Mijn Verslag
Vorige Volgende

6.3 integrale veiligheid

Het risico- en dreigingslandschap van instellingen in het hoger onderwijs beweegt mee met de veranderende sociale dynamieken, technologische vooruitgang en toenemende geopolitieke spanningen. Dit leidt onder andere tot een toename van cyberdreigingen, zorgen over kennisveiligheid, maatschappelijke onrust (onder meer polarisatie) en aandacht voor sociale veiligheid. Deze ontwikkelingen vragen aandacht en zijn terug te zien in ons handelen en doen. Veel van deze ontwikkelingen hebben niet alleen gevolgen voor veiligheid, maar veroorzaken ook andere risico’s, bijvoorbeeld voor onze reputatie. In dit hoofdstuk leest u de belangrijkste ontwikkelingen.

Kennisveiligheid

De overheid vraagt hogescholen en universiteiten om bij internationale samenwerking niet alleen te kijken naar kansen, maar ook naar risico’s: “open waar mogelijk, beschermen waar nodig”. Door geopolitieke machtsverschuivingen, waarbij kennis en technologie als strategisch machtsmiddel worden gezien, zijn ook universiteiten een belangrijk doelwit van spionage en heimelijke beïnvloeding. Dit kan leiden tot ongewenste overdracht van gevoelige kennis en technologie, met risico’s voor de nationale veiligheid, personen, onderwijs en onderzoek. Verder kunnen er rond internationale samenwerking ethische kwesties spelen, zoals bij de samenwerking met landen die de grondrechten niet respecteren. Het gevolg kan zijn dat kennis wordt misbruikt, de veiligheid van onderzoekers of respondenten in het geding komt en mensenrechten of academische waarden worden geschonden. Om internationale samenwerking veilig te laten plaatsvinden, voeren wij een actief kennisveiligheidsbeleid.

Nieuwe kennisveiligheidsrisico’s in 2025

2025 was geopolitiek onrustig, met nieuwe dreigingen die het belang van kennisveiligheid onderstrepen maar ook internationale wetenschappelijke samenwerking bemoeilijken. Universiteiten volgen het dreigingslandschap van de overheid, dat aangeeft van welke landen risico’s uitgaan; dit beeld bleef in 2025 stabiel. Belangrijke zorgen blijven de grote digitale afhankelijkheid van de Verenigde Staten en de striktere voorwaarden die Amerikaanse organisaties stellen aan contracten en grants

Binnen het kennisveiligheidsbeleid is in 2025 extra aandacht besteed aan Europese sanctie- en dual‑use‑verordeningen, het juridische kader voor kennisveiligheid. Deze regels zijn complex en hun toepassing op onderzoek is niet altijd duidelijk. Daarom zetten we in op bewustwording en gezamenlijke expertiseopbouw.

Heimelijke beïnvloeding door statelijke actoren of individuen (insider threats) blijft lastig te herkennen. De VU kan niet volledig screenen wie binnenkomt of bepalen of personen onder druk worden gezet. De campus blijft een plek van ontmoeting. Hoewel in 2025 geen concrete casussen zijn vastgesteld, betekent dit niet dat beïnvloeding ontbreekt. Alertheid vanuit verschillende disciplines, zoals regiehouders, vertrouwenspersonen, cybersecurityexperts en leidinggevenden, is cruciaal om dergelijke kennisveiligheidsrisico’s in beeld te krijgen.

Implementatie van kennisveiligheidsbeleid

In 2025 is een geactualiseerd Kader Kennisveiligheid gepubliceerd, waarin het proces voor het beoordelen van risicovolle internationale samenwerkingen en aanstellingen is verduidelijkt en samen met gebruikers aangescherpt. Daarnaast is het kennisveiligheidsbeleid verder geïntegreerd in reguliere processen. Concrete stappen zijn onder meer de introductie van blanco laptops en telefoons voor reizen naar risicolanden, de toevoeging van een kennisveiligheidscheck aan het handboek researchdatamanagement en de opname van kennisveiligheid in de PhD‑onboarding. De verdere implementatie loopt door in 2026, waaronder de structurele inbedding van kennisveiligheid in het pre‑employmentscreeningproces.

