Kennisveiligheid en economische weerbaarheid voor ondernemers: een snelstartgids

Het belang van kennisveiligheid en economische weerbaarheid

Innovatieve en sterk genetwerkte ondernemingen vormen het kloppend hart van de economie. Door hun unieke kennis en vitale samenwerkingen zijn ondernemingen echter ook vatbaar voor diefstal, misbruik van kennis, technische storingen, spionage of zelfs inmenging door kwaadwillige partijen. Kennisveiligheid voor ondernemingen heeft als doel om ongewenste kennis- en technologieoverdracht te voorkomen,  een vlotte productie en dienstverlening te vrijwaren, en  werken aan een versterkte autonomie op strategische domeinen. Ondernemingen zijn economisch weerbaar als ze preventie hoog in het vaandel dragen en ze in het geval van een incident snel kunnen reageren om schade te beperken en vlot te herstarten. 

Een goede aanpak op vlak van kennisveiligheid en economische weerbaarheid is geen luxe, maar een noodzaak.Niet alleen voor grote en/of hoogtechnologische ondernemingen, of ondernemingen actief in strategische sectoren, maar ook voor meer klassieke kmo’s en starters. Kennisveiligheid hangt bovendien ook nauw samen met cyber- en informatiebeveiliging. Hierover vind je meer informatie op onze cybersecurity pagina’s.

Veiligheid is een houding 

Kennisveiligheid gaat verder dan een afvinklijst van maatregelen rond onder meer fysieke toegang, omgang met vertrouwelijke informatie en alertheid bij samenwerkingen. Het hoort een vast onderdeel te zijn van jouw dagelijkse bedrijfsvoering. Maak kennisveiligheid bespreekbaar binnen jouw onderneming, jouw team, zorg voor een open en transparante sfeer en verduidelijk welke rol elke medewerker hierin speelt. Een extra check kan veel ellende voorkomen.

Hoe pak je dit aan?

• Creëer bewustwording rond kennisveiligheidsaspecten in elke (deel)activiteit en/of functie in de onderneming;
• Maak zichtbaar bij welke perso(o)n(en) medewerkers terecht kunnen met vragen;
• Bescherm en controleer jouw intellectuele eigendom;
• Stel een noodplan op;
• Voorzie in informatie, trainingen, coördinatie, adequate afhandeling bij eventuele incidenten. 

Bescherm jouw kroonjuwelen: kennis en intellectuele eigendom

Jouw bedrijfsgeheimen, technische tekeningen, algoritmes, klanten- en leveranciersdatabases en intellectuele eigendomsrechten zoals octrooien, merken zijn de kroonjuwelen van jouw onderneming. Hou een inventaris bij van deze waardevolle activa, beperk de toegang tot strikt noodzakelijke medewerkers en werk met geheimhoudingsverklaringen. In dit kader kan het nuttig zijn informatie in te delen naar gelang het karakter: 

• Publieke informatie: informatie behorend tot het publiek domein, algemene kennis. Deze kennis wordt vrij gedeeld.
• Informatie met beperkte bekendmaking: informatie kan enkel onder voorwaarden gedeeld worden.
• Vertrouwelijke informatie: kan zowel technische als commerciële data zijn. Deze data hebben een hoge economische waarde en zijn bepalend voor jouw concurrentiepositie. Deze informatie wordt normalerwijze niet gedeeld.
• Strikt geheime informatie: slechts enkelingen zijn op de hoogte en dienen samen te handelen voor toegang tot of gebruik van deze informatie. Denk bijvoorbeeld aan recepten zoals de  Coca-Colaformule.

Wat kan je verder doen? 

• Overweeg IE-bescherming (zoals octrooien, merken, tekeningen- of modellenbescherming), documenteer creaties en jouw eigenaarschap (zie ook: Ons Patent Boekje) en zorg voor digitale  beveiliging (encryptie, toegangsbeheer, escrow) om betwistingen, diefstal of lekken te voorkomen en om bij een incident doeltreffend te reageren en de activiteit vlot terug te hernemen.  
• Wees, zeker bij commercieel succes, voorbereid op namaak en zorg dat je een eerste formele brief hebt klaarliggen om je rechten kenbaar te maken en naleving af te dwingen. Laat je ook niet van de wijs brengen door IE-trollen, zoals bijvoorbeeld auteursrechttrollen. Zorg dat je ze snel herkent en dat je met weinig omzien of tijdverlies de trol afdoend van antwoord kan dienen.
• Treed samen met de bevoegde overheidsdiensten kordaat op tegen gevallen van online piraterij en namaak in het algemeen, en tegen allerhande wanpraktijken op het vlak van jouw domeinna(a)m(en), jouw website(s) en jouw elektronisch handelsverkeer (o.m. cybersquatting, actuele misbruiken en beveiligingstips uitgelegd op DNS-website).
• Stel een verantwoordelijke voorintellectuele eigendom aan. Zo draagt jouw onderneming zorg voor haar waardevolle kennis, kunde en informatie – zowel op technisch als commercieel vlak.

