsregio’s en GGD’en.
Voor bestuurders is dat een relevant signaal. De hoeveelheid verantwoordelijkheden op het gebied van cyberveiligheid, privacywetgeving, toezicht, risicobeheersing en leveranciersmanagement groeit snel, terwijl de personele capaciteit beperkt blijft. In de praktijk betekent dit dat relatief kleine teams verantwoordelijk zijn voor steeds bredere takenpakketten.
Daarnaast laat het onderzoek zien dat de grootste groeibehoefte vooral ligt bij operationele rollen, zoals privacy officers en TISO’s. Organisaties geven aan behoefte te hebben aan extra uitvoeringskracht. Ook nieuwe expertisegebieden worden steeds vaker genoemd, waaronder AI-governance, identity & access management en business continuity management.
Dubbelrollen vergroten kwetsbaarheid
Een van de meest opvallende bevindingen uit het onderzoek is het grote aantal dubbelrollen binnen privacy- en informatiebeveiligingsfuncties. Bij SSC’s en centrumgemeenten rapporteerde 77 procent van de organisaties minimaal één gecombineerde functie. Vooral privacy officers combineren hun werkzaamheden regelmatig met andere compliance- of securitytaken. Ook FG’s, CISO’s en ISO’s vervullen vaak aanvullende rollen binnen dezelfde organisatie.
Bij veiligheidsregio’s zonder GGD blijkt het aantal dubbelrollen eveneens hoog. In sommige gevallen combineert een FG meerdere andere functies tegelijk. Ook worden CISO-functies regelmatig gecombineerd met leidinggevende verantwoordelijkheden.
Volgens de onderzoekers hoeft een dubbelrol niet automatisch problematisch te zijn, maar ontstaan wel risico’s wanneer strategische, tactische en operationele verantwoordelijkheden samenkomen bij één persoon. Daarnaast roept het vragen op over continuïteit en uitvoerbaarheid. Naarmate de hoeveelheid regelgeving, audits en verantwoordingsverplichtingen groeit, wordt het steeds moeilijker om meerdere zware rollen effectief te combineren.
Veiligheidsregio’s en GGD’en investeren
Ook veiligheidsregio’s en GGD’en hebben de afgelopen jaren een duidelijke professionaliseringsslag doorgemaakt. Bij GGD’en kreeg privacy en informatiebeveiliging een sterke impuls tijdens en na de coronaperiode. Tegelijkertijd moesten veel organisaties voldoen aan aanvullende normen zoals NEN7510.
Opvallend genoeg blijken juist GGD’en relatief volwassen op het gebied van informatiebeveiliging. Zij scoren gemiddeld hoger dan veiligheidsregio’s zonder GGD, ondanks eerdere landelijke versnellingsprogramma’s voor informatieveiligheid binnen veiligheidsregio’s. Toch constateren de onderzoekers dat ook binnen deze sector het gemiddelde volwassenheidsniveau vaak beperkt blijft.
ICT uitbesteden vraagt sterke regie
Een andere belangrijke conclusie uit het onderzoek is dat organisaties die hun ICT grotendeels uitbesteden vaak kleinere informatiebeveiligingsteams hebben. Volgens de onderzoekers schuilt daarin een belangrijk risico. Ook wanneer technische beheeractiviteiten extern zijn ondergebracht, blijft stevige regie op informatiebeveiliging noodzakelijk. Organisaties moeten immers toezicht houden op leveranciers, risico’s beheersen en blijven voldoen aan wet- en regelgeving.
Informatiebeveiliging niet langer delegeren
De onderzoekers concluderen dat veel gemeenschappelijke regelingen inmiddels een basis hebben gelegd voor privacy en informatiebeveiliging, maar dat de weerbaarheid van organisaties nog kwetsbaar blijft. De combinatie van kleine teams, groeiende verantwoordelijkheden, complexe wetgeving en toenemende cyberdreiging maakt dat bestuurders nadrukkelijker aan zet zijn. Privacy en informatiebeveiliging kunnen volgens het onderzoek niet langer uitsluitend worden benaderd als technische of specialistische onderwerpen binnen de organisatie.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.