Retningslinjer og verktøy for ansvarlig internasjonalt kunnskapssamarbeid

Lov om nasjonal sikkerhet (sikkerhetsloven) omfatter alle statlige, fylkeskommunale og kommunale organer. Underleverandører, offentlig eller private, kan også bli omfattet av loven. Alle KDs underliggende virksomheter (benevnelse på en juridisk person/organisasjon som produserer varer/tjenester) er omfattet av loven. Loven krever at virksomhetene regelmessig gjennomfører vurdering av risiko. Denne skal danne grunnlag for iverksetting av forebyggende tiltak som må til for å gi et forsvarlig sikkerhetsnivå. Virksomhetens leder har ansvar for det forebyggende sikkerhetsarbeidet. Det stilles krav til at roller og ansvar videre nedover i organisasjonen er klart definert, samt at nødvendige systemer og prinsipper for sikkerhetsstyring er på plass. Loven stiller også krav til tilstrekkelig sikkerhetsforståelse- og kompetanse blant ansatte i virksomheten. Nasjonal sikkerhetsmyndighet eller myndigheter med sektoransvar som er gitt tilsynsmyndighet, fører tilsyn med virksomheter som er omfattet av loven. Det kan gis pålegg om gjennomføring av tiltak.

Som underlagt sikkerhetsloven, er KDs underliggende virksomheter også omfattet av Forskrift om virksomheters arbeid med forebyggende sikkerhet (Virksomhetsikkerhetsforskriften). Forskriften regulerer blant annet krav til håndtering og beskyttelse av skjermingsverdig informasjon, objekter og infrastruktur, nasjonalt varslingssystem for digital infrastruktur, krav til sikkerhet i anskaffelser (derunder krav til utenlandske leverandører og prosedyrer ved besøk fra utlandet knyttet til sikkerhetsgraderte anskaffelser) og personellsikkerhet (derunder autorisasjon av utenlandske statsborgere). Forskriften krever at det stilles nødvendige ressurser til rådighet for det forebyggende sikkerhetsarbeidet (§7). Forskriften slår videre fast at sikkerhetstiltak ikke skal være mer inngripende enn nødvendig for å håndtere aktuell risiko (§15).

Instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen) fastslår at alle departementer har ansvar for sikkerheten i egen sektor. Instruksen slår fast at arbeidet med samfunnssikkerhet skal håndteres på lavets mulig nivå. I praksis betyr det at virksomhetene under KD har ansvar for det operative arbeidet med samfunnssikkerhet på sitt felt.

KD sitt Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor (2021), redegjør for arbeidet med sikkerhet og beredskap i kunnskapssektoren. For virksomheter som er underlagt KD formuleres det en rekke krav til arbeidet med sikkerhet. For virksomheter innenfor KDs politikkområde, som i mer begrenset grad er underlagt KDs styring (for eksempel private virksomheter), er dette formulert som sterke anbefalinger.

Alle virksomheter som er underlagt KD, er pålagt å jobbe systematisk og helhetlig med sikkerhet og beredskap. Det er et ledelsesansvar å sørge for rammebetingelser og strukturer for arbeidet, men det understrekes i styringsdokumentet at det må bygges en sikkerhetskultur som involverer, bevisstgjør og ansvarliggjør alle medarbeidere. Arbeidet skal være kunnskaps- og erfaringsbasert. Det innebærer blant annet å gjennomføre jevnlige risiko- og sårbarhetsanalyser (ROS-analyser). KD anbefaler at virksomhetene i arbeidet ROS-analysen blant annet ser til risiko- og trusselvurderingene fra NSM, PST og Etterretningstjenesten. ROS-analysen skal følges opp av konkrete tiltak, synliggjort i en tiltaksplan. Virksomhetene skal utvikle krise- og beredskapsplaner som gjennomgås årlig og revideres etter behov, samt organisere krise- og beredskapsøvelser.

Råd for samfunnssikkerhet og beredskap i kunnskapssektoren (Beredskapsrådet), oppnevnt av KD i 2017, har utviklet en Veileder i risiko- og sårbarhetsanalyser for kunnskapssektoren. Veilederen kan brukes som oppslagsverk, spesielt for personer som har roller og ansvar knyttet til gjennomføring av ROS-analyser. ROS-analysen har som mål å kartlegge og vurdere risiko knyttet til virksomhetens drift og verdier, og identifisere relevante risikoreduserende tiltak. Verdiene kan være ansatte, studenter og besøkende (liv og helse), informasjon (for eksempel persondata og forskningsdata), materielle verdier (for eks. infrastruktur og bygninger), og omdømme/troverdighet. Det inngår i ROS- analysen å vurdere kunnskapen (data, informasjon) som beslutninger tas på grunnlag av.

