De digitale wereld ontwikkelt zich in een razendsnel tempo. Overheden, bedrijven en burgersworden dagelijks geconfronteerd met nieuwe technologieën, digitale processen en deregelgeving die daarmee gepaard gaat. Hoewel digitale regels vaak op nationaal, en meestalzelfs op Europees niveau worden opgesteld, is hun impact voelbaar tot in de haarvaten vande regio. Hoe gaat het midden- en kleinbedrijf (hierna: mkb) om met digitale verplichtingen endigitale veiligheid? Waar wringt het in de uitvoering? En welke innovatieve oplossingen wordener door studenten op lokaal niveau ontwikkeld om recht te doen aan zowel de letter van de wetals de praktijk van het mkb?Door inzichten uit de regio te bundelen, willen we laten zien dat digitale transitie niet alleeneen technische of juridische uitdaging is, maar vooral ook een kwestie van samenwerking,aanpassingsvermogen en regionaal maatwerk. De ervaringen die u in dit boek leest, biedengeen pasklare antwoorden, maar wel inspiratie en richting. Er is een selectie gemaakt uit eenaantal recente afstudeeronderzoeken en bijbehorende beroepsproducten van studenten (ofinmiddels alumni) van de Hanze in Groningen. Deze afstudeeronderzoeken richting zich op devolgende onderwerpen: de NIS2-richtlijn en de Cyber Resilience Act.
DOCUMENT
Nederland is een van de koplopers in digitale economieën binnen Europa en stimuleert digitalisering als middel voor economische groei en maatschappelijke innovatie. Ook de gezondheidszorg ondergaat een ingrijpende digitale transformatie. Digitale zorgtoepassingen, zoals telemonitoring, e-consulten en zorgrobots, bieden mogelijkheden om de toenemende druk door vergrijzing, personeelstekorten en stijgende kosten te verlichten. Deze technologische innovaties verhogen de efficiëntie en verbeteren de samenwerking tussen zorgprofessionals, maar brengen tegelijkertijd nieuwe juridische en technische uitdagingen met zich mee, met name op het gebied van cybersecurity. De voortdurende digitalisering brengt nieuwe juridische kaders met zich mee. Dit beroepsprodcut geeft meer duidelijkheid over de juridische voorwaarden voor compliant gebruik van elektronische patiënten- en cliëntendossiers (EPD/ECD) binnen zorginstellingen. Disclaimer:De afstudeeropdracht wordt uitgevoerd door een vierdejaarsstudent in het kader van zijn/haar afstuderen bij het Instituut voor Rechtenstudies. De student levert een juridisch beroepsproduct op en doet daartoe onderzoek. De student wordt tijdens de uitvoering van zijn/haar afstudeeropdracht begeleid door een afstudeercoach. De inspanningen van de student en de afstudeercoach zijn erop gericht om een zo goed mogelijk beroepsproduct op te leveren. Dit moet opgevat worden als een product van een (vierdejaars)student en niet van een juridische professional. Mocht ondanks de geleverde inspanningen de informatie of de inhoud van het beroepsproduct onvolledig en/of onjuist zijn, dan kunnen de Hanzehogeschool Groningen, het Instituut voor Rechtenstudies, individuele medewerkers en de student daarvoor geen aansprakelijkheid aanvaarden.
