Veelgestelde vragen algemeen
Op deze pagina vindt u antwoorden op veelgestelde vragen.
Advies
Nee, de advisering van het Loket Kennisveiligheid is juridisch niet-bindend. Het advies stelt kennisinstellingen in staat om zelf passende maatregelen te nemen.
Contact
U bereikt het loket telefonisch op (088 04) 26200 Vragen kunt u ook stellen via contactformulier.
Cyberveiligheid
Dat hangt ervan af hoe het veiligheidsbeleid binnen uw organisatie is geregeld. Vaak beschikken instellingen over een afdeling Veiligheidszaken, waar u terechtkunt met vragen. Heeft uw instelling een Adviesteam Kennisveiligheid? Dan kunt u ook terecht bij de informatiebeveiligingsexpert. Dat is bijvoorbeeld de Chief Information Security Officer (CISO) of de ICT-directeur. Veel instellingen zijn lid van SURF en hebben Coördinerende SURF Contactpersonen. Vaak zijn de CIO’s de SURF Coördinerend Contactpersoon (CCS) en vervult de ICT-directeur deze rol. Ook zijn veel instellingen aangesloten op een (SURF-)CERT (Computer Emergency Response Team). Bij dat team kunt u incidenten melden of vragen stellen.
Wilt u meer informatie over wat u zelf kunt doen, over hoe u uzelf online kunt beschermen of hoe uw instelling aan de eigen cyberweerbaarheid kan bijdragen? Neem dan contact op met een van bovengenoemde personen. Of raadpleeg verschillende publicaties, zoals ‘Cyberaanvallen door statelijke actoren’ van de AIVD en MIVD. Deze publicatie gaat over de zeven momenten waarop u een cyberaanval door een land of staat kunt stoppen. U kunt ook de Handreiking Cybersecurity Maatregelen- Stap voor stap naar een digitaal veilige organisatie lezen. Hierin staan basismaatregelen die op orde moeten zijn voor een minimaal digitaal veiligheidsniveau.
De grootste dreiging gaat uit van staten/landen en criminelen. Gecoördineerde cyberaanvallen waarbij landen zijn betrokken, zijn volhardend en blijven soms lange tijd onopgemerkt. Staten en landen gebruiken cyberaanvallen ook om desinformatie te verspreiden. Bedenk dat ook digitale risico’s van bedrijven of diensten (bijvoorbeeld cloud services) waarmee uw instelling werkt uw organisatie kunnen treffen.
De NCTV beschrijft in het ‘Cybersecuritybeeld Nederland 2021’ vier risico’s voor de
nationale veiligheid:
- Ongeautoriseerde inzage in informatie (en eventueel publicatie daarvan), in het bijzonder door spionage of datalekken.
- Ontoegankelijke processen door (voorbereidingen voor) sabotage of het gebruik van ransomware.
- Schending van de (veiligheid van de) digitale ruimte, bijvoorbeeld door misbruik van mondiale ICT-leveranciersketens.
- Grootschalige uitval: een situatie waarin één of meer processen zijn verstoord door natuurlijke of technische oorzaken, of door niet-moedwillig menselijk handelen.
Dreigingsbeeld
Nederland loopt het risico dat overgedragen kennis later wordt gebruikt voor doelen die direct onze nationale veiligheid raken, bijvoorbeeld in de vorm van militaire middelen. Of dat deze kennis wordt gebruikt voor doelen die ingaan tegen onze fundamentele waarden, zoals (massa)surveillancemiddelen.
Daarnaast proberen staten/landen ook meningen en publicaties te beïnvloeden en wetenschappelijk onderzoek en onderzoeksresultaten te censureren, bijvoorbeeld via financiële afhankelijkheid. Ook houden sommige staten/landen hun landgenoten in de gaten. Daarmee willen ze bijvoorbeeld voorkomen dat landgenoten tijdens colleges of congressen onwelgevallige meningen over het thuisland verkondigen.