NSM har utviklet en Veileder i sikkerhetsstyring og andre veiledere, blant annet Veileder i verdivurdering av informasjon. Også Direktoratet for forvaltning og økonomistyring (DFØ) har en Veileder for risikostyring. Målet er å legge til rette for en felles forståelse av hva risiko er og hvordan den kan håndteres gjennom tiltak ved institusjonene.

Retningslinjer for ansvarlig internasjonalt samarbeid utviklet i andre land, samt EUs retningslinjer i rapporten Tackling R&I Foreign Interference (2022), vektlegger de samme tiltakene som norske krav og retningslinjer på feltet sikkerhetsstyring. Det handler om å forankre arbeidet i organisasjonsledelsen, sørge for tydelig rolle- og ansvarsfordeling, jevnlig oppdatere systemer og rutiner for sikkerhetsstyring, involvere hele organisasjonen og bygge sikkerhetsforståelse og kompetanse på alle nivå. Det vektlegges også at tiltakene må være proporsjonale med sikkerhetsrisikoen.

Det er hverken mulig eller ønskelig å jobbe for at internasjonalt akademisk samarbeid skal være risikofritt, men det er viktig å iverksette tiltak som reduserer risiko, basert på god innsikt i risikobildet og egne sårbarheter. Lov og forskrift stiller overordnede krav til sikkerhetsstyringen, men den enkelte virksomhet må selv vurdere operasjonaliseringen av de overordnede kravene og prinsippene. NSM sin veileder i sikkerhetsstyring slår fast at det er virksomhetene som må vurdere hva som er et forsvarlig sikkerhetsnivå i egen organisasjon. Også KD understreker i Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor, at sikkerhetsstyringen må tilpasses sektorens ulike virksomheter:

«Utformingen av styringssystemet må tilpasses verdiene som skal beskyttes […] Det må dimensjoneres i forhold til risiko for sikkerhetstruende virksomhet. Hva som er riktig utforming og dimensjonering for å opprettholde et forsvarlig sikkerhetsnivå vil variere fra en virksomhet til en annen.» (s.35).

For å lykkes er det også viktig å bygge en kultur for sikkerhet, basert på tillit mellom ledelse og ansatte. Ansatte må oppleve det som trygt å ta kontakt om bekymringsverdige forhold.

Forslag til vurderinger og fremgangsmåter for institusjonens ledelse og administrasjon

• Har institusjonen identifisert verdier og infrastruktur som kan være utsatt gjennom internasjonale kontaktflater og aktiviteter, og som må beskyttes?
• Har institusjonen utviklet systemer og rutiner for å identifisere og håndtere ulike typer risiko i internasjonal samhandling og internasjonaleaktiviteter?
• Har virksomheten vurdert sikkerhetstiltak som kan redusere en identifisert risiko?
• Har virksomheten rutiner for oppgradering eller revurdering av risikovurderingen?
• Er internasjonalt samarbeid og ansatte- og studentmobilitet gjenstand for ROS-analyser?
• Inngår internasjonale aktiviteter i organisasjonens krise- og beredskapsplaner?
• Har institusjonen oversikt over partnerskap, avtaler, finansiering, erfaring fra mobilitetsopphold og samarbeidsprosjekter, datasikkerhet, internasjonal rekruttering av ansatte, studenter og gjesteforskere?
• Er ansvar og roller knyttet til risikohåndtering i det internasjonale arbeidet tydeligdefinert?
• Har institusjonen utviklet retningslinjer eller andre ressurser for å fremme ansvarlighet i internasjonalt samarbeid?
• Jobbes det systematisk med kompetansebygging og bevisstgjøring knyttet til ansvarlig internasjonalt samarbeid i ulike deler av organisasjonen, blant studenter og faglig og administrativt ansatte?
• Er det etablert en varslingsfunksjon? Vet ansatte og studenter hvor de skal henvende seg dersom de opplever bekymringsverdigeforhold?
• Skaff oversikt over hvilke land som er kategorisert som «land av bekymring» i årlige risiko- og trusselvurderinger fra E-tjenesten, PST, og NSM, og kartlegg om institusjonen har samarbeid eller annen form for kontakt med disse, og hvilke samarbeidsformer det dreier seg om.