DOCUMENT
Om mkb’ers in staat te stellen hun cyberweerbaarheid te verhogen, heeft de Haagse Hogeschool, samen met het Platform Veilig Ondernemen (PVO) en de VeiligheidsAlliantie regio Rotterdam (VAR) een webapplicatie ontwikkeld. Voor de financiering van de webapplicatie heeft het PVO een subsidie ontvangen van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Cyberweerbaarheid is hier gedefinieerd als het vermogen om weerstand te bieden tegen bekende en onbekende vormen van cybercriminaliteit en snel te herstellen van een cybercrisis. Naast het ontwikkelen van de app is het doel om mkb’ers in de regio Rotterdam die de app hebben gebruikt: (1) meer bewust te maken van de risico’s van cybercriminaliteit in zijn algemeenheid en ook voor hun bedrijf specifiek; (2) inzicht te geven in weten welke maatregelen ze kunnen treffen om slachtofferschap te voorkomen en schade bij slachtofferschap te beperken; en (3) daadwerkelijk aan de slag te laten gaan met de gegeven tips. De evaluatie van de app vond plaats onder negen mkb’ers in de regio Rotterdam. Zij zijn geworven op cybersecurity congressen in Barendrecht en Dordrecht. De evaluatie bestond uit een nulmeting en een effectmeting op vier relevante kwaliteiten uit de ISO 25010-norm, namelijk de bruikbaarheid, effectiviteit, efficiëntie en het vertrouwen in de uitkomsten. De evaluatie laat zien dat het gebruik van de app door mkb’ers leidt tot meer bewustzijn van cyberrisico’s. Drie van de negen mkb’ers hebben ook daadwerkelijk adviezen die volgen uit het gebruik van de app opgevolgd en daarmee hun cyberweerbaarheid verhoogd. Een verbetermogelijkheid is de vraagstelling die in de app wordt gebruikt om de adviezen te bepalen. Deze was hier en daar verwarrend of sloot niet goed aan bij de organisatie en haar context. En hoewel de deelnemers aan de evaluatie over het algemeen enthousiast waren over de app bleek het in de praktijk lastig om deelnemers te werven. Ook het bewerkstelligen van gedragsverandering is een knelpunt gebleken, zoals blijkt uit het geringe aantal mkb’ers dat daadwerkelijk maatregelen heeft genomen op basis van de adviezen die volgden uit het gebruik van de app. Mogelijke verklaring hiervoor is de lage prioriteit die mkb’ers toekennen aan het nemen van maatregelen om hun cyberweerbaarheid te vergroten. Samenvattend kunnen we concluderen dat de app in de huidige vorm voldoende kwaliteit heeft om mkb’ers te helpen bij het verhogen van de cyberweerbaarheid. Vervolgonderzoek zou zich kunnen richten op de vraag hoe mkb’ers te motiveren in het gebruikmaken van de app en het opvolgen van adviezen.
DOCUMENT
Kunstmatige intelligentie (AI) wordt steeds vaker toegepast in uiteenlopende sectoren, waaronder de land- en tuinbouw. De Europese Commissie publiceerde in 2024 de definitieve versie van de AI-verordening, een van de eerste uitgebreide wettelijke regelingen voor AI-systemen. Deze regelgeving zal directe gevolgen hebben voor ontwikkelaars en aanbieders van AI-systemen in de agrarische sector, die zich aan de voorschriften van de verordening moeten houden. Het doel van dit afstudeeronderzoek is om inzicht te geven in de voor deze aanbieders relevante vereisten uit de AI-verordening en een be-roepsproduct te ontwikkelen dat deze informatie op een toegankelijke manier presenteert.Disclaimer:De afstudeeropdracht wordt uitgevoerd door een vierdejaarsstudent in het kader van zijn/haar afstuderen bij het Instituut voor Rechtenstudies. De student levert een juridisch beroepsproduct op en doet daartoe onderzoek. De student wordt tijdens de uitvoering van zijn/haar afstudeeropdracht begeleid door een afstudeercoach. De inspanningen van de student en de afstudeercoach zijn erop gericht om een zo goed mogelijk beroepsproduct op te leveren. Dit moet opgevat worden als een product van een (vierdejaars)student en niet van een juridische professional. Mocht ondanks de geleverde inspanningen de informatie of de inhoud van het beroepsproduct onvolledig en/of onjuist zijn, dan kunnen de Hanzehogeschool Groningen, het Instituut voor Rechtenstudies, individuele medewerkers en de student daarvoor geen aansprakelijkheid aanvaarden.