De druk van deze activiteiten kan leiden tot zelfcensuur, waarbij individuen en groepen zich niet altijd openlijk kritisch durven te uiten. Of tot situaties waarin academici worden verhinderd om voor een bepaald land onaangename onderzoeksresultaten te publiceren. Dit bedreigt grondrechten als de vrijheid van meningsuiting en kernwaarden als academische vrijheid en wetenschappelijke integriteit.
Hieronder vindt u een aantal van deze dreigingen. Bij het uitvoeren van risicoanalyses binnen uw instelling kan de accountmanager van de AIVD met u meedenken. Wilt u meer weten over het risicoprofiel van specifieke landen? Neem dan contact op met het Loket Kennisveiligheid. Het loket heeft nauwe banden met alle relevante onderdelen van ministeries en diensten, waaronder de landenexperts van Buitenlandse Zaken.
Europese regelgeving
De afgelopen jaren heeft de EU steeds meer aandacht voor kennisveiligheid en gerelateerde onderwerpen. De Europese Commissie bracht verschillende voorstellen uit over internationale samenwerking in onderwijs, onderzoek en innovatie en het beschermen van academische waarden:
Voorstel voor een Europese Agenda voor Universiteiten
Voorstel voor een Mondiale benadering van onderzoek en innovatie
EU-toolkit over het aanpakken van buitenlandse inmenging in onderzoek en innovatie
Bij het aangaan van een internationale samenwerking zijn Europese exportregels over dual-use producten en technologie van belang. Daarbij gaat het om goederen, software en technologie voor civiele doeleinden die militaire toepassingen kunnen hebben of kunnen bijdragen aan de productie of verspreiding van massavernietigingswapens. Denk aan kernwapens, chemische strijdgassen, biologische wapens, of overbrengingsmiddelen daarvoor. Op grond van de EU dual-use verordening gelden (link) strenge regels voor de uit- en doorvoer van producten en technologie. Een vergunning is verplicht voor uitvoer naar landen buiten de EU en in sommige gevallen voor de overdracht binnen Europa.
Als er dreiging is voor de internationale vrede en veiligheid kan de EU sancties opleggen aan landen, organisaties, bedrijven en individuele personen. Denk aan de EU-sancties tegen Iran, die de overdracht van bepaalde technologie en kennis naar Iran verbiedt. Hiermee wil de EU de ontwikkeling van onder meer het ballistische raketprogramma voorkomen. Datzelfde geldt voor het verlenen van technische bijstand voor deze goederen en technologie voor gebruik in Iran (link naar EU-sanctieregime).
Export
Voor de export van technologische kennis voor civiele en militaire toepassingen geldt vaak een vergunningsplicht. U vindt meer informatie op de website van de Rijksoverheid: Exportcontrole strategische goederen.
Gedragscode
Er zijn verschillende gedragscodes over kennisveiligheid. Deze zijn niet-bindend, maar geven wel richting. Zo is er de Nationale Leidraad Kennisveiligheid, het kennisveiligheidskader van de UNL en zogenoemde de EU guidelines on tackling foreign interference van de Europese Commissie. Diverse landen hebben inmiddels vergelijkbare gedragscodes uitgewerkt. Deze codes maken het makkelijker om met buitenlandse partners het gesprek over kennisveiligheid te voeren.
Intellectueel eigendom
In de Nationale Leidraad Kennisveiligheid staan algemene suggesties om uw IP-adres te beschermen. Het verschilt per organisatie en vakgebied wat daarin de meest verstandige beschermingsvorm is. Zoekt u een advies op maat? Neem dan contact op met het Loket Kennisveiligheid.
Internationale samenwerking
Gaat uw instelling of onderdeel met een buitenlandse kennisinstelling of een buitenlands bedrijf samenwerken? Onderzoek dan allereerst met wie u precies in zee gaat. Maak daarna duidelijke afspraken die risico's rond kennisveiligheid, academische kernwaarden en onethisch gebruik van onderzoeksresultaten zo veel mogelijk voorkomen. Zo heeft u tijdens de samenwerkingsperiode bij onwenselijke ontwikkelingen altijd iets om op terug te vallen. U kunt uw samenwerkingspartner daarop aanspreken en eventueel de samenwerking eerder beëindigen (exit-strategie) als risico’s blijven bestaan.