Veiligheid in Samenwerkingen: Klanten, Leveranciers en Partners

Ondernemingen zijn vaak zo sterk als hun zwakste schakel. Maak duidelijke afspraken over kennisveiligheidsaspecten met klanten, leveranciers en samenwerkingspartners. Check of ze dezelfde aandacht hebben voor de vrijwaring en de bescherming van knowhow, commerciële data, IT-infrastructuur, en samenwerking met externen. Ga hierover met hen open en transparant in dialoog. 

Durf kritisch zijn: een betrouwbare partner zal dit zelf ook waarderen. Waak over het feit dat partners mogelijks laks omspringen met (een aantal) veiligheidsaspecten die voor jou van tel zijn. Doe een minimale check van de nieuwe partner voor je een nieuwe samenwerking opzet (zie ook verder). Een keten is snel gebroken door één onachtzaam contact.

Infrastructuur: Beveiligingsmaatregelen

Bescherm zowel je digitale als fysieke infrastructuur in een  risicomanagementsplan (zie verder). Beperk fysieke toegang en werk met een logboek in verband met de toegang tot plaatsen waar onderzoek of productie gebeurt of waar gevoelige documentatie aanwezig is. Zorg ervoor dat medewerkers mensen aanspreken die ongekend zijn in de onderneming. Voorzie in camerabewaking en alarmsystemen waar nodig. Heb ook aandacht voor systemen bij  externe partijen om deze kritisch te evalueren op hun beveiligingsniveau. 

Managen van risico’s, veiligstellen van bedrijfscontinuïteit en beheren van incidenten   

Zoals voor de meer gekende risico’s op vlak van personeel, energie, fysieke en digitale infrastructuur zijn beheers- en continuïteitsplannen ook onontbeerlijk voor de kennisveiligheid (kroonjuwelen, cruciale samenwerkingen zie hoger) binnen jouw onderneming. Een risicomanagementsplan omvat een inventarisering van de risico’s met een beschrijving per risico van de kans dat dit risico zich voordoet en van de mogelijke impact ervan. Ook de maatregelen zijn opgenomen en variëren van acceptatie, controle/afdekken (bv. d.m.v. verzekering, eerste bewarende maatregelen bij incident), risico-verminderende maatregelen tot stopzetting (van een bepaalde samenwerking, activiteit, …). De maatregelen hangen af van de grootte van ingeschatte impact en van de grootte van de kans dat een risico zich voordoet.Een business continuity plan waarborgt dan weer dat de essentiële activiteiten van jouw onderneming bij plotse nefaste gebeurtenissen niet of weinig in het gedrang komen. Ga zelf aan de slag met de toelichting, bijhorende tools en checklists van de FOD Economie. Verdere aanvulling met extern advies is mogelijk. 

Bijzondere aandacht voor  buitenlandse context 

Werk je samen met buitenlandse partners of met buitenlandse IT-providers? Bekijk of ze standaarden hanteren die overeenkomen met die van jouw onderneming of met jouw  verwachtingen op dit vlak. Probeer kennis te verzamelen in verband met een buitenlandse partner (bedrijfsprofiel, ownership of company assets (OCA-)/ultimate beneficial owner  (UBO-)toets, IE-activa, samenwerkingen, …) en doe dit voor je een samenwerking opzet. Voor cruciale samenwerking met buitenlandse werkkrachten kan een bewijs van blanco strafblad – of overeenkomstig document nuttig zijn. 