MULTIFILE
Cybercriminaliteit is een veelvoorkomend probleem geworden in Nederland (CBS, 2022). Nederlandse gemeenten hebben cybercrime dan ook breed als beleidsprioriteit opgepakt. Gemeenten geven daarbij aan behoefte te hebben aan handvaten om hun inwoners en ondernemers weerbaarder te maken tegen cybercriminaliteit. In het project “Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime” werken professionals uit twaalf4 gemeenten en vier5 regionale veiligheidsnetwerken samen met onderzoekers van de Haagse Hogeschool, Hogeschool Saxion en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) aan wetenschappelijk onderbouwde interventies waaromee ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente kunnen vergroten. In dit rapport staat slachtofferschap van cybercriminaliteit onder mkb’ers centraal. Het midden‐ en kleinbedrijf (mkb) wordt relatief vaak slachtoffer van cybercriminaliteit en ondervindt hiervan in hoge mate schade (CBS, 2018; Notté et al., 2019). Met name de toename van slachtofferschap van ransomware binnen het mkb is een zorgelijke ontwikkeling. Het is van groot belang dat mkb’ers maatregelen nemen om een ransomware aanval te voorkomen en de schade zo veel mogelijk te beperken. Beschermende maatregelen worden echter door veel mkb’ers slechts in geringe mate ingezet (Bekkers et al., 2021; CBS, 2021; Notté et al., 2019; Veenstra et al., 2015). De cyberweerbaarheid van mkb’ers (het vermogen van een organisatie om cyberincidenten te weerstaan, daarop te kunnen reageren en van te herstellen, zodat de organisatie operationeel blijft) is daardoor te beperkt. In dit rapport presenteren we de ontwikkeling en evaluatie van een interventie genaamd “MKB Cyber Buddy’s”. Het doel van de interventie is om de weerbaarheid van mkb’ers tegen ransomware te vergroten. De interventie is er op gericht om mkb’ers niet alleen te informeren over cybercriminaliteit, maar ze ook door actieve deelname tot een positieve gedragsverandering te brengen. Onder mkb’ers verstaan we in dit onderzoek ondernemers met minimaal één en maximaal 250 werknemers. De hoofdvraag in dit rapport is: Is de interventie “MKB cyber buddy’s” een effectieve interventie voor Nederlandse gemeenten om de cyberweerbaarheid van mkb’ers in hun gemeente met betrekking tot ransomware te bevorderen? Het doel van dit rapport is tweeledig. Enerzijds beschrijft dit rapport de onderbouwing en ontwikkeling van de interventie “MKB Cyber Buddy’s”. Anderzijds beschrijft dit rapport de evaluatie van de pilot die is uitgevoerd in 2022, betreffende de effectiviteit, sterke kanten, valkuilen en onvoorziene gevolgen van de interventie. Hiermee zullen inzichten geboden worden in hoe de interventie verbeterd kan worden en in de toekomst op grotere schaal kan worden ingezet.
DOCUMENT
Steeds vaker worden digital twins gebruikt om de publieke ruimte anders te organiseren. Dat heeft invloed op het welzijn van burgers. Maar de meeste burgers hebben weinig kennis over die technologie, zien Anne-Marie Sweep, Brishna Nader en Bart Wernaart. Hoe bevraag je hen dan toch over wat ze wel of niet met digitaltwin-technologie willen?
LINK
Sluizen, bruggen en verkeersinstallaties zijn voorbeelden van Operationele Technologie (OT) die in Nederland ook door gemeenten wordt beheerd. Hoe is het gesteld met de digitale beveiliging van deze vitale infrastructuur? In opdracht van de Vereniging van Nederlandse Gemeenten (VNG) en in samenwerking met de Informatiebeveiligingsdienst (IBD) hebben wij als onderzoekers van de lectoraten Cybersecurity & Safety en Changing Role of Europe van De Haagse Hogeschool een enquête uitgezet over de digitale beveiliging van Operationele Technologie (OT-) objecten van Nederlandse gemeenten. Wij werden bij dit project geholpen door tweedejaarsstudenten van de opleiding Integrale Veiligheidskunde (IVK) die waardevolle input hebben geleverd op de vragenlijst. De enquête werd gericht op de Chief Information Security Officers (CISO’s) van Nederlandse gemeenten en had tot doel om een indruk te geven van de status van de cybersecurity van uiteenlopende OT-objecten en de stand van voorbereiding op de NIS2-richtlijn. Dit is een wettelijke verplichting van de EU die in het najaar 2024 van kracht wordt. In totaal hebben 65 respondenten de enquête ingevuld. Gezien de vrijwilligheid van deelname kunnen we niet stellen dat de antwoorden representatief zijn voor alle gemeenten. De geanonimiseerde data geven echter belangrijke inzichten in het spectrum van meningen onder de CISO’s. Gemeenten verschillen in de mate van voorbereiding op digitale dreigingen, maar geven gemiddeld slechts een “5” als rapportcijfer voor de algehele beveiliging van OT. Dit verslag begint met een beknopte beschrijving van onze onderzoeksvraag op gebied van “gemeentelijke OT”. Hierop volgt een toelichting op de onderzoeksmethode. Vervolgens presenteren we de belangrijkste enquêteresultaten die we illustreren met een selectie van ontvangen commentaren. Veel leesplezier!
