Normen uitgelegd
Alle Categorieën
Laatst bijgewerkt: 18 februari 2026

BIO uitgelegd: de Baseline Informatiebeveiliging Overheid

Als je bij de overheid werkt, heb je vast gehoord van de BIO. Maar wat is het precies? En wat moet je ermee? In dit artikel leggen we het uit.

Wat is de BIO?

BIO staat voor "Baseline Informatiebeveiliging Overheid". Het is de Nederlandse norm voor informatiebeveiliging bij de overheid. Alle overheidsorganisaties moeten voldoen aan de BIO.

In gewone taal: De BIO is een verzameling regels die bepalen hoe de overheid om moet gaan met digitale informatie en beveiliging.

Voor wie geldt de BIO?

De BIO geldt voor alle Nederlandse overheidsorganisaties:

  • Ministeries en rijksorganisaties
  • Provincies
  • Gemeenten
  • Waterschappen
  • Uitvoeringsorganisaties (UWV, Belastingdienst, etc.)

Ook organisaties die voor de overheid werken (leveranciers, samenwerkingsverbanden) kunnen te maken krijgen met BIO-eisen.

Waar komt de BIO vandaan?

De BIO is gebaseerd op internationale standaarden, vooral ISO 27001 en ISO 27002. Maar er zijn extra maatregelen toegevoegd die specifiek zijn voor de Nederlandse overheid.

De BIO vervangt oudere normen zoals de BIR (Baseline Informatiebeveiliging Rijksdienst) en de BIG (Baseline Informatiebeveiliging Gemeenten).

Hoe is de BIO opgebouwd?

De BIO bestaat uit "overheidsmaatregelen". Deze zijn verdeeld over verschillende onderwerpen:

Hoofdonderwerpen

  • Organisatie van informatiebeveiliging - Wie is waarvoor verantwoordelijk?
  • Veilig personeel - Screening, geheimhouding, training
  • Beheer van bedrijfsmiddelen - Classificatie van informatie
  • Toegangsbeveiliging - Wie mag bij welke informatie?
  • Cryptografie - Versleuteling van gegevens
  • Fysieke beveiliging - Beveiliging van gebouwen en ruimtes
  • Beveiliging van activiteiten - Backup, logging, incidenten
  • Communicatiebeveiliging - Netwerken en gegevensoverdracht
  • Systeem-acquisitie - Inkoop en ontwikkeling van systemen
  • Leveranciersrelaties - Eisen aan leveranciers
  • Incidenten - Omgaan met beveiligingsincidenten
  • Bedrijfscontinuïteit - Wat als het misgaat?
  • Naleving - Controleren of je voldoet

BIV-classificatie: de basis van de BIO

Een belangrijk concept in de BIO is de BIV-classificatie. BIV staat voor:

  • Beschikbaarheid - Is de informatie er als je het nodig hebt?
  • Integriteit - Is de informatie correct en compleet?
  • Vertrouwelijkheid - Kunnen alleen de juiste mensen erbij?

Elke informatie krijgt een classificatie per aspect: Laag, Midden, of Hoog. Hoe hoger de classificatie, hoe meer maatregelen je moet nemen.

ENSIA: de jaarlijkse verantwoording

Gemeenten moeten elk jaar via ENSIA rapporteren over hun informatiebeveiliging. ENSIA staat voor "Eenduidige Normatiek Single Information Audit". Het is een zelfevaluatie waarbij je aantoont hoe ver je bent met de BIO.

Wat zijn de consequenties van niet voldoen?

De BIO is verplicht voor overheidsorganisaties. Niet voldoen kan leiden tot:

  • Kritiek van de toezichthouder of accountant
  • Negatieve publiciteit
  • Bij gemeenten: problemen met de ENSIA-verantwoording
  • In het ergste geval: persoonlijke aansprakelijkheid van bestuurders

Hoe helpt ComplyGuide?

ComplyGuide bevat de volledige BIO met alle overheidsmaatregelen. Je kunt:

  • Je BIV-classificaties invoeren
  • Zien welke maatregelen voor jou gelden
  • Taken verdelen over je team
  • Bewijs verzamelen per maatregel
  • ENSIA-rapportages voorbereiden

Bekijk de BIO module

Was dit artikel nuttig?

Contact support