Geplaatst 20-03-25
Samenvatting
Aanleiding
Binnen het middelbaar beroepsonderwijs (mbo) zijn informatiebeveiliging en privacy belangrijke thema’s. Al sinds 2015 werken de ruim 50 instellingen in het mbo samen in het Netwerk IBP (Informatiebeveiliging & Privacy). Dit netwerk wordt ondersteund door de MBO Raad, via het platform MBO Digitaal. De mbo-stellingen delen via het netwerk veel kennis en nemen jaarlijks deel aan de Benchmark IBP in het mbo.
In 2022 is vanuit het netwerk het programma Cyberveiligheid mbo opgestart, gesubsidieerd door ministerie van Onderwijs, Cultuur en Wetenschap (OCW). Dit programma volgt de thema’s van het NIST-framework: identificeren, beschermen, detecteren, reageren en herstellen. Een van de eerste stappen in het programma was de aanbesteding van een mbo-brede GRC-applicatie. Die aanbesteding werd medio 2023 gegund aan TrustBound GRC. Alle mbo-instellingen maken er tot eind 2027 kosteloos gebruik van.
Oplossing
TrustBound GRC biedt mbo-scholen een krachtig platform waarin ze toetsingskaders, volwassenheidsscores, documentatie en verbeterplannen kunnen vastleggen. De scholen starten heel laagdrempelig met het invoeren en documenteren van hun volwassenheid op het gebied van IB en P. Vervolgens kunnen ze taken toewijzen en het daarmee breder uitzetten in de organisatie. Uiteindelijk doel is dat de instellingen verleid worden om meer risicogebaseerd te werken.
Mbo-instellingen leveren de jaarlijkse benchmark IBP, die sectorbreed in samenwerking met SURF is opgezet, nu via TrustBound in. Ze krijgen op die manier inzicht in hun eigen prestaties én kunnen zich vergelijken met de rest van de sector.
Impact
Dankzij de implementatie van TrustBound GRC zien de mbo-scholen aanzienlijke verbeteringen.
- Benchmarking met TrustBound: de benchmark IBP wordt nu uitgevoerd met behulp van TrustBound, waardoor alle scores en toetsingsresultaten via één gestandaardiseerde tool worden ingevoerd en geanalyseerd. Doordat alle scholen met hetzelfde kader werken, spreken ze dezelfde taal en kunnen ze makkelijker van elkaar leren.
- Eén centrale plek voor informatiebeveiliging en privacy: geen versnipperde Excel-sheets meer, maar één overzichtelijk platform waarin alle gegevens samenkomen.
- Snelle en eenvoudige rapportages: met een druk op de knop kunnen instellingen hun eigen rapportages draaien, en direct zien waar ze staan en hoe ze scoren ten opzichte van de sector.
- Inzicht in volwassenheidsniveau: door de benchmark krijgen scholen een helder beeld van hun eigen scores en zien ze waar er nog werk te doen is.
- Planmatige aanpak van risico’s: TrustBound maakt het mogelijk om taken uit te zetten en de voortgang te bewaken, waardoor instellingen gericht werken aan hun cyberweerbaarheid.
TrustBound helpt de mbo-instellingen om grip te krijgen op groei in volwassenheid IB en Privacy.
Martijn Bijleveld, programmamanager MBO Digitaal
Alle mbo’s op weg naar cybervolwassenheid met TrustBound GRC
Hoe een slim platform samenwerking en groei stimuleert in de mbo-sector
Een jaar na de implementatie van TrustBound GRC blikken Henry Meutstege en Martijn Bijleveld terug op de reis die mbo-instellingen hebben afgelegd. “De kracht van dit platform zit in de combinatie van structuur en flexibiliteit”, zegt Henry die als CISO betrokken is bij het programma Cyberveiligheid. “Scholen kunnen hun volwassenheidsscores invoeren, taken uitzetten en voortgang bewaken. Het systeem helpt hen om prioriteiten te stellen en planmatig te werken aan cybersecurity.”
Stapsgewijze aanpak
Het programma Cyberveiligheid mbo volgt de thema’s van het NIST-framework: identificeren, beschermen, detecteren, reageren en herstellen. “Die volgorde is niet voor niets zo gekozen”, aldus Martijn Bijleveld, programmamanager Cyberveiligheid mbo. “Je moet immers eerst weten wat je hoogste risico’s zijn, om vervolgens effectief aan de slag te gaan met beschermingsmaatregelen.”
TrustBound GRC biedt mbo-scholen een centraal platform om hun toetsingskaders, volwassenheidsscores, documentatie en verbeterplannen vast te leggen. “GRC-applicaties kunnen heel complex en abstract zijn”, vertelt Martijn. “Daarom hebben we een stapsgewijze aanpak geformuleerd. De scholen starten op die manier erg laagdrempelig met het invoeren en documenteren van hun volwassenheid op het gebied van IB en P. Vanuit daar kunnen zij op dit vlak verder ontwikkelen.”
