PKI (Privacy, Kennisveiligheid en Informatiebeveiliging)

Privacy

Privacy is een schild dat je helpt jouw persoonsgegevens af te schermen; het geeft je de keuze wat je wel en niet met anderen deelt.

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor hoe organisaties zoals NWO-I met persoonsgegevens om moeten gaan. NWO-I moet kunnen aantonen zich te houden aan de AVG. Een van de belangrijke verantwoordelijkheden is dat NWO-I die mensen van wie de organisatie persoonsgegevens verwerkt daar zo goed mogelijk over informeert.

Elk instituut en het bureau heeft een privacycoördinator en een privacyteam, die er met alle andere collega's voor zorgen dat NWO-I zich aan de AVG houdt.
Ook heeft NWO-I een Chief Information Security Officer (CISO) en een functionaris voor gegevensbescherming (FG).

Vermoed je een beveiligingsincident of datalek? Meld dit altijd!

Kennisveiligheid

Wat is kennisveiligheid?

Kennisveiligheid is een breed begrip. Je kunt het opdelen in drie hoofdcategorieën:

1. Ongewenste kennisoverdracht: de overdracht van kennis en technologieën, waardoor de nationale veiligheid (en soms de concurrentiekracht) van Nederland in gevaar kan komen.
2. Inmenging: (heimelijke) beïnvloeding van wetenschappelijk onderwijs en onderzoek door of vanuit andere staten; hierdoor kan de academische vrijheid en veiligheid van studenten en onderzoekers onder druk komen te staan.
3. Ethiek/integriteit: samenwerking met onderzoekers in landen waar de overheid mensenrechten niet of onvoldoende respecteert.

Het kennisveiligheidsbeleid van NWO-I is erop gericht om onze onderzoekssamenwerking in een veilige omgeving te laten plaatsvinden, de kroonjuwelen te beschermen tegen ongewenste overdracht en de wetenschappelijke integriteit en academische vrijheid te waarborgen. Het motto is: 'Open waar het kan en beschermen waar dat nodig is'.

Contact

Elk NWO-instituut heeft een eigen contactpersoon kennisveiligheid. Op het intranet van het instituut is te vinden wie dit is.

Meer weten over kennisveiligheid bij NWO-I? Lees door op de pagina over kennisveiligheid 

Informatiebeveiliging bij NWO-I

Wat is informatiebeveiliging?

Informatiebeveiliging gaat om de gepaste bescherming van onze informatie. Vaak wordt gedacht dat het voor beveiliging altijd 'zo veilig mogelijk' moet zijn, maar dat klopt niet. Honderd procent veilig bestaat nooit en hoe dichter we daar in de buurt komen, hoe meer maatregelen we moeten nemen, die hinderlijk of zelfs invasief kunnen zijn. Voor sommige zeer gevoelige gegevens kan dat gepast zijn, maar op andere momenten kunnen we af met minder bescherming.

Bij gegevensbescherming kijken we niet alleen naar de vertrouwelijkheid - dat deze alleen ingezien worden door daarvoor bevoegde mensen - maar ook naar de integriteit en beschikbaarheid. Zo willen we graag voldoende zeker zijn dat onze salaris- en onderzoeksgegevens kloppen en dat onze informatiesystemen en data daarin benaderbaar zijn als we ze nodig hebben. Hoe belangrijker het is dat dit het geval is, hoe meer maatregelen we daarvoor nemen.

Het uitgangspunt bij informatiebeveiliging is dat de uitvoeringsorganisatie zelf verantwoordelijk is voor het nemen van de gepaste bescherming. De Chief Information Security Officer (CISO) stelt kaders op die het vertrekpunt zijn voor gepaste bescherming op basis van incidenten en de ontwikkeling van dreigingen om ons heen. Deze kaders worden door de instituten geïmplementeerd of er wordt bewust afgeweken en gekeken hoe de risico's dan op andere manieren te ondervangen zijn.

Een betrouwbare informatievoorziening is essentieel voor wetenschappelijk onderzoek en het goed functioneren van de bedrijfsvoering processen. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak.

Het informatiebeveiligingsbeleid

NWO-I heeft in 2023 het Strategisch Informatiebeveiligingsbeleid NWO-I vastgesteld. Dit document legt de verantwoordelijkheden en uitgangspunten uit van hoe we als organisatie willen omgaan met risicobeheersing omtrent onze gegevensverwerking. In het beleid zijn een aantal principes uitgewerkt die voor ons leidend zijn in deze aanpak.

De acht principes

1. Risicogebaseerd
   We baseren de maatregelen op de mogelijke veiligheidsrisico's van onze informatie, processen en IT-faciliteiten.
2. Iedereen
   Iedereen is en voelt zich verantwoordelijk voor een juist en veilig gebruik van middelen en bevoegdheden.

3. Altijd
   Informatiebeveiliging zit in het DNA van al onze werkzaamheden.

4. Security-by-Design
   Informatiebeveiliging is vanaf de start een integraal onderdeel van ieder project of iedere verandering met betrekking tot informatie, processen en IT-faciliteiten.

5. Security-by-Default
   Gebruikers hebben alleen toegang tot informatie en IT-faciliteiten die zij nodig hebben voor hun werkzaamheden. Het openstellen van informatie is een bewuste keuze.

6. Paraatheid
   In de wetenschap dat het altijd mis kan gaan zorgen we voor adequate detectie van mogelijke incidenten en dat we kundig kunnen reageren als deze zich voordoen.

7. Veilig faciliteren
   Beveiligingsmaatregelen en -procedures hebben de naam belemmerend te zijn. Dit past niet goed meer bij onze hedendaagse manier van werken. De traditionele manier van inperken wordt waar mogelijk vervangen door een aanpak van veilig faciliteren.

8. Samenwerken
   Door ervaringen uit te wisselen en de samenwerking op te zoeken, zowel intern als extern, wordt het uiteindelijke resultaat voor iedereen beter. Informatiebeveiliging is geen zero-sum game, we beschermen ons tegen dezelfde dreigingen en samenwerking verhoogt onze succeskansen.

Wat kan ik zelf doen?

Als medewerker van NWO-I ben je een belangrijk onderdeel van onze gegevensbescherming. Hier zijn een aantal dingen die je zelf kunt doen:

• Bekijk deze tips voor veilig gedrag
• Volg de security & privacy e-learnings
• Meld verdachte situaties bij de informatiebeveiligingsexperts in jouw instituut. Kijk hier voor meer informatie over het melden van verdachte situaties en incidenten
• Spreek elkaar aan op verbetermogelijkheden, wees daarbij begripvol en probeer niet defensief te reageren als je zelf ergens op gewezen wordt.

Contact

Heb je vragen over informatiebeveiliging, suggesties of opmerkingen? Je kunt ze het beste stellen via de Information Security Officer van je instituut of via een e-mail