De aandacht voor veiligheid is de afgelopen jaren toegenomen, en wordt steeds vaker beïnvloed door wereldwijde veranderingen en uitdagingen. Zoals het veranderende geopolitieke speelveld, hybride werkmodellen en digitalisering en innovaties. Veiligheid raakt daarnaast aan alle processen binnen de VU. Als we veiligheidsrisico’s onvoldoende adresseren, kan dat leiden tot imagoschade voor de VU. We hebben in 2023 daarom verder gebouwd aan thema’s als kennisveiligheid, cyberveiligheid, sociale veiligheid en crisismanagement. Met de aandacht van alle (in)direct betrokken collega's op de diverse veiligheidsthema's wordt er dagelijks gewerkt aan een veilige omgeving voor studenten en medewerkers.

Hieronder wordt een overzicht gegeven van de belangrijkste ontwikkelingen in 2023 en wordt op een aantal veiligheidsdomeinen specifiek ingegaan.

• In 2023 zijn er binnen de thema’s kennisveiligheid, cybersecurity en sociale veiligheid stappen gezet naar integrale beleidsontwikkeling en het vergroten van het bewustzijn. Zie toelichting in dit hoofdstuk en voor sociale veiligheid het hoofdstuk 5 Sociaal Jaarverslag.

• Vanuit de veiligheidsthema’s is er in 2023 verder gebouwd aan het netwerk van lokale en landelijke veiligheidsorganisaties. De VU speelt een actieve rol in congressen over veiligheid, in expertsessies en kennisuitwisselingen.

• De VU heeft een Commissie Integrale Veiligheid VU waar veiligheidsthema’s zoals kennisveiligheid, cybersecurity en sociale veiligheid worden besproken, afgestemd en getoetst aan de Veiligheidsvisie VU. De commissie is in 2023 vijf keer bijeengekomen.

Privacy- en informatiebeveiliging

Om de Algemene verordening gegevensbescherming (AVG) goed na te leven, is in 2023 veel aandacht uitgegaan naar de bewustwording en uitbreiding van de kennis en kunde op het gebied van privacy en informatiebeveiliging. Binnen de faculteiten en diensten bieden Privacy Champions ondersteuning aan hun collega's. Deze medewerkers worden opgeleid en ondersteund door het centrale privacyteam van de VU. Dat team heeft in 2023 trainingen verzorgd, modellen (verder) ontwikkeld en geadviseerd over complexe privacyvraagstukken binnen onderzoek, onderwijs en bedrijfsvoering.

In 2023 heeft de VU 1.095 securitymeldingen geregistreerd en behandeld. Bij securitymeldingen kan worden gedacht aan besmettingen met virussen en/of malware, pogingen om ongeautoriseerd toegang te krijgen tot informatie of systemen (hacken), verlies van usb-stick met gevoelige informatie, diefstal van data of hardware, gecompromitteerde mailbox. In 657 van deze gevallen ging het om meldingen van phishingmails. Die vormen al jaren de grootste categorie binnen de securitymeldingen. Dit komt onder andere door het nog steeds toenemend gebruik van phishingmails door aanvallers uit de hele wereld. Er zijn geen securitymeldingen geweest die hebben geleid tot grote incidenten.

Een klein deel van de phishingmails heeft geleid tot een datalek, maar er zijn geen nadelige gevolgen voor de getroffenen waargenomen. In 2023 zijn 45 meldingen van een datalek gedaan bij de Functionaris Gegevensbescherming, waarna er 9 meldingen zijn gedaan bij de Autoriteit Persoonsgegevens. De 45 meldingen betroffen geen grote datalekken en er was geen grote impact. Uit analyse van de datalekken blijkt dat deze veelal ontstaan door menselijk handelen. Dit is een factor die altijd van belang zal blijven; we proberen de bewustwording van het menselijk gedrag permanent te verhogen. Opvallend is verder dat er ook in 2023 weer verschillende meldingen binnenkwamen van diefstal van devices. Dit is een specifiek punt van aandacht tijdens de bewustwordingsactiviteiten.

Om de mate van volwassenheid op het gebied van informatiebeveiliging te verhogen, is het iBewust-programma medio 2023 gestart. Het ministerie van Onderwijs, Cultuur en Wetenschap hanteert het zogenaamde SURF-normenkader als leidraad. Dit kader is een standaard waarmee het volwassenheidsniveau van een organisatie wordt uitgedrukt in een numerieke score. Het hoofddoel van het iBewust-programma is om de diensten en faculteiten te helpen bij het vaststellen en verbeteren van deze score. Op die manier wordt het risico van de organisatie op het gebied van informatiebeveiliging verminderd. Het programma zal doorlopen tot 2024.

Kennisveiligheid

De VU werkt internationaal intensief samen met verschillende partners op het gebied van onderwijs, onderzoek en valorisatie. Open Science en kennisdiplomatie zijn hierbij voor de VU belangrijke beweegredenen. Maar mondiale en geopolitieke ontwikkelingen vragen in toenemende mate aandacht voor kennisveiligheid. Daarbij gaat het niet alleen om het voorkomen van ongewenste overdracht van sensitieve kennis en technologie die op onze universiteit aanwezig is, maar ook om ethische kwesties in samenwerking met landen die grondrechten niet respecteren.

