Nieuwe wetten leggen zwakke plekken bij gemeenten bloot
Nederlandse gemeenten hebben hun teams voor privacy en informatiebeveiliging de afgelopen jaren fors uitgebreid. Toch leidt die extra mankracht nauwelijks tot een veiliger of meer volwassen organisatie. Dat blijkt uit het Formatieonderzoek informatiebeveiliging en privacy gemeenten 2025 van adviesbureau M&I/Partners.
De cijfers zijn paradoxaal: terwijl het aantal fte’s voor beveiligingsrollen groeit, blijven gemeenten steken op een laag volwassenheidsniveau. Volgens het gebruikte CMMI-model schommelen de meeste organisaties tussen 'ad hoc' (niveau 1) en 'bepaald' (niveau 3). Geen enkele van de 35 onderzochte gemeenten bereikt de hoogste niveaus van volledige beheersing of optimalisatie.
Kritischer door strengere wetgeving
Opvallend is dat de gemiddelde score voor informatiebeveiliging zelfs licht is gedaald. Dit betekent niet per se dat de beveiliging slechter is geworden, maar wel dat gemeenten kritischer naar zichzelf zijn gaan kijken. De druk vanuit nieuwe wetgeving, zoals de Cyberbeveiligingswet (NIS2) en de BIO 2.0, dwingt organisaties om eerlijker te zijn over hun eigen tekortkomingen. Ook geopolitieke spanningen zorgen voor een groter gevoel van urgentie rondom digitale soevereiniteit.
De 'CISO-muur' bij grote steden
Het onderzoek legt een opmerkelijk structureel probleem bloot bij grote gemeenten (100.000+ inwoners). Hoewel hun IT-landschap vele malen complexer is dan dat van een kleine gemeente, groeit de top van de organisatie niet mee. Er lijkt een 'plafond' te rusten op de functies van Chief Information Security Officer (CISO) en Functionaris Gegevensbescherming (FG): bijna nooit wordt er meer dan 1 fte voor deze rollen vrijgemaakt. Hierdoor hebben grote steden naar verhouding minder regiekracht dan hun kleinere buren.
Risicovolle dubbelrollen
Vooral bij kleine en middelgrote gemeenten is de 'dubbelrol' nog steeds de standaard. CISO’s of Privacy Officers combineren hun functie vaak met andere taken binnen de organisatie. Dit brengt volgens de onderzoekers risico’s mee voor de onafhankelijkheid en continuïteit. Als een beveiliger ook verantwoordelijk is voor de uitvoering van projecten, ontstaat er een slager die zijn eigen vlees keurt.
Daarnaast is er een duidelijk verschil tussen gemeenten die hun ICT in eigen beheer hebben en zij die het uitbesteden. Wie uitbesteedt, heeft vaak een kleiner team, maar loopt hiermee het risico de regie op de eigen veiligheid volledig kwijt te raken aan externe partijen.
Het kantelpunt
De conclusie is helder: privacy en beveiliging zijn geen 'feestje' meer van een specialistisch team in een hoekje van het gemeentehuis. Het is een brede compliance-opgave geworden die ook onderwerpen als de Woo (Wet open overheid) en de AI-Verordening raakt. Gemeenten staan op een kantelpunt waarbij veiligheid diep in de haarvaten van de gehele organisatie moet worden verankerd om echt volwassen te worden.
Meer over Overheid
Over Witold Kepinski