Als je samenwerkt met buitenlandse IT-dienstenleveranciers (digitale infrastructuur, clouddiensten, software), ga dan na welke regelgeving van toepassing is en bekijk hoe gegevens  beschermdworden en/of welke praktijken er gangbaar zijn. Zo kan op een buitenlandse partner of dienstoperator een verplichting rusten om informatie te delen met de overheidsinstanties. Wees alert op landen met minder strenge of afwijkende privacy- of veiligheidsnormen en toets IT-partners op hun betrouwbaarheid. Vermijd een al te sterke afhankelijkheid van derde partijen en werk waar mogelijk met security by design. 

Wees steeds op je hoede als je naar landen reist met bedenkelijke status of praktijken. Neem de nodige voorzorgen zowel vóór, tijdens en na de zakenreis: 

• Vóór de zakenreis: installeer privacyschermen, schermvergrendeling en antivirussoftware op de eigen apparaten. Hou ook rekening met praktijken van douane of controlediensten ter plaatse.
• Tijdens de zakenreis: maak geen gebruik van openbare internetverbindingen of openbare laadmogelijkheden, neem je apparaten mee in de handbagage.  
• Bij terugkomst van de zakenreis: verwijder data die je niet langer nodig hebt, wijzig wachtwoorden die je onderweg hebt gebruikt, laat evt. apparaten controleren bij je IT-afdeling.

Risico’s: kwaadwillige staten, georganiseerde misdaad, concurrenten en lakse partners

Technologische bedrijven en bij uitbreiding elke onderneming zijn interessante doelwitten voor kwaadwillige staten (spionage, digitale aanvallen) en georganiseerde misdaad (ransomware, afpersing). Ook concurrenten kunnen kennis proberen te ontfutselen., Samenwerking met partners (zie ook boven) die afwijkende, lakse of geen  veiligheidspraktijken hebben, verhogen jouw risico’s. Bekijk of de betrokken samenwerkingen van strategische belang zijn voor jouw onderneming.  

Praktische tips

Ga aan de slag met de vermelde tools, plannen, checklists om vitale kennis binnen jouw onderneming en van cruciale samenwerkingen te vrijwaren. Zorg voor inbedding van deze instrumenten in de algehele aanpak van veiligheid van jouw onderneming, en hanteer een bijzondere aandacht voor synchronisatie met de beveiligingsmaatregelen op vlak van informatietechnologie. Investeer in opleidingen in jouw onderneming, doe op regelmatige tijdstippen evaluaties (van de uitoefening van veiligheidsfuncties, van de opgestelde plannen m.b.t. risicomanagement, business continuity, …) en oefeningen om van kennisveiligheid een wezenlijk onderdeel van de bedrijfscultuur te maken. Zo zorg je ervoor dat verdachte zaken sneller herkend en gemeld worden.

Met deze gids heb je een goede basis om de economische weerbaarheid van jouw onderneming te versterken. Voorkomen is beter dan genezen, wat  gezonde achterdocht is geen overbodige luxe in een wereld vol digitale en fysieke risico’s.

Nuttige referenties 

• Algemeen
  • Strategic Autonomy and European Economic and Research Security - Research and innovation
  • Tackling R&I foreign interference - Publications Office of the EU
• Tools, handleidingen,
  • Risicobeheer in ondernemingen | FOD Economie
  • Nederland: RVO handleiding en  RVO quick guide
  • Verenigd Koninkrijk: UK quick guide en website Secure Innovation Security Reviews
  • Canada: Secure Innovation Companies
• Kennisveiligheid bij academisch onderzoek
  • POD Wetenschapsbeleid Belspo
  • VLIR gids
  • FWO
  • EU: Commission announces new measures to strengthen research security - Research and innovation
  • Nederland: Rijksbreed Loket Kennisveiligheid | RVO.nl
  • Duitsland: DAAD contributes to strengthening knowledge security at German universities
  • Canada: General Information on Research Security
• Cybersecurity
  • VLAIO: Cybersecurity - Hoe voorkom je een cyberaanval? - Test: is jouw bedrijf veilig voor hackers?
  • SafeOnWeb - CyberFundamentals Framework
  • Je website beveiligen | DNS Belgium
  • Online piraterij | FOD Economie
• Op zakenreis
  • I-City (Brussels Hoofdstedelijk Gewest): Beveilig je systemen en gegevens onderweg
  • zie ook handleiding RVO (supra)
• Intellectuele eigendom
  • VLAIO documentatie: Wegwijzers - Ons patent boekje
  • Intellectuele eigendom | FOD Economie
  • Optreden tegen namaak, piraterij en andere inbreuken op intellectuele eigendomsrechten | FOD Economie