Informatiebeveiliging
Het is belangrijk dat instellingen aan de internationaal erkende ISO-certificering ISO27007:2013 voor informatiebeveiliging voldoen.
SURF ontwikkelde speciaal voor onze sector een Normen- en Toetsingskader om onderwijs en onderzoeksinstellingen te helpen informatiebeveiliging en privacy beter te waarborgen. Dat waarborgen gebeurt ook door regelmatig audits uit te voeren.
Voordat u vertrekt
- Zorg dat u een minimale hoeveelheid (vertrouwelijke) gegevens bij u heeft.
- Bedenk vooraf wat er op de gegevensdragers staat die u meeneemt. Bevat uw laptop bestanden met gevoelige informatie die u niet tijdens uw reis nodig heeft? Verplaats deze bestanden dan voor uw vertrekt naar een andere computer, of neem een andere (reis)laptop mee.
- Ditzelfde geldt voor uw mobiele telefoon. Wis de belgeschiedenis van uw telefoon voor uw vertrek of neem een andere (reis)telefoon mee op reis.
- Gebruik wachtwoorden en/of toegangscodes voor uw devices en schakel ze waar mogelijk uit. U bent namelijk extra kwetsbaar als ze aanstaan.
Als u onderweg bent
- Schakel de bluetoothfunctie van uw telefoon en laptop altijd uit.
- Neem vertrouwelijke informatie en gegevensdragers altijd mee in uw handbagage en niet in uw koffer (denk aan usb-sticks en telefoons).
- Wees voorzichtig met vertrouwelijke gesprekken aan boord van een vliegtuig, trein of andere publieke ruimten. Sommige (vliegtuig)maatschappijen hebben bijvoorbeeld nauwe banden met inlichtingen- en veiligheidsdiensten. Denk hierbij ook aan de medepassagiers.
Op de plek van bestemming
- Bescherm vertrouwelijke informatie. Laat geen vertrouwelijke gegevens achter op een plaats waar anderen die kunnen inzien. Dit geldt ook voor uw hotelkamer of hotelkluis.
- Geef uw laptop of telefoon niet zomaar af. Zorg ervoor dat u altijd kunt controleren of iemand uw informatie heeft ingezien.
- Verstrek selectief informatie. Ga bij contacten uit van het need-to-know-principe: vertel uw gesprekspartner niet meer dan nodig is. Dit geldt ook voor congressen of bijeenkomsten waarvoor u als spreker bent uitgenodigd..
- Wees voorzichtig met verkregen (gratis) USB’s op congressen of evenementen. Dit is een makkelijke manier om malware op uw laptop te installeren.
Juridische kaders
Er is wet- en regelgeving om dreigingen het hoofd te bieden en waaraan uw instelling moet voldoen (compliance). Zo gelden er binnen de EU strenge regels voor de uitvoer van dual-use producten en technologie, die naast civiele ook militaire toepassingen hebben. Twijfelt u of de exportregels van toepassing zijn? Doe dan een indelingsverzoek bij de Centrale Dienst voor In- en Uitvoer (CDIU).
Daarnaast zijn er internationale sanctieregimes van kracht tegen landen, organisaties en personen. Het actuele overzicht staat op www.sanctionsmap.eu. Voor kennisinstellingen zijn vooral de sancties tegen Noord-Korea en Iran van toepassing. Deze vormen de basis voor het verscherpt toezicht dat voor een beperkt aantal vakgebieden geldt.
Om het handelingsperspectief van kennisinstellingen en overheden verder te vergroten, maakt het kabinet een toetsingskader voor personen die toegang willen tot kennisgebieden met een hoog risico voor de nationale veiligheid. Het kabinet streeft ernaar dit kader in de loop van 2023 te laten ingaan. Daarnaast heeft het kabinet een wetsontwerp gepresenteerd over buitenlandse investeringen, fusies en overnames. Deze wet richt zich op vitale aanbieders en op organisaties die beschikken over gevoelige technologie.