Benchmarkscores centraal aanleveren
De benchmark IBP die SURF samen met de MBO Raad heeft opgezet, speelt hierin een cruciale rol. Dit is een soort 'stand van zaken' binnen de sector over informatiebeveiliging en privacy. Alle scholen leveren hun scores in via TrustBound en krijgen vervolgens een sectoroverzicht. “Dit geeft inzicht in waar je als instelling staat en waar nog werk te doen is”, legt Martijn uit. “De benchmark IBP is de jaarlijkse thermometer die helpt om gerichte gesprekken te voeren en concrete verbeterplannen te maken. Maar de echte kracht van deze nieuwe aanpak via TrustBound is dat dat eigenlijk op elk moment kan. ”
“Voorheen werkten we met Excel-bestanden en losse documenten”, verduidelijkt Henry. “Nu leveren mbo-instellingen alle onderzoekscijfers via TrustBound aan. Het voordeel is dat nu alles op één plek te vinden is.”
Met het TrustBound GRC-platform hebben mbo-scholen een krachtige, centrale tool in handen waarmee zij hun informatiebeveiligings- en privacyprocessen vastleggen en vormgeven. “We zochten naar een oplossing die niet alleen gebruiksvriendelijk was, maar ook een partner die met ons kon meegroeien”, aldus Martijn. “Die partner hebben we in TrustBound absoluut gevonden. De snelheid, toegankelijkheid en bereidheid om mee te denken maken het echt een een hele fijne samenwerking.”
TrustBound biedt niet alleen een tool, maar ook een routekaart. Het geeft scholen inzicht in waar ze staan, wat ze nog moeten doen en hoe ze dat planmatig kunnen aanpakken.
Mbo-scholen nu zelfredzaamheid
Dankzij TrustBound GRC zijn mbo-scholen nu zelfredzaam. Ze kunnen met een druk op de knop hun eigen rapportages draaien en zien waar ze staan ten opzichte van het sectorgemiddelde. Dit stimuleert gerichte verbeteracties en kennisdeling.
Henry vult aan: “TrustBound biedt niet alleen een tool, maar ook een routekaart. Het geeft scholen inzicht in waar ze staan, wat ze nog moeten doen en hoe ze dat planmatig kunnen aanpakken.”
Bovendien speelt TrustBound nu een centrale rol in de uitvoering van de benchmark van SURF. Alle mbo-scholen voeren hun volwassenheidsscores en toetsingsresultaten in via TrustBound. Dat zorgt voor een gestandaardiseerd en overzichtelijk beeld van de sector. Dit maakt de rapportage efficiënter en geeft scholen de mogelijkheid om zichzelf te vergelijken met anderen.
Zelf je volwassenheidsniveau monitoren & dezelfde taal spreken
De impact van TrustBound GRC is duidelijk zichtbaar. Instellingen monitoren nu zelf eenvoudig hun volwassenheidsniveau en rapporteren hun voortgang. “Voorheen was dat een tijdrovend proces in allerhande bestanden zoals Excel”, herinnert Henry zich. “Nu is het een kwestie van een paar klikken. Dat scheelt tijd én zorgt voor consistentie.”
Daarnaast stimuleert het platform kennisdeling. “We spreken dezelfde taal omdat iedereen met hetzelfde toetsingskader werkt”, zegt Martijn. “Dat maakt het makkelijker om van elkaar te leren en best practices uit te wisselen. We zien nu al dat sommige scholen uitblinken in bepaalde onderdelen en hun ervaringen delen met anderen.”
In control met TrustBound
Een belangrijk aspect van informatiebeveiliging is aantoonbaarheid. “Bestuurders en toezichthouders willen weten of hun instelling in control is. Ze willen kunnen laten zien dat ze risico’s beheersen en hun privacy goed organiseren”, zegt Henry. Met TrustBound GRC hebben mbo-scholen nu de tools om dat helder en onderbouwd aan te tonen.
TrustBound als spil
TrustBound GRC is inmiddels de spil geworden in de IBP-aanpak van mbo-instellingen. Henry: “We merken dat steeds meer scholen het platform dagelijks gebruiken, niet alleen voor de jaarlijkse benchmark IBP maar ook voor de organisatie van hun dagelijkse werkzaamheden op het gebied van cyberveiligheid.”
De samenwerking tussen MBO Digitaal, SURF en TrustBound zorgt ervoor dat de sector grote stappen zet richting cybervolwassenheid. “We maken elkaar sterker”, zegt Martijn.