PKI (Privacy, Kennisveiligheid en Informatiebeveiliging)

Privacy

Privacy is een schild dat je helpt jouw persoonsgegevens af te schermen; het geeft je de keuze wat je wel en niet met anderen deelt.

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor hoe organisaties zoals NWO-I met persoonsgegevens om moeten gaan. NWO-I moet kunnen aantonen zich te houden aan de AVG. Een van de belangrijke verantwoordelijkheden is dat NWO-I die mensen van wie de organisatie persoonsgegevens verwerkt daar zo goed mogelijk over informeert.

Elk instituut en het bureau heeft een privacycoördinator en een privacyteam, die er met alle andere collega's voor zorgen dat NWO-I zich aan de AVG houdt.
Ook heeft NWO-I een Chief Information Security Officer (CISO) en een functionaris voor gegevensbescherming (FG).

Vermoed je een beveiligingsincident of datalek? Meld dit altijd!

Kennisveiligheid

Wat is kennisveiligheid?

Bij kennisveiligheid gaat het in de eerste plaats om ongewenste overdracht van gevoelige kennis en technologie. Overdracht is ongewenst als deze de nationale veiligheid of concurrentiekracht van ons land (onnodig ongewenst of te ernstig) aantast. Daarnaast gaat het bij kennisveiligheid om heimelijke beïnvloeding van onderwijs en onderzoek door andere staten. Deze inmenging brengt de academische vrijheid en de sociale veiligheid bij onderzoekinstellingen in gevaar. Ook gaat het om ethische kwesties, die een rol kunnen spelen bij samenwerking met landen die de grondrechten uit onder meer het Europees Verdrag van de Rechten van de Mens en de fundamentele vrijheden, en het Handvest van de Grondrechten van de EU niet respecteren.

Visie NWO-I op kennisveiligheid

NWO-I wil dat het onderzoek bij NWO-I op een veilige manier en ook in een veilige omgeving plaatsvindt. Op een veilige manier betekent niet alleen dat bij het doen van het onderzoek de academische kernwaarden van integriteit en onafhankelijkheid gerespecteerd worden, maar ook dat de onderzoeksresultaten, waar mogelijk, kunnen worden gedeeld in het kader van Open Science. In een veilige omgeving betekent dat de onderzoekers en medewerkers zich vrij en gerespecteerd voelen om optimaal bij te dragen aan het onderzoek. Kennisveiligheidsbeleid is erop gericht om onderzoekssamenwerking in een veilige omgeving te laten plaatsvinden, de kroonjuwelen te beschermen tegen ongewenste overdracht en de wetenschappelijke integriteit en academische vrijheid te waarborgen.

De activiteiten met betrekking tot kennisveiligheid richten zich op drie onderdelen:

1. Bewustwording van de noodzaak om de 'kroonjuwelen' en academische waarden te beschermen.
2. Veilige inrichting van de organisatie.
3. Beschermingsmaatregelen

Doel van het kennisveiligheidsbeleid

Veilige inrichting van de organisatie en gedragsverandering en bewustwording in alle lagen van NWO-I en bij alle medewerkers, zodat het risico op ongewenste kennisoverdracht en heimelijke beïnvloeding tot een aanvaardbaar niveau kan worden teruggebracht, op een wijze die past bij de in het betreffende instituut aanwezige kennis en de daaraan gerelateerde risico's.

Raakvlakken

Kennisveiligheidsbeleid gaat niet alleen over onderzoek, maar raakt bij de implementatie ook aan bedrijfsvoe­ringprocessen als: ICT (cybersecurity, informatiemanagement en business intelligence), Personeels­zaken, Facili­tair bedrijf (fysieke instituutsbeveiliging: pasjessysteem) en Compliance (juridische) kaders.

Informatiebeveiliging bij NWO-I

Wat is informatiebeveiliging?

Informatiebeveiliging gaat om de gepaste bescherming van onze informatie. Vaak wordt gedacht dat het voor beveiliging altijd “zo veilig mogelijk” moet zijn, maar dat klopt niet. 100% veilig bestaat nooit en hoe dichter we daar in de buurt komen, hoe meer maatregelen we moeten nemen die hinderlijk of zelfs invasief kunnen zijn. Voor sommige zeer gevoelige gegevens kan dat gepast zijn, maar op andere momenten kunnen we af met minder bescherming.

