Ruime ambities in een krappe arbeidsmarkt

De arbeidsmarkt voor informatiebeveiliging- en privacyprofessionals staat onder druk. Gemeenten concurreren met andere sectoren om schaars personeel, terwijl de eisen vanuit wet- en regelgeving blijven toenemen. Tegelijkertijd groeit het besef dat digitale veiligheid en privacybescherming geen luxe zijn, maar een randvoorwaarde voor verantwoord bestuur en continuïteit van dienstverlening. De urgentie om strategisch na te denken over de formatie en te investeren in eigen capaciteit is daarmee groter dan ooit. Alleen door hier bewust op te sturen kunnen gemeenten blijven voldoen, niet alleen aan hun eigen wensen en ambities, maar ook aan de hoge maatschappelijke en wettelijke eisen rondom digitale veiligheid en privacy.

Hoe pakken gemeenten deze uitdaging aan en welke keuzes maken zij voor personeel rond informatiebeveiliging en privacy? M&I/Partners onderzocht in haar formatieonderzoek informatiebeveiliging en privacy 2024 hoe gemeenten deze functies invullen. In dit artikel lichten we de belangrijkste punten uit het onderzoek toe. De volledige onderzoeken zijn te vinden op onze website:

- Formatieonderzoek informatiebeveiliging bij gemeenten 2024
- Formatieonderzoek privacy bij gemeenten 2024

Samenhang tussen volwassenheid en formatie

Naast formatiecijfers vragen we ook volwassenheidscijfers uit bij gemeenten (conform het CMMI-model, die loopt van niveau 1 (ad hoc) tot 5 (geoptimaliseerd)). Gemeenten geven aan gestaag te willen groeien in volwassenheid op het gebied van informatiebeveiliging en privacy. Uit ons formatieonderzoek blijkt dat deze ambitie samenhangt met een groeibehoefte.

Opvallend is dat gemeenten, ongeacht hun grootte, vergelijkbare volwassenheidsniveau nastreven. Zowel voor informatiebeveiliging als privacy liggen de ambities dicht bij elkaar. Ook het huidige niveau van volwassenheid verschilt nauwelijks tussen kleine (minder dan 50.000 inwoners), middelgrote (50.000 – 100.000 inwoners) en grote gemeenten (meer dan 100.000 inwoners).

Toch zien we verschillen in de gewenste formatiegroei: kleine gemeenten willen relatief gezien meer groeien in formatie dan hun grotere collega’s. Dit geldt zowel voor informatiebeveiliging als voor privacy, zoals ook blijkt uit onderstaande tabel.

Voor informatiebeveiliging lijkt de verklaring hiervoor te liggen in een inhaalslag. Waar kleine gemeenten eerder vertrouwden op externe partijen zoals IT-leveranciers of centrumgemeenten, groeit nu het besef dat informatiebeveiliging niet (volledig) buiten de eigen organisatie kan worden belegd. Er moet regie worden gevoerd op informatiebeveiliging. De eerste stappen in de groei in volwassenheid op het gebied van informatiebeveiliging zijn gezet, maar verdere groei vraagt om structurele uitbreiding van capaciteit.

Op het gebied van privacy zien we dat gemeenten in de afgelopen twee jaar hun organisatie hebben versterkt, met name in de rol van Privacy Officer. Alleen bij kleine gemeenten is er sprake van een lichte krimp, ondanks een duidelijke wens om verder te groeien. Mogelijk heeft dit te maken met uitstroom van personeel van kleinere naar grotere gemeenten, waardoor er vacatures ontstaan die in de praktijk niet makkelijk te vullen zijn. De investeringen die zijn gedaan, lijken dus nog niet direct te leiden tot een hogere volwassenheid, maar zullen op termijn hun vruchten afwerpen.

Ontwikkelingen in de formatie van verschillende rollen

Hoewel er een duidelijke groeibehoefte is over de hele linie van informatiebeveiliging en privacy, zien we wel verschillen in de huidige formatie en groeibehoefte per rol. We staan daarom stil bij de verschillende teams en functies binnen informatiebeveiliging en privacy.

• Informatiebeveiligingsteam

De totale formatie van het IB-team, dat naast functies als Chief Information Security Officer (CISO) en (Technical) Information Security Officer ((T)ISO) ook andere rollen omvat (zoals awareness officers of cybersecurityspecialisten), groeit in absolute aantallen mee met de omvang van de gemeente. Kleine gemeenten hebben per 100.000 inwoners de grootste formatie op informatiebeveiliging (al zijn de verschillen klein). Dit laat zien dat zij, ondanks ontbrekende schaalvoordelen, serieus werk maken van informatiebeveiliging.

• CISO

De functie van CISO is aanwezig binnen alle gemeentelijke organisaties. Uit het onderzoek blijkt dat elke deelnemende gemeente, ongeacht de omvang, ten minste een halve fte CISO inzet. Het aantal ingezette fte groeit mee met de grootte van de gemeente en kan oplopen tot maximaal één fte. Daaruit kan worden geconcludeerd dat gemeenten over het algemeen één dedicated CISO hebben, en deze rol niet beleggen bij meerdere personen. Bij kleine gemeenten is het zo dat de functie van CISO vaak wordt gedeeld: een CISO werkt bijvoorbeeld voor twee gemeenten, beide voor 0,5 fte. Dit model biedt een manier om expertise te borgen zonder dat de lasten volledig op een enkele organisatie drukken.