DOCUMENT
De richtlijn 2022/2555 houdende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie, hierna de NIS2-richtlijn genoemd, is de tweede richtlijn op het gebied van cybersecurity. De NIS2-richtlijn is de opvolger van de NIS1-richtlijn die in Nederland is geïmplementeerd in de Wet Beveiliging Netwerk- en Informatiesystemen. De NIS2-richtlijn richt zich op een verbetering van de digitale en economische weerbaarheid van de Europese lidstaten. Het doel van de richtlijn is om de cybersecurity op een fatsoenlijk niveau te brengen en te houden. Binnen het project Cybersecurity Noord-Nederland is deze checklist met een uitwerking van de beveiligheidseisen ontwikkeld door een afstudeerstudent, zodat het voor organisaties makkelijke te bepalen is of zij moeten voldoen aan de NIS2-richtlijn en op welke manier dit zou kunnen.Disclaimer: De afstudeeropdracht wordt uitgevoerd door een vierdejaarsstudent in het kader van zijn/haar afstuderen bij het Instituut voor Rechtenstudies. De student levert een juridisch beroepsproduct op en doet daartoe onderzoek. De student wordt tijdens de uitvoering van zijn/haar afstudeeropdracht begeleid door een afstudeercoach. De inspanningen van de student en de afstudeercoach zijn erop gericht om een zo goed mogelijk beroepsproduct op te leveren. Dit moet opgevat worden als een product van een (vierdejaars)student en niet van een juridische professional. Mocht ondanks de geleverde inspanningen de informatie of de inhoud van het beroepsproduct onvolledig en/of onjuist zijn, dan kunnen de Hanzehogeschool Groningen, het Instituut voor Rechtenstudies, individuele medewerkers en de student daarvoor geen aansprakelijkheid aanvaarden.
DOCUMENT
Beschrijving van de onderzoeksprojecten die door het lectoraat Juridische aspecten van ondernemerschap van de Hanze zijn afgerond van 2011 tot 2025.
DOCUMENT
Bedrijven maken vaak deel uit van een keten. Ketens worden steeds meer afhankelijk van ICT voor onder meer het aankopen, bezorgen en inventariseren van producten of diensten. Deze afhankelijkheid maakt dat cyber-gerelateerde risico’s een opmars maken binnen ketens. Er is echter nog weinig bekend over deze risico’s en hoe ketens daar weerbaar tegen kunnen worden gemaakt. Dit hindert de uitwerking, uitvoering en bijsturing van beleid door de overheid. De Haagse Hogeschool heeft in opdracht van MKB Nederland en het Ministerie van Justitie en Veiligheid een verkennende studie verricht om meer zicht te krijgen op het fenomeen cyber-ketenweerbaarheid in verschillende economische sectoren. Hierbij stonden centraal cyber-gerelateerde risico’s en geleerde lessen bij het voorkomen en bestrijden van cyberincidenten en -criminaliteit in ketens. Tevens zijn aanknopingspunten voor vervolgonderzoek geïdentificeerd. Voor de dataverzameling is eerst gebruik gemaakt van literatuuronderzoek. Daarna zijn gestructureerde interviews uitgevoerd. De interviews hebben plaatsgevonden bij 12 bedrijven uit drie economische sectoren: vijf bedrijven gerelateerd aan de agrarische sector (vormen twee ketens), vier bedrijven uit de sierteeltsector (vormen één keten) en drie bedrijven uit de sector handel (vormen één keten). Deze bedrijven zijn als afnemer en leverancier geschakeld binnen hun sector en vormen daarmee een keten. Bij elk bedrijf is gesproken met cybersecurityexperts en/of bestuursleden. In elke keten hebben wij dreigingen en kwetsbaarheden op het gebied van cyber-ketenweerbaarheid vastgesteld. Met name ransomware en zogenaamde stepping