Aandacht voor het belang van kennisveiligheid

De actualisatie van het kader vormde in 2025 een aanleiding om de aandacht voor kennisveiligheid te versterken. De VU‑informatiepagina is uitgebreid met nieuwe factsheets en e‑learnings, en er zijn presentaties gegeven bij betrokken afdelingen.

Hiernaast bespraken we in bijeenkomsten met facultaire en dienstgerichte contactpersonen actuele vraagstukken en casuïstiek. Tot slot organiseerden we in het najaar een VU‑brede Roadshow, samen met het Landelijk Loket Kennisveiligheid en het ministerie van Buitenlandse Zaken, met toelichtingen op sanctie‑ en dual‑use‑regelgeving en het herkennen van heimelijke beïnvloeding.

Kennisveiligheidsrisico’s vooraf in kaart brengen

Voorafgaand aan internationale samenwerkingen en aanstellingen brengen faculteiten en diensten kennisveiligheidsrisico’s in kaart, ondersteund door decentrale contactpersonen kennisveiligheid. Bij complexere casussen kan in alle fasen advies worden ingewonnen bij de centrale Adviesgroep Kennisveiligheid, waarin diverse expertises van de VU zijn vertegenwoordigd. In 2025 werd in driekwart van de casussen een beroep gedaan op deze centrale adviesgroep; in de tweede helft van het jaar nam zowel het aantal aanvragen als de complexiteit toe, wat wijst op een groter bewustzijn en betere bekendheid van het proces. 

Daarnaast werkten kennisveiligheidsadviseurs aan expertiseontwikkeling via seminars en actieve deelname aan landelijke en internationale netwerken en conferenties, waaronder bijeenkomsten van Universiteiten van Nederland, Aurora en de Europese Unie.

Landelijke beleidsvoornemens

In 2025 is de overheid met nieuwe beleidsvoornemens gekomen, waarop we opbouwende en kritische input hebben geleverd. Het ministerie van OCW heeft het advies overgenomen en gaat terug naar de tekentafel.

Cyberveiligheid

Cyberveiligheid richt zich op het beschermen van digitale informatie, systemen en processen van de VU tegen verstoring, misbruik en verlies. Het cyberdreigingsbeeld blijft in beweging; aanvallen worden professioneler en steeds moeilijker te detecteren, mede door technologische ontwikkelingen zoals AI. In deze paragraaf worden de belangrijkste cyberrisico’s in 2025, de risicobereidheid van de organisatie en de genomen maatregelen beschreven.

Cyberveiligheidsrisico’s in 2025

In 2025 bleef phishing de meest voorkomende digitale dreiging voor de VU, mede door de open academische omgeving en het grote aantal accounts. Ook nam het risico op supply‑chainaanvallen via externe softwareleveranciers toe. Daarnaast deden zich enkele verstoringen voor in de digitale infrastructuur die impact hadden op onderwijs‑ en onderzoeksprocessen, maar geen van deze verstoringen had een oorsprong in cyber‑ of informatiebeveiligingsincidenten. Er is geen misbruik gemaakt van gecompromitteerde accounts.

Hoewel zich geen grote schade‑incidenten voordeden, blijft het dreigingsbeeld complex en dynamisch. Externe ontwikkelingen, waaronder geopolitieke spanningen en afhankelijkheden van internationale leveranciers, vragen om blijvende waakzaamheid.

Risicobereidheid van de organisatie

Als open instelling koestert de VU toegankelijkheid en samenwerking. Tegelijkertijd hanteert de universiteit een lage risicobereidheid ten aanzien van de vertrouwelijkheid en integriteit van onderzoeksgegevens, persoonsgegevens en kritieke digitale systemen. In 2025 is de samenwerking tussen onderzoek, onderwijs IT en beveiligingsfuncties verder geïntensiveerd om onderzoek en onderwijs veilig te laten verlopen. De voortdurende uitdaging ligt in het zorgvuldig balanceren tussen academische openheid en passende digitale bescherming.

