Dat concludeert een onderzoeksrapport dat de universiteit liet opstellen over de camera’s die na een reeks artikelen in Mare tot grote onrust leidden onder studenten en personeel en daarna werden uitgezet.
De functionaris gegevensbescherming stelde een onderzoek in, en een extern bureau voerde penetratietesten uit op de apparatuur. Beide rapporten liggen nu bij de universiteitsraad, en worden daar binnenkort behandeld.
De eerste penetratietesten in januari bevestigden de fouten waarover Mare al had geschreven: gebruikers konden zonder in te loggen informatie over de camera zien, en wachtwoorden waren met een onveilige en verouderde versleuteling beveiligd.
Kwetsbaarheden
De fabrikant van de scanners, Xovis, heeft een update uitgebracht om deze fouten te verhelpen, maar reageerde niet op vragen van Mare. Dat de fouten die gemeld zijn inderdaad verholpen zijn, is in februari bevestigd door de beveiligingsonderzoekers, meldt het verslag.
Opvallend is wel dat de penetratietest alleen naar de mogelijke veiligheidsrisico’s bij het inloggen op het systeem heeft gekeken. De onderzoekers hebben niet gezocht naar ander onbedoeld gebruik van de sensoren en kwetsbaarheden die alleen toegankelijk zijn voor ingelogde gebruikers. De universiteit laat weten dit ook niet verder te onderzoeken: ‘Kwetsbaarheden die zich aan de binnenkant bevinden maar die niet op afstand te misbruiken zijn, achten wij een verwaarloosbaar risico.’
Naast de technische gebreken die zijn gevonden stelt functionaris gegevensbescherming Ricardo Catalan naar aanleiding van zijn onderzoek dat de universiteit een zogeheten data protection impact assessment (DPIA) moet uitvoeren. Dat is een analyse die een organisatie moet doen voordat ze gegevens verwerken met een hoog privacyrisico. De universiteit hield eerder nog vol dat dit niet nodig was.
Volgens de Autoriteit Persoonsgegevens is er onder andere sprake van een hoog risico als je ‘op grote schaal bijzondere persoonsgegevens verwerkt’ of ‘op grote schaal en systematisch mensen volgt in publiek toegankelijk gebied’.
Als de universiteit de camera’s weer wil aanzetten, moet er eerst een DPIA komen, stelt Catalan. Daarmee komt hij terug op zijn eerdere advies. ‘Mijn eerste inschatting was dat het een verwerking betrof met een laag risico waarbij een DPIA niet nodig was. Deze inschatting was niet juist’, laat hij weten.
Onvoldoende scherp
Catalan: ‘Zoals je in het rapport hebt kunnen lezen, was het privacy-team onvoldoende betrokken bij de implementatie waardoor ik hierop destijds onvoldoende scherp was. Ik had meer moeten doorvragen in mijn functie van onafhankelijke toezichthouder. Je moet het wel in context plaatsen, want in die coronaperiode rolden we van het ene vraagstuk naar het andere, omdat de universiteit in korte tijd het onderwijs moest digitaliseren.’
Bij het Universitair Facilitair Bedrijf (UFB) was niemand belast met privacykwesties, concludeert hij. Hij beveelt aan dat het UFB ‘compliance van privacy en security structureel opneemt in haar processen’.
Het gebrek aan DPIA leidde volgens Catalan ook tot onbedachtzaamheid richting medewerkers en studenten. Had de universiteit al eerder de camera’s onderzocht dan was duidelijk geworden dat medewerkers en studenten beter ingelicht hadden moeten worden. ‘Juist dit gebrek aan communicatie gaf begrijpelijkerwijs aanleiding tot commotie’, schrijft hij in het rapport.
Ook gaat hij in op de naamgeving van de apparaten, die door de universiteit consequent ‘sensoren’ of ‘scanners’ worden genoemd. Hierdoor was voor veel mensen niet duidelijk dat het om videocamera’s ging en werd de ernst van de privacy-kwestie onderschat. In een begeleidend schrijven aan de universiteitsraad meldt het college van bestuur waarde te hechten aan het ‘gevoel van privacy’.
Repareren
Op een vraag van Mare waarom niet aan privacy zelf wordt gehecht antwoordt woordvoerder Caroline van Overbeeke dat de universiteit niet alleen rekening wil houden met de wettelijke aspecten van privacy, maar ook voor het algemene belang ervan en ‘de beleving van privacy door onze medewerkers en studenten’.
Zij laat verder weten dat het college van bestuur privacy een heel belangrijk thema vindt. ‘Deze casus heeft ons wel laten zien dat een aantal dingen op dit vlak niet helemaal goed is gegaan. Dat repareren we nu.’ Ook het privacy office, dat medewerkers bijstaat bij vragen omtrent privacy, krijgt naar aanleiding van #CameraGate extra capaciteit.
De universiteit heeft nog niet besloten of de camera’s weer aangaan. Het bestuur neemt de aanbevelingen uit het rapport over, en voert momenteel de DPIA uit, meldt Van Overbeeke. ‘Pas als dit is afgerond gaan we met elkaar verder praten en zullen we, in afstemming met de universiteitsraad, besluiten of de personentellers (de camera’s, red.) wel of niet in gebruik kunnen worden genomen. Tot die tijd blijven ze uit.’