KD sin Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning oppsummerer de viktigste rettslige kravene og nasjonale føringene på informasjonssikkerhetsområdet. Policyen er utarbeidet av HK-dir og ble fastsatt av KD høsten 2020 i rundskriv F-04-20. Policyen gir UH- institusjonene en god oversikt over gjeldende krav, som ellers er spredt på flere lover, forskrifter og nasjonale standarder.

Policyen retter seg mot institusjonene underlagt KDs styringsmodell for informasjonssikkerhet og personvern, og stiller følgende krav:

1. Innføre et ledelsessystem for informasjonssikkerhet.
2. Ha oversikt over informasjonsverdier.
3. Gjennomføre risikovurderinger og etablere sikringstiltak.
4. Etablere løsninger for hendelseshåndtering, kontinuitet og lukking av avvik.
5. Sørge for kontroll med tjenesteleverandører.
6. Ha internkontroll for behandling av personopplysninger.
7. Ivareta de registrertes rettigheter.
8. Utnevne personvernombud
9. Gjennomføre vurderinger av personvernkonsekvenser.
10. Sørge for innebygd personvern og informasjonssikkerhet.
11. Sørge for opplæring og kompetanseheving.
12. Dokumentere arbeidet med informasjonssikkerhet og personvern

HK-dir gjennomfører en årlig kartlegging av institusjonenes etterlevelse av kravene i policyen.

NSM har utarbeidet grunnprinsipper for IKT-sikkerhet, som et tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Prinsippene er relevante for alle norske virksomheter. NSM viser til at digitalisering skaper både muligheter og risiko, og grunnprinsippene for IKT-sikkerhet vil være en hjelp i institusjonenes arbeid med digitalisering. Hovedmålgruppen for NSM sine grunnprinsipper er IT-ledelsen og ledere på mellomledernivå, siden de er det avgjørende bindeleddet mellom toppledelse og implementerings- og driftsnivå.

Rapporten Informasjonssikkerhet og personvern i høyere utdanning: Risiko- og tilstandsvurdering, utarbeides årlig av HK-dir og gir oversikt over det aktuelle trusselbildet for norsk kunnskapssektor. Det er stadig flere norske virksomheter i offentlig og privat sektor som er blitt utsatt for tilsiktede digitale angrep og det registreres stadig flere alvorlige digitale sikkerhetshendelser. NSM peker på at statlige eller statsstøttede trusselaktører står bak flere av hendelsene. EOS-tjenestene (NSM, PST og E-tjenesten) fremhever i sine risiko- og trusselvurderinger at trusselbildet i Norge er skjerpet og peker på flere konkrete områder innen forskning og utvikling som kan være særlig utsatt for digitale angrep og kunnskapsspionasje.

EOS-tjenestene peker på at trusselen er størst fra Russland, Kina og Iran. I kjølvannet av Russlands invasjon av Ukraina mener både NSM og PST at etterretningstrusselen fra Russland har økt.

Informasjonssikkerhet og personvern i høyere utdanning og forskning (2022) gir eksempler på bekreftede eller mistenkte tilfeller av statlig hacking i universitets- og høyskolesektoren i 2021: jevnlige forsøk på innbrudd i institusjonenes datanettverk («brute-force-angrep»), rekognoseringsaktiviteter (trusselaktører kartlegger institusjonene via internettet, ff.eks. driftsmeldinger og annen offentlig tilgjengelig informasjon om arbeidet med informasjonssikkerhet), utnyttelse av sårbarheter i programvare for å få tilgang til kontopassord, inkludert administratorkontoer, og til andre datamaskiner tilknyttet det samme nettverket. Forskere ved norske UH-institusjoner har en stor grad av autonomi og den enkelte forskeren inngår ofte i nettverk med nasjonale og internasjonale kontakter innenfor eget fagområde. Utover organisert samarbeid foregår det også uformell utveksling av kunnskap og informasjon. Dette gir et stort mulighetsrom, men kan også innebære sårbarhet for virksomhetens sikkerhet.

Det er behov for å styrke kompetanse om digital sikkerhet på instituttnivå, og retningslinjene under retter seg derfor både til ledernivået og til den enkelte ansatte. Retningslinjene inngår allerede i etablerte ledelsessystem for informasjonssikkerhet og personvern.

