Bijna alle gemeenten beschikken over vastgesteld informatiebeveiligingsbeleid dat voldoet aan de BIO, maar slechts 52,6 procent zegt dat het gemeentebestuur volledig zicht heeft op risico’s waarvoor nog geen of onvoldoende maatregelen zijn getroffen. Dat blijkt uit de recent gepubliceerde ENSIA-rapportage over 2025 op Waarstaatjegemeente.nl.
ENSIA staat voor Eenduidige Normatiek Single Information Audit en is de landelijke verantwoordingsmethode waarmee gemeenten jaarlijks en op uniforme wijze rapporteren over informatieveiligheid en datakwaliteit. De verantwoording is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO) en ondersteunt gemeenten bij het structureel opnemen van informatieveiligheid in de planning- en controlcyclus. Met ENSIA leggen gemeenten in één keer verantwoording af richting gemeenteraad en rijkstoezichthouders.
Jaarlijks geven gemeenten inzicht geven in de wijze waarop zij invulling geven aan de informatieveiligheid via Waarstaatjegemeente.nl aan de hand van 12 vragen. De ENSIA-rapportage op Waarstaatjegemeente.nl biedt zowel individuele antwoorden per gemeente als geaggregeerde resultaten per vraag — tevens uitgesplitst naar grootteklasse. In dit bericht ligt de focus op de totaalcijfers voor alle deelnemende gemeenten.
Uit de ENSIA-gegevens blijkt dat 98,3 procent van de gemeenten in 2025 aangeeft te beschikken over BIO-conform informatiebeveiligingsbeleid. Daarnaast geeft 97,9 procent van de gemeenten aan dat informatieveiligheid is belegd in de portefeuille van een lid van het college van B&W. Ook rapporteert 95,8 procent van de gemeenten dat in het jaarverslag een paragraaf over informatieveiligheid is opgenomen.
In 2025 geeft 69,8 procent van de gemeenten aan informatieveiligheid te hebben opgenomen in de collegeambities. Dit aandeel ligt hoger dan in 2021 (67,8 procent), maar blijft sinds 2022 rond de 70 procent schommelen.
Tegelijkertijd laten de cijfers zien dat volledig zicht op risico’s niet vanzelfsprekend is. In 2025 geeft 52,6 procent van de gemeenten aan dat het gemeentebestuur volledig zicht heeft op risico’s waarvoor nog geen of onvoldoende maatregelen zijn getroffen. Dit percentage is in 2025 gedaald ten opzichte van voorafgaande jaren.
Daarnaast geeft 69,1 procent van de gemeenten aan dat alle relevante controls en maatregelen zijn toebedeeld aan een verantwoordelijke. Dit percentage is de afgelopen jaren nauwelijks veranderd.
Wat betreft bewustwording geven gemeenten overwegend positieve signalen. 91,6 procent van de gemeenten meldt dat het management deelname aan opleiding en training op het gebied van informatieveiligheid stimuleert. Ook geeft 93,3 procent van de gemeenten aan dat medewerkers op de hoogte zijn van de regels en verantwoordelijkheden die voor hun functie gelden.
De ENSIA-gegevens zijn relevant voor gemeenteraden, colleges van B&W en rijkstoezichthouders. Daarnaast bieden de cijfers houvast voor bestuurders, management en informatieveiligheidsprofessionals binnen gemeenten. Doordat de gegevens openbaar beschikbaar zijn, zijn ze ook toegankelijk voor inwoners en andere geïnteresseerden.