Op 1 september 2023 is het Kader Kennisveiligheid VU inwerking getreden. Dat heeft als doel om internationaal op een veilige manier samen te werken. Het kader helpt bij de afweging om al dan niet samen te gaan werken met een persoon, instelling, financier of opdrachtgever. Bij elke nieuwe internationale samenwerking en partnerschappen voor onderzoek, onderwijs en bedrijfsvoering moeten de vragen uit het Kader Kennisveiligheid worden doorlopen. In 2023 heeft de adviesgroep bij 50+ casussen geadviseerd.

In 2023 is er verder gewerkt aan de inbedding van kennisveiligheid binnen de VU. Zo is onder andere per faculteit en dienst een contactpersoon kennisveiligheid aangesteld en is in de jaarplannen van 2024 de faculteiten en diensten expliciet gevraagd naar kennisveiligheid. Kennisveiligheid is ingebed in risicomanagement, de lijnorganisatie en het creëren en vergroten van het bewustzijn rondom kennisveiligheid. In het kader van bewustwording hebben diverse sessies bij faculteiten en diensten plaatsgevonden, zoals met leden van faculteitsbesturen, leden van dienstbesturen, met onderzoeksafdelingen en HR-adviseurs. Op de VU-website is een informatiepagina ingericht met achtergrond en praktische handreikingen voor medewerkers. Daarnaast heeft de VU informatie aangeleverd voor verschillende vragen vanuit de overheid en deelgenomen aan bijeenkomsten rondom de verdere ontwikkeling van dit onderwerp.

Tot slot heeft in 2023 vanuit het ministerie van OCW een audit plaatsgevonden bij alle universiteiten, waarvan de resultaten zijn verwerkt in het ‘Sectorbeeld Kennisveiligheid Universiteiten’. Uit het sectorbeeld blijkt dat de scores van de VU overeenkomen met de meerderheid van de universiteiten. In het sectorbeeld worden het Kader Kennisveiligheid VU en het inbedden van kennisveiligheid in de bestaande organisatie en processen als good practices aangemerkt.

Fysieke veiligheid

In 2023 waren er 125 meldingen van fysieke incidenten en ongevallen, een stijging ten opzichte van 2022. De stijging is toe te schrijven aan meer onwelmeldingen en brandmeldingen. Bijna de helft van het totaal aantal ongevalsmeldingen betreft het aantal onwelwordingen, meestal van studenten of bezoekers. Het gaat dan om flauwvallen, hart- en buiklachten, misselijkheid, niet lekker zijn, etcetera. Verder gaan de meldingen vaak over ongevallen zonder of met gering letsel. Dit patroon is door de jaren heen vrij constant. Daarnaast zijn er ook talloze valsebrandmeldingen: automatische meldingen, of brandmeldingen veroorzaakt door vandalisme, stoom, stof, rook, magnetron, molest, technische of soms onduidelijke oorzaken. In 2023 waren dat er ruim dertig. Veel meldingen staan op zichzelf; er is meestal geen onderling verband, patroon of grondoorzaak te ontdekken.

Crisismanagement

Bij een veiligheidscrisis op de VU kan het gaan om mogelijke impactvolle incidenten op de campus, maar ook om vraagstukken die de VU en onze community raken zoals bij een pandemie. Steeds vaker is er sprake van een toenemende mate van complexiteit, aspect van internationalisering en/of spanningen in de organisatie en/of samenleving. Voor elk crisis wordt een apart crisisteam samengesteld, zo waren er in 2023 vier teams actief rondom :

• Een datalek dat doorliep vanuit 2022 en dat in is 2023 afgeschaald;

• Het conflict tussen Israël en de Palestijnse gebieden (loopt door in 2024);

• De zomerstorm Poly van 5 juli, waarbij voor Noord-Holland een NL-alert werd afgegeven met het verzoek om binnen te blijven;

• Chemisch incident in gebouw O|2. Door het vrijkomen van een chemische stof heeft de BHV/ploegleider de brandweer opgeroepen, het hoofd BHV gewaarschuwd en werd het gebouwdeel ontruimd.

De VU heeft in 2023 ook meegedaan aan de tweejaarlijkse OZON-oefening van SURF. Dat is een landelijk georganiseerde cybercrisisoefening waarbij instellingen worden de geconfronteerd met technische uitdagingen, waarbij ze moeten afstemmen en samenwerken met andere instellingen, en waarbij bestuurlijke en politieke vraagstukken aan de oppervlakte komen. De VU heeft deze oefening, en ook het functioneren van de crisisorganisatie VU Corona in 2023 laten evalueren door het Instituut voor Veiligheids- en Crisismanagement (COT). De belangrijkste bevindingen voor VU gaan over de voorbereiding en respons op (cyber)crises te versterken.