Kennisveiligheid
Bij kennisveiligheid gaat het om het tegengaan van de ongewenste overdracht van gevoelige kennis en technologie. Overdracht is ongewenst als deze de nationale veiligheid van ons land aantast. Daarnaast gaat kennisveiligheid om het tegengaan van heimelijke beïnvloeding van onderwijs en onderzoek door staten/landen. Deze inmenging brengt de academische vrijheid en de sociale veiligheid in gevaar. Ook gaat het om ethische kwesties die kunnen spelen bij samenwerking met landen die geen grondrechten respecteren.
Kernwaarden
Academische vrijheid en wetenschappelijke betrouwbaarheid vormen het fundament van hoger onderwijs en wetenschap in Nederland.
Volgens de KNAW is het uitgangspunt van academische vrijheid dat medewerkers aan wetenschappelijke instellingen in vrijheid hun wetenschappelijk onderzoek kunnen doen, hun bevindingen naar buiten kunnen brengen en onderwijs kunnen geven. Deze vrijheid geldt onder meer voor de keuze van te onderzoeken thema’s, de keuze en toepassing van de eigen onderzoeksvragen en -methoden en de toegang tot informatiebronnen. Maar ook voor het publiceren en delen van informatie via conferenties, lezingen en lidmaatschap van wetenschappelijke groepen, de keuze om met wetenschappelijke partners te gaan samenwerken en wetenschappelijk onderwijs in te vullen.
Om duidelijk te maken wat we onder wetenschappelijke integriteit verstaan, heeft het gezamenlijke Nederlandse kennisveld (KNAW, NFU, NWO, TO2-federatie, VH en UNL) in een Nederlandse Gedragscode Wetenschappelijke Integriteit vastgesteld. In deze code zijn de vijf principes die de grondslag vormen van integer onderzoek uitgewerkt in 61 normen voor goede onderzoekspraktijken. De vijf principes zijn eerlijkheid, zorgvuldigheid, transparantie, onafhankelijkheid en verantwoordelijkheid. Ook bevat de code richtlijnen voor de manier waarop met veronderstelde schendingen van de wetenschappelijke integriteit moet worden omgegaan.
Academische kernwaarden zoals academische vrijheid en wetenschappelijke integriteit vormen het fundament van hoger onderwijs en wetenschap in Nederland.
- Ook bij activiteiten met buitenlandse partners zijn de academische kernwaarden richtinggevend. Ze bieden houvast bij het aangaan van buitenlandse samenwerkingen. Buitenlandse (gast)onderzoekers en docenten moeten - net als hun Nederlandse collega’s - de gedragscode onderschrijven en naleven.
- Open science is binnen Europa de norm: het streven is om publiek gefinancierde onderzoeksresultaten voor iedereen toegankelijk te maken. Er zijn echter legitieme redenen om van openbaarmaking af te zien. Denk aan het beschermen van de nationale veiligheid. Maak vooraf goede afspraken om de spanning tussen het streven naar maximale openheid en het treffen van legitieme beschermende maatregelen te voorkomen.
- Ethische dilemma’s kunnen een rol spelen als u samenwerkt met landen die de grondrechten niet respecteren. Hoe kunt u voorkomen dat die landen onderzoeksresultaten gebruiken voor onderdrukking of schending van mensenrechten? We raden aan om binnen uw instelling een ethische commissie in te stellen voor advies over ethisch gebruik van onderzoeksresultaten.
- Kennisinstellingen hebben een zorgplicht tegenover werknemers en studenten als het gaat om hun sociale veiligheid. Bij studenten en onderzoekers uit onvrije landen kan die veiligheid ernstig in het geding zijn door het handelen van de herkomststaat.
- Maatregelen rond kennisveiligheid mogen niet ‘doorslaan’ en tot willekeurige uitsluiting, verdachtmaking of discriminatie leiden.
Loket Kennisveiligheid
De Rijksoverheid heeft een expertise- en adviesloket opgericht om kennisinstellingen te ondersteunen bij de afwegingen die zij vanuit hun verantwoordelijkheid maken op het gebied van kennisveiligheid en internationale samenwerking.