Valg av digital plattform for prosjektsamarbeid

Institusjonene har behov for en felles digital plattform for å kommunisere og samhandle ved oppstart av prosjektsamarbeid og underveis i prosjektet. Den digitale plattformen benyttes til lagring av prosjektdokumentasjon og til gjennomføring og dokumentasjon av prosjektmøter.

Det kan være en utfordring at de samarbeidende institusjonene benytter programvare som kan være ukjent for norske deltakere og der det er uklart om løsningen tilfredsstiller rettslige krav til informasjonssikkerhet og personvern i Norge.

Forslag til vurderinger og fremgangsmåter

• Institusjonene bør inkludere oversikt over digitale plattformer som vil brukes i løpet av prosjektperioden i samarbeidsavtalen, som inngås i forkant av oppstart av et prosjekt.
• Prosjektdeltakende institusjon med behandlingsansvar for den digitale plattformen som prosjektet skal ta i bruk, bør dokumentere følgende:
  • Skal det behandles personopplysninger i den digitale plattformen? Hvis ja: hvilke typer av personopplysninger?
  • Hva er formålet med behandlingen av personopplysninger?
  • Er det nødvendig å legge til rette for en løsning for samtykke fra den registrerte?
  • Er det utarbeidet en personvernerklæring for den digitale plattformen?
  • Hvilke sikringstiltak for tilgjengelighet, integritet og konfidensialitet benyttes i den digitale plattformen? Er det gjennomført en risikovurdering?
  • Hva er dataflyt i den digitale plattformen? Er den integrert med andre digitale plattformer?
  • Hvilke skytjenester benyttes i den digitale plattformen?
  • Hvilken juridisk enhet har ansvar for teknisk drift av den digitale plattformen? Er det inngått en databehandleravtale?
  • Hvor lenge oppbevares logger fra den digitale plattformen?
• Prosjektdeltakende institusjon bør iverksette en prosedyre for å vurdere om den digitale plattformen skal benyttes i prosjektperioden, basert på den fremlagte dokumentasjonen. Vurderingen bør legges til et nivå utenfor den aktuelle forskningsgruppen, eller prosjektgruppen.

Valg av digital løsning for datainnsamling i prosjektsamarbeid

Institusjonene har behov for en sikker digital løsning for datainnsamling. Det benyttes ulike digitale løsninger for innsamling og lagring av data.

Valg av digital plattform for samhandling gjelder også på dette området. Det anbefales derfor at spørsmål og vurderingene beskrevet over benyttes for å gjennomføre en vurdering før en digital løsning for datainnsamling tas i bruk ved den norske prosjektdeltakende institusjonen.

Forslag til vurderinger og fremgangsmåter

• Institusjonene bør inkludere oversikt over digitale plattformer som vil brukes i løpet av prosjektperioden, i samarbeidsavtalen som inngås ved oppstart av et prosjekt.
• Prosjektdeltakende institusjon med behandlingsansvar for den digitale plattformen som prosjektet skal ta i bruk, bør legge ved dokumentasjon som beskrevet ovenfor.
• Prosjektdeltakende institusjon bør implementere en prosedyre for å vurdere om den digitale løsningen for datalagring skal benyttes i prosjektperioden, basert på den fremlagte dokumentasjonen. Vurderingen bør legges til et nivå utenfor den aktuelle forskningsgruppen, eller prosjektgruppen.

Tilgang til institusjonens digitale informasjonsverdier for utenlandske forskere og gjesteforskere

Institusjonens digitale informasjonsverdier bør sikres med organisatoriske og tekniske tiltak. Kunnskapsdepartementet og NSM peker på økende etterretningstrussel mot Norge og norsk forskning. Det kan være en utfordring for den enkelte ansatte å ha tilstrekkelig kunnskap om og oversikt over gjeldende sikringstiltak. Manglende oversikt kan bidra til at det gis uautorisert adgang til informasjon som bør beskyttes.