Maatregelen en borging

In 2025 zijn verdere stappen gezet om de digitale weerbaarheid te vergroten. De DDoS‑weerbaarheid is versterkt, systemen zijn verder gehard en voorbereidingen zijn getroffen voor aansluiting op het nieuwe SURF Security Operations Center. Organisatorisch is het Information Security Management System doorontwikkeld en zijn businessimpactanalyses uitgevoerd om kritische applicaties en vereiste beveiligingsniveaus vast te stellen. Deze maatregelen vormen een belangrijke voorbereiding op de inwerkingtreding van de Nederlandse cyberbeveiligingswet (NIS2) in 2026.

De bestuurlijke verankering van cyberveiligheid is versterkt door structurele afstemming met het College van Bestuur. Daarnaast is cybersecurity nadrukkelijker geïntegreerd in architectuurkeuzes en sectorale samenwerking binnen SURF.

Ter ondersteuning van bewustwording is het programma iBewust uit 2023 is in 2025 afgerond en zijn de bijbehorende SURF‑normen geïntegreerd in de reguliere bedrijfsvoering. In 2025 is de volwassenheid van de informatiebeveiliging onafhankelijk getoetst aan het SURF‑kader. De uitkomsten laten zien dat de VU beter presteert dan vooraf verwacht en vormen richting voor verdere doorontwikkeling.

Crisismanagement

Binnen de VU kunnen uiteenlopende situaties de bedrijfscontinuïteit bedreigen. Hoewel elke crisis anders is, bereiden we ons voor met een integrale aanpak en duidelijke opschalingsstructuur. Ons crisismanagementbeleid houdt rekening met de toenemende maatschappelijke complexiteit en globalisering, waarvan de spanningen ook zichtbaar zijn op onze campus. Deze kunnen uitmonden in crises die wij moeten beheersen.

In 2025 kwam de crisisorganisatie meerdere keren bijeen vanwege protestacties op de campus. Daarbij lag de focus op het waarborgen van onderwijs- en onderzoekscontinuïteit. De protesten vroegen veel van onze gemeenschap en organisatie. Ze leidden tot extra kosten voor beveiliging, herstelwerk en schoonmaak, en tot gespannen situaties voor collega’s die te maken kregen met verstorend of buitensporig gedrag. Sommige acties zetten onze ambitie om een open en veilige gemeenschap te zijn onder druk.

In 2025 hebben we het integraal bedrijfsnoodorganisatiedocument en de bijbehorende procesdocumenten geactualiseerd en verrijkt met geleerde lessen. Deze vernieuwde basis wordt in 2026 gebruikt voor opleiding, training en oefeningen.

Privacy en gegevensbescherming

De VU blijft investeren in de naleving van de Algemene Verordening Gegegevenbescherming (AVG). Bewustwording en het versterken van kennis over privacy en informatiebeveiliging vormen daarbij een belangrijke basis. Binnen faculteiten en diensten ondersteunen Privacy Champions hun collega’s bij privacyvraagstukken; zij worden opgeleid en begeleid door het centrale privacyteam. Dit team verzorgde in 2025 trainingen en bijeenkomsten, hield privacydocumenten actueel (zoals verklaringen en modelovereenkomsten) en adviseerde over complexe vraagstukken in onderzoek, onderwijs en bedrijfsvoering.

In 2025 hebben we een project over gebruik van cookies afgerond. Daarvoor hebben we alle cookies die op het vu.nl-domein worden geplaatst, opnieuw in kaart gebracht en gecontroleerd. De cookieverklaring is geactualiseerd en technische verbeteringen zijn doorgevoerd voor het geven en intrekken van toestemming.