Het Loket Kennisveiligheid verstrekt informatie aan kennisinstellingen die met internationale samenwerking te maken hebben en kan hen adviseren. De instelling kan dit advies gebruiken om kansen en risico’s af te wegen. Het loket staat in verbinding met alle relevante onderdelen van de rijksoverheid en de sectororganisaties. Op deze manier is het loket één toegangspunt voor alle vragen over kennisveiligheid.
Bij het Loket Kennisveiligheid kunnen kennisinstellingen terecht met aan kennisveiligheid gerelateerde vragen rond internationale samenwerking. Het loket is bedoeld voor iedereen die binnen kennisinstellingen met internationale samenwerking te maken heeft; van bestuurders tot individuele onderzoekers of docenten.
Het Loket Kennisveiligheid is een Rijksbreed initiatief. RVO verzorgt de voorkant ervan (de frontoffice). De backoffice stemt af met vertegenwoordigers van verschillende betrokken ministeries.
Memorandum of Understanding (MoU)
Meestal sluit u een partnerschap af via een Memorandum of Understanding (MoU). MoU’s zijn intentieverklaringen die juridisch niet-bindend zijn. We raden u daarom aan om geen juridisch taalgebruik te gebruiken. Voor MoU’s zijn talloze formats in omloop. Deze bieden een zekere basisbescherming tegen de meest voorkomende juridische en financiële risico's. Ze beschermen echter niet voldoende als het gaat om een samenwerking rond gevoelige kennis met een partner uit een land met een verhoogd risico. In die gevallen gaat het om maatwerk en raden we u aan juridische en veiligheidsexpertise in te schakelen. In sommige gevallen is dan de conclusie dat samenwerking niet mogelijk is.
Onderzoek
Gaat uw instelling of een onderdeel daarvan samenwerken met een buitenlandse kennisinstelling of een buitenlands bedrijf? Onderzoek dan eerst grondig met wie u precies in zee gaat. Maak vervolgens duidelijke afspraken om risico's rond kennisveiligheid, academische kernwaarden en onethisch gebruik van onderzoeksresultaten zoveel mogelijk te voorkomen. Zo heeft u in de samenwerkingsperiode altijd iets om op terug te vallen als zich onwenselijke ontwikkelingen voordoen. U kunt dan uw samenwerkingspartner erop aanspreken of de samenwerking eerder beëindigen (exit-strategie) als deze risico’s blijven bestaan. Het Rijksbrede Loket Kennisveiligheid kan u advies op maat geven.
Neem bij het aangaan van een samenwerking, zoals bij het afsluiten van een MoU of een contract, een paragraaf op met informatie over het gebruik van de resultaten. Daarin staan afspraken over de publicatie van de resultaten en of er sprake is van strenge intellectuele eigendomseisen of geheimhouding voor eindgebruikers en specificaties. Daarin kunt u opnemen dat de samenwerking kan worden stopgezet als één van de partijen zich niet aan deze afspraken.
Let specifiek op:
Ethische dilemma’s: Deze spelen een rol als u met landen samenwerkt die de grondrechten niet respecteren. Hoe voorkomt u dat deze landen onderzoeksresultaten gebruiken voor onderdrukking of schending van mensenrechten? We raden aan om binnen uw instelling een ethische commissie in te stellen, die adviseert over ethisch gebruik van onderzoeksresultaten.
Open science: het streven is om publiek gefinancierde onderzoeksresultaten voor iedereen toegankelijk te maken. Er zijn echter legitieme redenen om van openbaarmaking af te zien, zoals het beschermen van de nationale veiligheid. Maak vooraf goede afspraken om spanning tussen het streven naar maximale openheid en het treffen van legitieme beschermende maatregelen te voorkomen.
Personeelsbeleid
De werving en selectie van nieuwe medewerkers is een uiterst belangrijk moment voor het inschatten van veiligheidsrisico’s. HR-medewerkers moeten daarom veiligheidsbewust zijn en signalen oppikken die op een verhoogd risico wijzen.
Reizen
We adviseren u een bezoekersprotocol te maken om risico’s tijdens bezoeken aan gevoelige locaties te beperken. Omgekeerd vraagt een dienstreis naar landen met een verhoogd risicoprofiel -bijvoorbeeld omdat u aan een conferentie deelneemt - de nodige voorbereiding en alertheid. Het Rijksbrede Loket Kennisveiligheid kan u advies op maat geven.
