Stel je voor: je zit aan je Data Management Plan, en je komt bij het hoofdstuk over beveiliging. ineens voel je je transpiratie opkomen. Moet je nu een lijst maken van elke denkbare cyberdreiging sinds het begin der tijden?
▶Inhoudsopgave
Gelukkig hoeft dat niet. Het hoofdstuk over beveiliging in je DMP is eigenlijk heel logisch, als je weet waar je op moet letten.
En het mooie is: je hoeft er geen technisch handboek van te maken. Het gaat om helderheid, niet om angst.
Wat betekent beveiliging echt in een DMP?
Laten we even bij het begin beginnen. Beveiliging in een DMP gaat niet alleen om hackers en firewalls.
Het gaat om het beschermen van je onderzoeksdata tegen alle vormen van verlies, diefstal, corruptie of onbevoegde toegang. Van het moment dat je data verzamelt tot het moment dat je het archiveert of vernietigt. Maar hier komt het: je hoeft niet elk denkbaar scenario te beschrijven.
Je wilt laten zien dat je nadenkt over beveiliging, niet dat je een paranoïde beveiligingsspecialist bent.
Het doel is om aan te tonen dat je onderzoek verantwoord wordt uitgevoerd, en dat je data veilig is op een manier die past bij het type onderzoek dat je doet.
Waarom is dit hoofdstuk zo belangrijk?
pel:Sim omdat financiers en instellingen het verwachten. Organisaties zoals NWO en europese fondsen (zoals Horizon Europe) vragen expliciet naar beveiligingsmaatregelen in je DMP. Maar er zijn meer redenen:
- Wettelijke verplichtingen: Denk aan de AVG. Als je persoonsgegevens verwerkt, moet je aantonen dat je die gegevens goed beschermt.
- Vertrouwen: Medeonderzoekers, deelnemers en het publiek moeten erop kunnen vertrouwen dat je data niet in verkeerde handen belandt.
- Kwaliteit: Beveiligde data betrouwbaardere resultaten. Dat is gewoon goed onderzoek doen.
Hoe schrijf je het zonder te overdrijven?
Het geheim is proportionaliteit. Beschrijf maatregelen die passen bij de gevoeligheid van je data en de reële risico’s in een data management plan dat NWO écht goedkeurt.
Stap 1: Analyseer je data – wat bescherm je eigenlijk?
Geen 10-pagina’s tellend essay over hypothetische scenario’s, maar een helder, beknopt hoofdstuk dat laat zien dat je het serieus neemt.
- Zijn er persoonsgegevens betrokken? Zo ja, welke (bijv. naam, e-mail, gezondheidsgegevens)?
- Is het gevoelige bedrijfsinformatie of octrooigegevens?
- Wat gebeurt er als deze data verloren raakt of gelekt wordt?
Voordat je over beveiliging schrijft, moet je weten wat je beschermt. Maak een simpele inschatting: Deze analyse bepaalt hoe uitgebreid je beveiligingsmaatregelen moeten zijn.
Stap 2: Specificeer concrete maatregelen
Een dataset met anonieme enquêtescores vereist minder maatregelen dan een database met medische dossiers. Vermijd vage uitspraken als “de data wordt veilig opgeslagen”.
- Toegang: “Toegang tot de data is beperkt tot het onderzoeksteam via het universiteitsnetwerk met multi-factor authenticatie.”
- Opslag: “Gevoelige data wordt opgeslagen op de versleutelde onderzoeksserver van de universiteit, met dagelijkse automatische back-ups.”
- Delen: “Data wordt alleen gedeeld via het beveiligde platform SURFsara, met toegangscontrole per gebruiker.”
Wees concreet, maar niet overdreven. Hier zijn voorbeelden van goede formuleringen: Zie je het verschil? Geen jargon, geen angst – alleen duidelijke, uitvoerbare maatregelen.
Stap 3: Denk aan de menselijke factor
Technische maatregelen zijn belangrijk, maar mensen zijn vaak het zwakste schakel. Vermeld daarom ook organisatorische maatregelen:
- Wordt het team getraind in data privacy en beveiliging?
- Is er een duidelijk protocol bij beveiligingsincidenten?
- Zijn er afspraken over wie toegang heeft tot welke data?
Een simpele zin als “Alle teamleden volgen de AVG-training van de universiteit voor aanvang van het project” zegt meer dan een paragraaf over hypothetische scenario’s. Je hoeft geen uitgebreide risicomatrix toe te voegen, maar een korte inschatting van de belangrijkste risico’s en hoe je die mitigeert, is wel standaard. Denk aan: Wees eerlijk over de risico’s, maar laat ook zien dat je ze beheersbaar maakt.
Stap 4: Beschrijf hoe je omgaat met risico’s
- Dataverlies: Regelmatige back-ups op verschillende locaties.
- Onbevoegde toegang: Sterke wachtwoorden en beperkte toegangsrechten.
- Privacy-schendingen: Anonimisering of pseudonimisering van persoonsgegevens.
Voorbeelden van goede (en minder goede) formuleringen
Laten we even oefenen. Wat werkt wel en wat niet?
Niet ideaal: “De data wordt beschermd tegen alle mogelijke bedreigingen.”
Beter: “De data wordt beschermd door encryptie (AES-256) en toegang is beperkt tot geautoriseerd personeel.” Niet ideaal: “Er worden maatregelen genomen om data-inbreuken te voorkomen.”
Beter: “De universiteitsfirewall en regelmatige software-updates beschermen tegen ongeautoriseerde toegang. Incidenten worden gemeld volgens het protocol van de afdeling ICT.”
Conclusie: Wees helder, niet bang
Het hoofdstuk over beveiliging in je DMP hoeft geen technisch manifest te zijn, mits je veelgemaakte fouten in je DMP vermijdt die tot een afwijzing van je subsidie kunnen leiden.
Het moet laten zien dat je nadenkt over de veiligheid van je data, en dat je maatregelen neemt die passen bij je onderzoek. Wees specifiek waar het kan, eerlijk over risico’s, en focus op praktische oplossingen. En onthoud: een goed DMP voor onderzoek met persoonsgegevens is geen document dat je schrijgt uit angst voor afwijzing.
Het is een tool die je helpt om je onderzoek beter te organiseren. Dus adem even door, en schrijf het hoofdstuk met vertrouwen. Je weet nu wat er verwacht wordt.