Forslag til vurderinger og fremgangsmåter

• Regelmessig verdikartlegging: Institusjonene i norsk UH-sektor gjennomfører en kartlegging av informasjonsverdier og det nødvendige beskyttelsesnivået. Kartleggingen gjennomføres som oftest i de sentraladministrative avdelingene. Det foreslås at administrasjonen bistår med gjennomføring av tilsvarende verdikartlegging f.eks. på instituttnivå, for å kartlegge de viktigste digitale informasjonsverdiene (inklusive steder de er lagret) før oppstart av et internasjonalt samarbeidsprosjekt, eller i forkant av mottak av en utenlandsk gjesteforsker.
• Institusjonene bør sikre at gjeldende rutiner for tilgangsstyring er utformet slik at de samsvarer med verdivurderingen. Dette gjelder særlig når nye samarbeidspartnere inntrer i eksisterende prosjekter.
• Institusjonene bør sikre at gjeldende prosedyrer for bakgrunnssjekk ved ansettelse av forskere fra land som kan utgjøre sikkerhetsrisiko, eller ansettelse av utenlandske forskere i lederstillinger, eller stillinger med store fullmakter innen økonomiområdet, oppdateres i tråd med verdivurderingen. I særskilte tilfeller er det også aktuelt med bakgrunnssjekk ved ansettelse uavhengig av landbakgrunn. Faktorer som økonomiske forpliktelser hos den enkelte ansatte kan utgjør en sikkerhetsrisiko.

Utveksling av personopplysninger ved forsker- og studentmobilitet

Mobilitet er basert på ulike typer samarbeid som kan eksistere i form av partnerskap, forskningsarbeid og ulike mobilitetsordninger.

Institusjonene har behov for en felles digital plattform for å utveksle informasjon om norske studenter som skal dra på utvekslingsopphold i utlandet, eller utenlandske studenter som skal studere ved norske utdanningsinstitusjoner. I mange tilfeller har både hjemmeinstitusjonen og vertsinstitusjonen tilgang til samme LMS (Learning Management System), f.eks. Canvas, som muliggjør sikker behandling av personopplysninger.

Det kan være en utfordring dersom institusjonene som skal samarbeide om studentutveksling, ikke har tilgang til samme studieadministrative system. Institusjonene benytter i noen tilfeller e-post til å sende personopplysninger om studenter, en løsning som Datatilsynet er kritisk til, ettersom dette i de fleste tilfeller ikke tilfredsstiller kravene i GDPR.

Alle norske universiteter, UHR og en rekke høyskoler samarbeider om forvaltning av Scholars-at-risk- ordningen. I tillegg samarbeider norske universiteter og høyskoler om Students-at-risk-ordningen. Hovedformålet er å beskytte truede akademikere og studenter, gi dem et fristed og fremme akademisk frihet. I forbindelse med nominasjon, opptak og mottak av truede forskere og studenter har utdanningsinstitusjonene behov for sikker løsning for overføring av personopplysninger.

Forslag til vurderinger og fremgangsmåter

• Vurder om utveksling av personopplysninger er tilstrekkelig sikret.
• Vurder Sikt sin webapplikasjon som kan benyttes av norske utdanningsinstitusjoner for sikker utveksling av personopplysninger: Nomination - Felles studentsystem
• Vurder Universitetet i Oslo sin tjeneste Nettskjema, for sikker overføring av personopplysninger.

Norge har gjennom internasjonale avtaler forpliktet seg til å hindre spredning av kjemiske og biologiske våpen, hindre spredning av varer og teknologi relevant for kjernefysiske våpen, kontroll av konvensjonelle våpen, militære varer og sensitiv høyteknologi.

Dette er nedfelt i Lov om kontroll med eksport av strategiske varer, tjenester og teknologi m.v. (Eksportkontrolloven) fra 1987 og operasjonalisert i Forskrift om eksport av forsvarsmateriell, flerbruksvarer, teknologi og tjenester (Eksportkontrollforskriften). Utenriksdepartementet (UD) har ansvar for å veilede om kunnskapsoverføring og hvorvidt den vil utløse lisensplikt.

I tillegg forvalter UD sanksjonsforskrifter, som omhandler Norges forpliktelser til å gjennomføre sanksjoner vedtatt i FNs sikkerhetsråd, samt enkelte restriktive tiltak vedtatt av EU. Forskriftene er forankret i Lov for gjennomføring av internasjonale sanksjoner. Slike sanksjoner vil kunne legge føringer på internasjonalt kunnskapssamarbeid for eksempel mht. pengeoverføringer eller utstyrsbruk.