Bij gegevensbescherming kijken we niet alleen naar de vertrouwelijkheid – dat deze alleen ingezien worden door daardoor bevoegde mensen – maar ook naar de integriteit en beschikbaarheid. Zo willen we graag voldoende zeker zijn dat onze salaris- en onderzoeksgegevens kloppen en dat onze informatiesystemen en data daarin benaderbaar zijn als we ze nodig hebben. Hoe belangrijker het is dat dit het geval is, hoe meer maatregelen we daarvoor nemen.

Het uitgangspunt bij informatiebeveiliging is dat de uitvoeringsorganisatie zelf verantwoordelijk is voor het nemen van de gepaste bescherming. De Chief Information Security Officer (CISO) stelt kaders op die het vertrekpunt zijn voor gepaste bescherming op basis van incidenten en de ontwikkeling van dreigingen om ons heen. Deze kaders worden door de instituten geïmplementeerd of er wordt bewust afgeweken en gekeken hoe de risico’s dan op andere manieren te ondervangen zijn.

Een betrouwbare informatievoorziening is essentieel voor wetenschappelijk onderzoek en het goed functioneren van de bedrijfsvoering processen. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak.

Het informatiebeveiligingsbeleid

NWO-I heeft in 2023 het Strategisch Informatiebeveiligingsbeleid NWO-I vastgesteld. Dit document legt de verantwoordelijkheden en uitgangspunten uit van hoe we als organisatie willen omgaan met risicobeheersing omtrent onze gegevensverwerking. In het beleid zijn een aantal principes uitgewerkt die voor ons leidend zijn in deze aanpak.

De 8 principes

1. Risico-gebaseerd
   We baseren de maatregelen op de mogelijke veiligheidsrisico’s van onze informatie, processen en IT-faciliteiten.
2. Iedereen
   Iedereen is en voelt zich verantwoordelijk voor een juist en veilig gebruik van middelen en bevoegdheden.

3. Altijd
   Informatiebeveiliging zit in het DNA van al onze werkzaamheden.

4. Security-by-Design
   Informatiebeveiliging is vanaf de start een integraal onderdeel van ieder project of iedere verandering mbt informatie, processen en IT-faciliteiten.

5. Security-by-Default
   Gebruikers hebben alleen toegang tot informatie en IT-faciliteiten die zij nodig hebben voor hun werkzaamheden. Het openstellen van informatie is een bewuste keuze.

6. Paraatheid
   In de wetenschap dat het altijd mis kan gaan zorgen we voor adequate detectie van mogelijke incidenten en dat we kundig kunnen reageren als deze zich voordoen.

7. Veilig faciliteren
   Beveiligingsmaatregelen- en procedures hebben de naam belemmerend te zijn. Dit past niet goed meer bij onze hedendaagse manier van werken. De traditionele manier van inperken wordt waar mogelijk vervangen door een aanpak van veilig faciliteren.

8. Samenwerken
   Door ervaringen uit te wisselen en de samenwerking op te zoeken, zowel in- als extern, wordt het uiteindelijke resultaat voor iedereen beter. Informatiebeveiliging is geen zero-sum game, we beschermen ons tegen dezelfde dreigingen en samenwerking verhoogt onze succeskansen.

Wat kan ik zelf doen?

Als medewerker van NWO-I ben je een belangrijk onderdeel van onze gegevensbescherming. Hier zijn een aantal dingen die je zelf kunt doen:

• Bekijk deze tips voor veilig gedrag
• Volg de security & privacy e-learnings op https://investigatesecurity.enter-the-wave.com
• Meld verdachte situaties bij de informatiebeveiligingsexperts in jouw instituut. Kijk voor meer informatie over het melden van verdachte situaties en incidenten hier: https://www.nwo-i.nl/nwo-i-themas/pki/privacy/beveiligingsincidenten-en-datalekken/
• Spreek elkaar aan op verbetermogelijkheden, wees daarbij begripvol en probeer niet defensief te reageren als je zelf ergens op gewezen wordt

Contact

Heb je vragen over informatiebeveiliging, suggesties of opmerkingen? Je kunt ze het beste stellen via de Information Security Officer van je instituut of via een mail aan pki-nwoi@nwo.nl.