stone-aanvallen zijn concrete dreigingen voor ketens. Zo is er bij alle door ons beschouwde ketens sprake van technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen. Deze afstandsbediening is veelal kwetsbaar voor digitale inbreuken van buitenaf. Dit maakt dergelijke technologie en het securitybeleid van ketenpartners die toegang hebben tot deze technologie een kwetsbaarheid voor de keten. Ook valt het op dat de medewerkers van de bedrijven een belangrijke rol spelen bij het ontstaan van cyberincidenten en -criminaliteit in de keten. Mogelijk wordt dit veroorzaakt door onveilig gedrag, gemakzucht en een gebrek aan kennis bij medewerkers over dreigingen en kwetsbaarheden. Er zijn tevens belangrijke lessen opgehaald bij de bedrijven die wij interviewden. Zo is het in het kader van cyberketenweerbaarheid van belang dat bedrijven hun cyberveiligheid op orde hebben. De onderzochte bedrijven investeren daarin door onder meer technische beveiliging en procedures voor werknemers. Ook zijn investeringen in de cyberveiligheid tussen schakels en de keten als geheel van belang. Bijvoorbeeld door de eigen digitale infrastructuur gescheiden te houden van de infrastructuur van ketenpartners. Over het algemeen worden dergelijke maatregelen slechts sporadisch genomen door de bedrijven die meededen aan dit onderzoek. Zo komt het onderwerp cyberveiligheid vaak niet terug in contracten met leveranciers, blijft (structureel) overleg tussen partners op dit gebied uit en is informatiedeling over cyberrisico’s en geleerde lessen op ketenniveau beperkt. Controle op de risico’s lijkt in de ketens veelal te ontbreken en samenwerking lijkt vooral te berusten op vertrouwen. Verschillen in genoemde dreigingen, kwetsbaarheden en geleerde lessen tussen bedrijven zijn mogelijk te verklaren door het type bedrijf en diens omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven zicht te hebben en te handelen op keten-gerelateerde dreigingen en kwetsbaarheden. Gezien de verkennende aard van deze studie is nader onderzoek echter nodig om bevindingen te verstevigen. Ons advies is om meer gericht onderzoek te doen naar de risico’s zoals in deze studie zijn geïdentificeerd en dit tevens te doen in andere ketens of binnen andere economische sectoren. De onderzochte ketens zijn slechts beperkt representatief voor de gehele economie, waardoor het onduidelijk is in hoeverre de huidige resultaten gelden voor andere ketens binnen en buiten de door ons onderzochte economische sectoren. Een onderwerp waar wij denken dat meer kennis op nodig is, is het fenomeen stepping stone-aanval. Ondanks dat dit een belangrijk fenomeen lijkt, komt uit onderhavig onderzoek onvoldoende naar voren op welke manier een ketenaanval via kleine ketenpartners plaatsvindt, in welke mate een keten daar schade van ondervindt en hoe een dergelijke aanval kan worden voorkomen. Wij adviseren bovendien om te onderzoeken hoe ketens cyberveiligheid contractueel kunnen bewerkstelligen in de samenwerking met ketenpartners. Zo is het de vraag welke eisen er in het contract met partners gesteld moeten worden om risico’s voldoende af te dekken. Wij adviseren bovendien om actuele informatie over cyberrisico’s toegankelijk te maken voor ketenbedrijven, met name bij kleine bedrijven die beperkte middelen hebben om zichzelf te beschermen en informatie in te winnen. Help ketens waar nodig met het op orde brengen van hun interne cyberveiligheid, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau.
DOCUMENT