Eksportkontroll har to formål:

• Sikre at eksport av forsvarsmateriell fra Norge skjer i tråd med norsk sikkerhets- og forsvarspolitikk.
• Sikre at eksport av flerbruksvarer ikke bidrar til spredning av masseødeleggelsesvåpen (MØV – kjernefysiske, kjemiske og biologiske våpen), samt leveringsmidler for slike våpen. Leveringsmidler kan blant annet være undervannsteknologi, avansert elektronikk og materialer. Med flerbruksvarer («dual-use») menes varer, programvare og teknologi som opprinnelig er utviklet for sivile formål, men som kan ha viktige militære anvendelser.

I praksis innebærer regelverket at materiell, teknologi og kunnskap med militær anvendelse må godkjennes av UD, som utsteder en lisens eller forhåndstillatelse før utførsel av denne typen materiell og teknologier fra Norge.

Trusselvurderingene fra PST og E-tjenesten har de senere årene vist til at enkelte stater forsøker å tilegne seg kunnskap som kan brukes militært, i strid med nasjonale sikkerhets- og forsvarspolitiske interesser. Dette gjøres blant annet ved å plassere og rekruttere egne borgere i avanserte utdannings- og forskningsmiljøer. Kampen om tilgang til kunnskap og forskning står i sentrum av den geopolitiske rivaliseringen og kappløpet om å omsette ny teknologi til militære kapasiteter.

Regjeringen har derfor besluttet å endre eksportkontrollforskriften for å styrke kontrollen med overføring av kunnskap som kan benyttes i masseødeleggelsesvåpen, deres leveringsmidler og konvensjonelle våpen.

Forskriften er under revidering og UD sendte et forslag til forskriftsendring på høring 28. mars 2022. Det ble mottatt nærmere 40 høringsinnspill. Arbeidet med forskriftsendringen er ikke ferdigstilt, og retningslinjene under baserer seg derfor på eksisterende forskrift. Retningslinjene for ansvarlig internasjonalt samarbeid på eksportkontrollfeltet vil oppdateres når UD har ferdigstilt sitt arbeid. Frem til endringene trer i kraft gjelder nåværende rett og praksis. Oppdateringer vil bli publisert fortløpende på UD sine nettsider.

I 2016 utarbeidet UD egne retningslinjer for eksportkontroll for kunnskapssektoren. Eksportkontroll i kunnskapssektoren handler i hovedsak om kontroll med kunnskapsoverføring og forskningssamarbeid, med tilhørende kartlegging av lisenspliktig utstyr og teknologi, samt bevissthet om datasikkerhet i utveksling av studenter og ansatte og gjesteforelesere. Kunnskapsinstitusjonene skal etterleve eksportkontrollregelverket, og anbefales i den forbindelse å:

• Skaffe seg oversikt over hvilke kunnskapsområder som reguleres av eksportkontroll- lovgivningen.
• Skaffe seg en oversikt over hvilke aktiviteter innenfor internasjonalt samarbeid, utdanningsnivå og stillinger i virksomheten eksportkontrollforskriften vil gjelde for.
• Kartlegge hvilket utstyr, lab-fasiliteter og informasjon som krever ekstra beskyttelse i form av tilgangsregulering og utvikle sikkerhetssystemer for å sikre disse verdiene.
• Utarbeide interne rutiner som ivaretar kontroll med kunnskapsoverføring i alle aktiviteter som er tilknyttet de sensitive fagområdene.

Det er viktig å presisere at kontroll med kunnskapsoverføring ikke gjelder for kunnskap som allerede er åpent tilgjengelig «i det offentlige rom». Eksportkontroll har også et unntak for grunnforskning. Begrepet grunnforskning defineres på liste I og II som «eksperimentelt eller teoretisk arbeid utført hovedsakelig for å tilegne seg ny kunnskap om de grunnleggende prinsippene for fenomener [...] ikke primært rettet mot et spesifikt praktisk mål eller anvendelse.» Grunnforskning skal med andre ord ikke lede til utvikling av et produkt eller ha en praktisk industriell bruk, men kan være f.eks. observasjon av fenomener i naturen. Eksportkontrollregelverket sin definisjon av grunnforskning er fremforhandlet i de multilaterale eksportkontrollregimene Norge deltar i og er en definisjon vi er forpliktet til å etterleve.