• (T)SIO

De formatie van de (T)ISO is bij kleine en middelgrote gemeenten opvallend vergelijkbaar. Grote gemeenten hebben een relatief groter aantal fte’s aan (T)ISO in dienst, wat logisch is gezien de complexiteit van hun IT-landschap. Zij beheren vaak meer diverse applicaties, hebben te maken met grotere hoeveelheden data en een meer diverse dienstenaanbod. Bij kleinere gemeenten wordt de rol vaak gecombineerd met andere functies of gedeeld tussen gemeenten. Dit wijst op een pragmatische en samenwerkingsgerichte invulling van deze specialistische functie.

• PO

De rol van de Privacy Officer (PO) is sterk in opkomst. Middelgrote en grote gemeenten hebben hun formatie de afgelopen jaren flink uitgebreid. Deze groei sluit aan bij de uitgesproken groeiambities en wordt mede gedreven door nieuwe wet- en regelgeving, zoals de AI Act, die sterk samenhangt met de AVG. De PO speelt een steeds belangrijkere rol in het vertalen van juridische kaders naar praktische uitvoering. We zien ook steeds vaker domeinspecifieke PO's, bijvoorbeeld voor de WPG of het Sociaal Domein, die zich specialiseren in het gebruik van persoonsgegevens en de wetgeving binnen dit domein.

• FG

De formatie van de Functionaris Gegevensbescherming (FG) is in de afgelopen jaren grotendeels stabiel gebleven. Kleine gemeenten lieten in 2024 een lichte groei zien ten opzichte van 2022, terwijl middelgrote gemeenten gelijk blijven in FG-formatie, en grote gemeenten zelfs een daling rapporteren. Dit verschil is mogelijk te verklaren door de mate van volwassenheid: gemeenten die nog in de opstartfase zitten en grote stappen nemen op het gebied van privacy hebben meer behoefte aan advies, waardoor zij een grotere FG-formatie nodig hebben. Daarnaast zien we een verschuiving in de invulling van de rol. Waar deze eerder werd gecombineerd met andere functies, wordt nu vaker gekozen voor uitbesteding of parttime inzet. De toenemende maatschappelijke kritiek, samen met de scherpere eisen van de Autoriteit Persoonsgegevens (AP) omtrent onafhankelijkheid, onderstrepen het belang van een onafhankelijke invulling van de FG-rol in gemeenten.

• Combinatierollen

Combinatierollen ontstaan wanneer één persoon verantwoordelijk is voor meerdere specialistische functies binnen een gemeente, zoals informatiebeveiliging en privacy. Dit gebeurt vaak om efficiëntie te vergroten of middelen te besparen, vooral bij kleinere gemeenten. Het combineren van rollen vraagt echter om een zorgvuldige afweging van verantwoordelijkheden en mogelijke belangenconflicten.

• ISO/PO

Vooral bij kleine gemeenten komt de combinatierol van Information Security Officer en Privacy Officer (PSO) regelmatig voor. Vanwege beperkte middelen kiezen zij ervoor om beide functies in één fulltime rol te combineren. Dit vergemakkelijkt werving en voorkomt snijverlies in afstemming. Toch kleven er risico’s aan deze aanpak. Beide vakgebieden vragen om specialistische kennis en vertegenwoordigen verschillende belangen. Privacy gaat om het beschermen van de persoonsgegevens van de betrokkene: de persoon, over wie er gegevens verwerkt worden, staat centraal. Security gaat over het beschermen van de bedrijfsbelangen. De vraag is of één persoon beide rollen effectief en onafhankelijk kan vervullen.

• CISO/FG

De combinatie van CISO en FG komt minder vaak voor, maar is niet persé zeldzaam te noemen. In onze optiek is deze combinatie wel een stuk complexer. Dit heeft te maken met de positionering binnen de gemeente. De FG is toezichthouder op de beveiliging van persoonsgegevens, terwijl de CISO vaak verantwoordelijk is voor de uitvoering van informatiebeveiliging. Wanneer één persoon beide rollen vervult, ontstaat het risico van belangenverstrengeling. Alleen bij een duidelijke toezichthoudende positionering van de CISO is deze combinatie mogelijk. Toch blijft het wenselijker om de CISO-rol te delen tussen gemeenten dan om deze te combineren met de FG-functie.

Conclusie

Wie het belang van privacy en informatiebeveiliging erkent, moet ook bereid zijn hierin te investeren. Zelfs als gemeenten het minimale willen doen en lage volwassenheidsambities hebben, is een gedegen formatie noodzakelijk. Om een solide basis te hebben voor informatiebeveiliging en privacy, is het belangrijk dat gemeenten bewust investeren in personeel en voortdurend evalueren hoe de organisatie is ingericht.

Hoewel vrijwel elke gemeente al werkt aan het versterken van informatiebeveiliging en privacy, vraagt echte groei om uitbreiding van formatie en inzet van specialistische kennis. We adviseren gemeenten daarom om goed na te denken over het noodzakelijke basisniveau en welke stappen nodig zijn om de gestelde ambities te realiseren. Of je nu koploper wilt zijn of juist nog een inhaalslag moet maken, investeren is niet te voorkomen.