De Functionaris Gegevensbescherming registreerde in 2025 in totaal 36 datalekken, waarvan er 7 zijn gemeld bij de Autoriteit Persoonsgegevens. Geen van deze meldingen betrof een datalek met grote impact. Analyse laat zien dat datalekken vaak ontstaan door menselijk handelen; daarom blijft dit een belangrijk onderdeel van onze bewustwordingscampagnes.

Sociale veiligheid

In 2025 was één van de grote thema’s van de VU sociale veiligheid. Sociale veiligheid verwijst voor ons naar een studie- en werkomgeving waarin de omgangscultuur wordt gekenmerkt door waarden als respect, inclusie, gelijkwaardigheid en verdraagzaamheid. Daarbij is het van belang om de risicofactoren van de universitaire organisatiestructuur te erkennen en beheersen, zoals hiërarchie en afhankelijkheidsrelaties. Tot slot heeft een sociaal veilige universiteitsomgeving een ondersteunend systeem met duidelijke meld- en klachtvoorzieningen met aandacht voor herstel en oplossing van incidenten.

Integrale aanpak

Om de ervaren sociale veiligheid te verbeteren, is een integrale aanpak nodig. In 2025 hebben we de Governance Sociale Veiligheid op centraal niveau geïmplementeerd, zodat de rollen en verantwoordelijkheden duidelijk zijn. Ook hebben we een Domeinteam Sociale Veiligheid ingesteld, dat de integrale aanpak van Sociale Veiligheid voor studenten en medewerkers waarborgt. De volgende stap is het laten leven van het thema in de organisatie.

Trainingen sociale veiligheid

Om de veiligheidscultuur op de VU een impuls te geven, hebben we in 2025 diverse trainingen aangeboden:

  1. (Junior) docenten, mentoren, tutoren en bestuursleden van studie- en studentenverenigingen konden eveneens de active bystander-workshop volgen, en trainingen over omgaan met seksueel grensoverschrijdend gedrag.

  2. Leidinggevenden konden diverse trainingen volgen, gericht op sociale veiligheid en leiderschap. De training Oog voor sociale veiligheid is voor een deel van onze leidinggevenden verplicht.

  3. Voor alle medewerkers is sinds mei 2025 de e-learning Sociale Veiligheid beschikbaar. 373 medewerkers hebben deze e-learning gevolgd in 2025.

Werkdruk en sociale veiligheid

De maatregelen als gevolg van de financiële bijsturingsopgave waar de diensten en faculteiten voor staan vragen om extra aandacht voor werkdruk en onderlinge samenwerking. Faculteiten en diensten hebben de opdracht gekregen om in hun bijsturingsplannen aandacht te besteden aan sociale veiligheid.

Leidinggevenden kregen ondersteuning om gesprekken te voeren over werkdruk en sociale veiligheid, onder meer door een verbeterde rapportage van het werkbelevingsonderzoek en de introductie van de nieuwe e-learning Sociale Veiligheid.

Betere ondersteuning bij incidenten en meldingen

In 2025 is ons meld- en ondersteuningssysteem aangepast. Voorheen hadden we centrale en decentrale vertrouwenspersonen voor medewerkers en studenten. In 2025 zijn we gestart met de opbouw van één centrale pool van gecertificeerde vertrouwenspersonen. Via de werving zorgen we voor een divers team. Ook hebben we een coördinator vertrouwenspersonen aangenomen. Deze verbeteringen betekenen een professionalisering van de functie. Tijdens de overgangsfase, die doorloopt in 2026, zijn er voldoende vertrouwenspersonen om meldingen te behandelen.

In 2025 hebben de vertrouwenspersonen voor medewerkers 157 meldingen en raadplegingen ontvangen en de vertrouwenspersonen voor studenten 86. Een melding bij een vertrouwenspersoon kán, als de melder dat wil, worden doorgezet in een formele klacht. De Klachtencommissie ongewenst gedrag heeft in 2025 geen klachten behandeld.