Risicoprofiel
Voor het inschatten van het risicoprofiel van een land maakt u gebruik van openbare dreigingsinformatie, zoals het Dreigingsbeeld Statelijke Actoren van NCTV, AIVD en MIVD. U kunt ook internationale ranglijsten raadplegen. Bij een slechte score op rankings over academische vrijheid en respect voor de rechtsstaat moeten bij u alarmbellen afgaan. Een slechte score betekent echter niet per se dat u een samenwerking met instellingen uit dat land moet uitsluiten. Wel betekent het dat u in dat geval goede voorzorgsmaatregelen moet treffen. Het Rijksbrede Loket Kennisveiligheid kan u advies op maat geven.
Sensitieve vakgebieden
Het is belangrijk om gevoelige kennisgebieden binnen uw instelling nauwkeurig in kaart te brengen. Denk aan dual-use technologieën en kennis die onethisch kan worden ingezet. Breng ook uw ‘kroonjuwelen’ in kaart; de gebieden waarop uw instelling internationaal toonaangevend is. Voer voor elk gevoelig kennisgebied een korte risicoanalyse uit.
Ga voor uzelf na waar binnen uw instelling deze unieke, gevoelige kennis zich bevindt, welke dreigingen er spelen en welke maatregelen u hiertegen kunt nemen. Bedenk daarbij dat een technologie door technologische ontwikkelingen in de loop van de tijd meer of minder gevoelig kan worden. We raden daarom aan met een dynamische lijst met gevoelige kennisgebieden te werken, die u van tijd tot tijd herziet. Bij het uitvoeren van risicoanalyses binnen uw instelling kan de accountmanager van de AIVD met u meedenken.
Spionage
Neem contact op met de AIVD of kijk op de website van de AIVD.
Op de website van de AIVD vindt u meer informatie over spionage via social media.
Tool en kaders
Er zijn verschillende gedragscodes over kennisveiligheid. Deze zijn niet-bindend, maar geven wel richting. Zo is er de Nationale Leidraad Kennisveiligheid, het kennisveiligheidskader van de UNL en de EU guidelines on tackling foreign interference van de Europese Commissie. Diverse landen hebben inmiddels vergelijkbare gedragscodes uitgewerkt. Deze codes maken het makkelijker om met buitenlandse partners het gesprek over kennisveiligheid te voeren.
Vertrouwelijkheid
Het loket behandelt al uw informatie vertrouwelijk. Wilt u mogelijke inlichtingenactiviteiten door regeringen van landen melden? Neem dan contact op met de AIVD. Zij behandelen uw melding vertrouwelijk.
Wet- en regelgeving
Er is wet- en regelgeving om dreigingen het hoofd te bieden en waaraan uw instelling moet voldoen (compliance). Zo gelden er binnen de EU strenge regels voor de uitvoer van dual-use producten en technologie die naast civiele ook militaire toepassingen hebben. Twijfelt u of de exportregels van toepassing zijn? Vraag dan bij de Centrale Dienst voor In- en Uitvoer (CDIU) om een indelingsverzoek.
Daarnaast zijn er internationale sanctieregimes van kracht tegen landen, organisaties en personen. Het actuele overzicht staat op www.sanctionsmap.eu. De sancties tegen Noord-Korea en Iran zijn vooral voor kennisinstellingen van toepassing: deze vormen de basis voor het verscherpt toezicht dat voor een beperkt aantal vakgebieden geldt.
Om het handelingsperspectief van kennisinstellingen en overheden verder te vergroten, werkt het kabinet aan een toetsingskader dat zich gaat richten op personen die toegang willen tot kennisgebieden met een hoog nationaal veiligheidsrisico. Het kabinet streeft ernaar om dit kader in de loop van 2023 in te laten gaan. Daarnaast heeft het kabinet een wetsontwerp gepresenteerd over buitenlandse investeringen, fusies en overnames. De wet richt zich op vitale aanbieders en op organisaties die over gevoelige technologie beschikken.