Deel 2 Awareness-campagne van start: kennisveiligheid en bescherming persoonsgegevens

Kennisveiligheid: veel kennis en technologie in huis

Met de awareness campagne wil NWO-I een positieve gedragsverandering op het gebied van informatiebeveiliging, privacy en kennisveiligheid tot stand brengen. In de twee nieuwe modules staan kennisveiligheid en privacy centraal. Waarom is het belangrijk te weten wat kennisveiligheid inhoudt? Ella Bosch, beleidsmedewerker bij NWO-I, heeft dit onderwerp in haar werkpakket. Ze legt uit dat de instituten veel data en gevoelige technologie in huis hebben, die ook voor andere organisaties of landen interessant is. Bosch: “NWO-I moet voorkomen dat dit in verkeerde handen valt. In de e-learningmodule laten we de collega’s zelf inschatten welke kennis ze wel of niet met anderen moeten delen en wat ze moeten doen in een bepaald scenario. Daarmee hopen we een basisniveau op dit onderwerp te bereiken.”

Samen alert zijn

Bosch vertelt dat collega’s soms zeggen dat ze in hun werk niet met gevoelige kennis in aanraking komen. Ze antwoordt dan dat kennisveiligheid raakvlakken heeft met de hele organisatie: ”Het samen alert zijn op ongewenste situaties draagt bij aan grotere veiligheid van heel NWO-I. Denk bijvoorbeeld aan hoe je met bezoekers in je instituut omgaat. Laat je die alles fotograferen met hun smartphone? En hoe reageer je als medewerkers of onderzoekpartners bij jou aangeven druk uit het thuisland te ervaren om kennis te delen?” Sinds september 2023 heeft NWO-I richtlijnen voor dienstreizen, bezoekersbeleid, werving en selectie, en internationale samenwerking. Die zijn te vinden op de intranetten van de instituten. Bosch voegt toe dat kennisveiligheid een thema is waarop NWO-I steeds nieuw beleid ontwikkelt: “De geopolitiek is nou eenmaal niet statisch.”

Privacy

De andere nieuwe module in de awareness campagne gaat over de Algemene Verordening Gegevensbescherming (AVG), of specifieker: over privacy. Abigail van Moosel is centrale privacy officer bij NWO-I. Zij legt uit dat de organisatie conform de AVG de verantwoordelijkheid heeft om zorgvuldig met (digitale) persoonsgegevens om te gaan. Voor Van Moosel sluit de AVG aan bij haar overtuiging dat privacy vooral betekent dat je respect moet hebben voor elkaars identiteit en waardigheid. Van Moosel: “Iedereen moet de ruimte hebben zichzelf te ontplooien, met zo min mogelijk invloeden van buitenaf. Zelf kunnen bepalen hoe je je presenteert, waar je voorkeuren liggen en wie er wat over je weet.”

Niet mailen maar delen

De AVG schrijft voor dat NWO-I haar medewerkers goed moet informeren over het zorgvuldig omgaan met persoonsgegevens, om zo privacy optimaal te beschermen en misbruik te voorkomen. Van Moosel: “Het begint bij dat iedereen weet wat persoonsgegevens zijn. Denk bijvoorbeeld aan een IP-adres of NAW-gegevens (naam, adres, woonplaats). Je moet vervolgens weten wat je met informatie over personen mag doen. Mag je bijvoorbeeld delen waarom een collega in het ziekenhuis ligt? Nee, dat mag dus niet. En plak je een Excelbestand met aanmeldingen voor trainingen als attachment in de mail? ‘Niet mailen, maar delen’, zeggen wij. Deel persoonsgegevens alleen via het door jouw instituut/bureau NWO-I aangewezen veilige programma, zoals bijvoorbeeld SURFfilesender, ownCloud of SURFdrive. Deze onderwerpen behandelen we in de module over de AVG.”   

Bekijk de flyer!

De awareness-campagne loopt tot mei 2024. Van Moosel benadrukt dat de campagne en de e-learnings een start zijn. Daarna moet de aandacht voor informatiebeveiliging, kennisveiligheid en privacy geregeld terugkomen op de agenda, omdat – zo leert de praktijk - het bewustzijnsniveau met de tijd afneemt. In de on-boarding van nieuwe medewerkers gaat NWO-I er ook aandacht aan besteden, zodat zij meteen weten hoe NWO-I omgaat met de genoemde thema’s. Van Moosel wijst op de flyer (te downloaden onderaan deze pagina) die speciaal voor de awareness-campagne is ontwikkeld, met acht gouden regels die handvatten geven voor het veilig werken met informatie. “Bekijk ze eens, dit is een mooi startpunt. Ook raad ik aan om de modules één keer, maar nog liever twee keer te doen. De ervaring leert dat de informatie dan echt blijft hangen. In 1,5 uur tijd kun je ze alle vijf doorlopen.”

Phishingmail

Misschien heb jij als NWO-I medewerker recent een nep-phishingmail ontvangen? Dan zat je in een steekproef van mensen bij de instituten en het bureau. De nepmail volgde op de eerste fase van de bewustwordingscampagne. Phishing begint met een frauduleuze e‑mail, of andere communicatie, om een slachtoffer te lokken. Het bericht ziet eruit alsof het afkomstig is van een betrouwbare afzender. Als de ontvanger erin trapt, volgt het verzoek om vertrouwelijke informatie te verschaffen, vaak via een vervalste website. Als een medewerker van NWO-I deze informatie vervolgens deelt kan de informatie- en kennisveiligheid, en ook de privacy van collega’s en relaties in gevaar komen. Soms wordt ook kwaadaardige software (malware) gedownload naar de computer van de ontvanger. Deze software kan onze computers en apparaten beschadigen, bespioneren of gijzelen.

To click or not to click?

Met de phishing-simulaties wil NWO-I de alertheid op dergelijke frauduleuze mails vergroten. NWO-I kijkt naar hoe de organisatie reageert op de mails en leidt uit het percentage clicks af of verbetering in het gedrag optreedt. Bas Beltman, projectleider van de awareness-campagne, benadrukt dat
NWO-I er op organisatieniveau naar kijkt en de scores vergelijkt met landelijke benchmarks. Tijdens de campagne zijn meerdere phishing-simulaties gepland.

Hoe werkt de e-learning en toegang tot de modules NWO-I maakt gebruik van Wave, een platform met korte leerinterventies. Hoe ziet een e-learningmodule eruit? De module bevat drie zogenaamde ‘explainers’: uitleg over het onderwerp. Daarop volgt een quiz, met in totaal negen vragen over dit onderwerp. Op elk moment kun je tijdens het maken van de quiz terug naar de explainers. Het doorlopen van de module duurt ongeveer 10-15 minuten. Je kunt de module onderbreken en op een ander moment afmaken. Meerdere keren invullen – om tot een beter resultaat te komen, want je gaat toch voor de maximale score – is ook mogelijk. Je privacy is gewaarborgd: de resultaten zijn niet herleidbaar naar jou. Bij de modules zit ook een apart, interactief vaardigheidsspel: in pop-ups krijg je links te zien. Daarbij moet je bepalen of ze veilig genoeg zijn om erop te klikken. Via deze weblink kom je in de modules terecht.

Tekst: Anita van Stel