Motstykket til grunnforskning er «anvendt forskning», som primært er rettet mot bestemte praktiske mål, teknologisk utvikling eller anvendelser. Anvendt forskning kan omfattes av flerbruksvarer eller flerbruksformål («dual use»). Det finnes få norske ressurser på flerbruksteknologi utover liste II. Det kan være nyttig å se til verktøyet Stanford University har utviklet for eksportkontroll. En tilsvarende ressurs er Tysklands manual utviklet for akademia på eksportkontrollfeltet som kan brukes metodisk til å undersøke hvorvidt eksportkontroll gjelder for forskningsfeltet. Det er også utviklet en egen programvare som tilbys kommersielt i Norge for søk i liste II - flerbruksteknologi for enklere å få svar på om forskningen krever forhåndstillatelse. Flerbruksformål i eksportkontrollforskriften er et krevende felt ettersom kunnskapsområdene for potensiell flerbruk har fått en bredere utbredelse. Påstander om at Russland plukket databrikker fra vaskemaskiner og kjøleskap for å reparere sitt militære utstyr er et eksempel på dette. I tillegg er dette områder som endres i takt med kunnskapsutvikling og internasjonale forhandlinger på eksportkontrollfeltet.

Dagens kontroll har også en avgrensning knyttet til utdanningsnivå, og retter seg i hovedsak mot doktorgradsnivå, og mot enkelte fagområder på mastergradsnivå som er omfattet av regelverket (3. Studieområder og særlig relevante fagområder).

Eksportregelverket gjelder innenfor forskningssamarbeid med hensyn til deling av informasjon og forskningsresultater med utenlandske institusjoner. For kunnskap som er omfattet av eksportkontrollforskriften vil informasjonsdeling på kurs og konferanser kunne utløse lisensplikt eller forhåndstillatelse i henhold til forskriften. Basert på estimater fra Sverige og USA, antas det at mindre enn ti prosent av forskningsprosjektene bør søke eksportlisens, og at ca. 2 prosent av prosjektene vil være problematiske i eksportkontrollsammenheng.

Norske universiteter har organisert arbeidet med å overholde eksportkontrollforskriften på ulike måter. NTNU har utviklet egne ressurssider for arbeidet, med et eget kontaktpunkt på institusjonen. NMBU har utviklet en sikkerhetsrutine for inngåelse av internasjonalt samarbeid, som må fylles ut av alle ansatte før oppstart av samarbeid. Denne rutinen brukes til å fange opp mulige tilfeller der eksportkontrollforskriften vil gjelde. Sikkerhetsansvarlige på institusjonen tar kontakt med fagperson for tettere rådgivning og informasjon om søknadsprosedyre for forhåndstillatelse. Universitetet i Sørøst-Norge har etablert et eget team som arbeider med eksportkontroll på universitetet.

Praktiseringen av regelverket om kunnskapsoverføring forutsetter at kunnskapsinstitusjonene selv foretar en særskilt vurdering av doktorgradsstipendiater, valg av internasjonale samarbeidspartnere, ved rekruttering av utenlandske forskere og invitasjon av gjesteforskere innenfor fagområdene listet i Retningslinjer for kontroll med kunnskapsoverføring. I tillegg bør disse fagområdene tas inn i verdivurderingen og risikoanalyser på institusjonene med hensyn til adgangskontroll og sikring av kritisk infrastruktur.

Listene over fagområder nevnt i Retningslinjer for kontroll med kunnskapsoverføring er ikke uttømmende. I tillegg må utdanningsinstitusjonene på generelt grunnlag utøve årvåkenhet når utenlandske studenter søker opptak til doktorgradsstillinger eller masterstudier innenfor andre teknologiområder omfattet av Utenriksdepartementets vareliste II og som dermed kan utgjøre en særlig risiko når det gjelder spredning av MØV eller deres leveringsmidler. I visse tilfeller kan departementet utløse lisensplikt og dermed avslå eksport av varer, teknologi eller tjenester som ikke står på listene (se lisensplikt for «Catch-all»).

Vurderinger må altså gjøres ved rekruttering av vitenskapelig personell (inkludert ph.d. studenter), ved mottak av gjesteforskere og ved opptak ved enkelte emner på masternivå. Utlendingsdirektoratet (UDI) behandler søknader om arbeidsoppholdstillatelser. Søknadene skal vurderes opp mot forhold som berører rikets sikkerhet, som er samlet i Lov om utlendingers adgang til riket og deres opphold her (Utlendingsloven) kap. 14 og Forskrift om utlendingers adgang til riket og deres opphold her (Utlendingsforskriften) 19A. Saksbehandlingen er beskrevet i GI-03/2023 – Instruks om behandling av saker som kan berøre grunnleggende nasjonale interesser eller utenrikspolitiske hensyn etter utlendingsloven kapittel 14, og saker etter eksportkontrollregelverket. Den gir også en indikasjon på hvilke opplysninger som bør legges ved en søknad om oppholdstillatelse.