De webpagina’s over sociale veiligheid zijn in 2025 vernieuwd en voorzien van infographics. Studenten, promovendi en medewerkers krijgen een overzicht van waar ze een melding kunnen doen en informatie over wat ze vervolgens kunnen verwachten.

Sociale veiligheid voor studenten

In 2025 hebben we voor studenten een communicatieplan over sociale veiligheid gemaakt. Het doel is dat ze weten wat ze kunnen doen als ze ongewenst gedrag ervaren, en ook wat de VU van hen verwacht. Tijdens de Bachelorintroductiedagen en op de informatiemarkt hebben we met een routekaartapp aandacht besteed aan sociale veiligheid. Deze app geeft nieuwe studenten informatie over onder andere de beschikbare ondersteuning en meldroutes. Ook hebben we mentoren voorgelicht over sociale veiligheid, zodat zij studenten daarin kunnen begeleiden. De samenwerking met het Student Wellbeing Point is versterkt op het gebied van sociale veiligheid. Ook daar is de informatie over sociale veiligheid nu goed vindbaar. Tegelijkertijd hebben we de basis gelegd om met bestaande initiatieven zoals Mixed Classroom en A Broader Mind samen te werken aan een positieve cultuurverandering in de omgangsvormen.

Scherper zicht op effectiviteit

Sociale veiligheid vormde een prominent onderdeel van het werkbelevingsonderzoek in het voorjaar van 2025. 50 procent van de medewerkers heeft meegedaan aan het werkbelevingsonderzoek. Uit de resultaten blijkt dat 14 procent van de medewerkers ongewenst gedrag heeft ervaren en 19 procent dit heeft waargenomen, met name in onderwijssituaties. Tegelijkertijd laten de cijfers zien dat veel medewerkers tevreden zijn over de ondersteuning en de meldroutes van de VU. Ook voelen zij zich gesteund door leidinggevenden die aandacht besteden aan werkdruk en sociale veiligheid. Verder vinden ze het positief dat het bewustzijn van het belang van een veilige omgangscultuur groeit. De uitkomsten benadrukken dat sociale veiligheid een aandachtspunt blijft, en vormen tegelijkertijd een basis om de positieve aspecten in de organisatie te versterken en gerichte verbeteringen door te voeren. Alle eenheden hebben opvolging gegeven aan de uitkomsten van het onderzoek.

In 2022 heeft adviesbureau Berenschot het VU-beleid voor sociale veiligheid onderzocht. In 2025 heeft het bureau een tussenevaluatie uitgevoerd van de voortgang die we sindsdien hebben geboekt. De conclusie is dat het fundament van sociale veiligheid inmiddels stevig staat: visie, gedragsregels en meldprocedures zijn versterkt. Voor de komende jaren adviseert Berenschot de VU vooral in te zetten op activatie van de organisatie, zodat sociale veiligheid zichtbaar en voelbaar wordt in gedrag, cultuur en de dagelijkse praktijk. Dat sluit aan bij onze plannen.

Regiehouders Veiligheid & Gedrag

Als onderdeel van ontwikkelingen in de governance sociale veiligheid maken we nu explicieter onderscheid tussen sociale veiligheid en vormen van zorgwekkend gedrag. Daarom heten de regiehouders nu Veiligheid & Gedrag, met een aangescherpte rol gericht op zorgwekkend gedrag, casuscoördinatie en samenwerking met partners.

In 2025 ontvingen de regiehouders 135 meldingen, wat wijst op een stabilisatie van het aantal meldingen. De meeste betroffen verward gedrag, mede veroorzaakt door lange wachttijden in de zorg. Daarnaast waren huiselijk geweld, intimidatie en suïcidale uitingen belangrijke thema’s. Huiselijk geweld kreeg extra aandacht, terwijl intimidatie vaker wordt gemeld doordat medewerkers beter weten waar ze terechtkunnen. Opvallend was de toename van meldingen rond polarisatie, spanningen en radicalisering, passend bij landelijke trends en mede gerelateerd aan demonstraties op de campus.

Vorige Volgende