Beredskapsrådet for kunnskapssektoren har utarbeidet et notat om eksportkontroll som en veileder for kunnskapssektoren frem til ny forskrift foreligger. Sikresiden.no har også laget et eget e-læringskurs om eksportkontroll.

Forslag til vurderinger og fremgangsmåter for institusjonens ledelse og administrasjon

• Innlem eksportkontroll som del av sikkerhetsstyringen. Det bør vurderes å tillegge dedikerte personer på institusjonen ansvar for eksportkontroll. Det er imidlertid viktig at sikkerhetsarbeid på institusjonen er forankret i ledelsen.
• Verdivurdering av forskningsområdene danner grunnlaget for hvilke sikkerhetsmessige tiltak som må innføres for å etterleve regelverket. Omfanget av verdier som treffes av forskriften bør brukes til å dimensjonere administrative støtte- og kontrollsystemer på dette feltet.
• Foreta en kartlegging av sensitive forskningsområder, samarbeidsprosjekter, tverrfaglige aktiviteter, master- og ph.d.-studier, laboratorier og utstyr.
  • Vurder om fagmiljøene som er omfattet av eksportkontrollforskriften har tilstrekkelig kjennskap til denne.
  • Sørg for jevnlig oppdatering av og kjennskap til interne rutiner på eksportkontroll i aktuelle fagmiljø.
  • Vurder behovet for (styrket) adgangskontroll til laboratorier og utstyr.
  • Kartlegg lisenspliktig utstyr som er ført på liste II i eksportkontrollforskriften og sanksjoner og restriktive tiltak.
• Kunnskapsinstitusjonen bør ha oversikt over land som er underlagt sanksjoner som kan legge begrensinger på internasjonalt kunnskapssamarbeid. Merk at for personer med iransk nasjonalitet/iransk tilknytning må det alltid søkes forhåndstillatelse for å kunne bruke utstyr/teknologi/kunnskap som er oppført i vedleggene til Iranforskriften.
• Vurder å innføre standardisert bakgrunnssjekk for ansettelser på fagområder og stillinger som er omfattet av eksportkontrollforskriften (se også 4.1 Rekruttering og ansettelse).
• Vurder om stillinger med utvidete fullmakter, rettigheter og tilganger skal rutinemessig autoriseres gjennom en bakgrunnssjekk.
• Dersom en utdannings- eller forskningsinstitusjon er bekymret for at ulovlig kunnskapsoverføring har funnet eller kan finne sted, kontakt Politiets sikkerhetstjeneste for nærmere dialog og rådgiving.

Forslag til vurderinger og fremgangsmåter for fagmiljø

• Er ditt fagområde i oversikten over kunnskapsfelt i Retningslinjer for kontroll med kunnskapsoverføring (kap.3) ?
• Er din forskning, undervisning eller ditt internasjonale prosjektsamarbeid avhengig av bruk av laboratorium/teknologi/utstyr/programvare som befinner seg på liste II – flerbruksteknologi?
• Kan kunnskapsutviklingen i samarbeidet ha potensiell militær bruk (inkludert leveringsteknologi)?
• Er landet for planlagt kunnskapssamarbeid omfattet av sanksjonsregelverket? Vurder mulige implikasjoner for samarbeidet.

For å overholde regelverket som gjelder for de sensitive kunnskaps- og teknologiområdene, skal UD kontaktes før kunnskapsoverføring kan skje for personer fra enkelte land. I sine vurderinger behandler UD hver enkelt henvendelse individuelt. Kontakt med UD bør først skje etter at det er blitt foretatt en egen vurdering på institusjonen hvorvidt samarbeidet med hensyn til fagfelt og nasjonalitet er omfattet av eksportkontroll for kunnskapsoverføring. Vurderingene bør gjøres i lys av hvilke partnere og forskningsfinansiering som forskningsprosjektet har.

Søknader om forhåndstillatelse sendes inn via UDs elektroniske søknadsportal e-lisens, gjennom skjemaet «forhåndstillatelse kunnskapsoverføring». Departementets seksjon for eksportkontroll behandler søknadene. E-lisens kan også brukes til å sende generelle henvendelser og spørsmål knyttet til eksportkontroll.