Anoushka Kloosterman, Mark Reid en Emiel Beinema
donderdag 22 september 2022
De beveiliging van de 371 slimme camera’s die de Leidse universiteit tijdens de coronacrisis liet installeren, bevatte grote fouten. Daarnaast is de privacy van studenten en medewerkers geschonden en de medezeggenschap onvoldoende ingelicht.

Dat concludeert een onderzoeksrapport dat de universiteit liet opstellen over de camera’s die na een reeks artikelen in Mare tot grote onrust leidden onder studenten en personeel en daarna werden uitgezet.

De functionaris gegevensbescherming stelde een onderzoek in, en een extern bureau voerde penetratietesten uit op de apparatuur. Beide rapporten liggen nu bij de universiteitsraad, en worden daar binnenkort behandeld.

De eerste penetratietesten in januari bevestigden de fouten waarover Mare al had geschreven: gebruikers konden zonder in te loggen informatie over de camera zien, en wachtwoorden waren met een onveilige en verouderde versleuteling beveiligd.

Kwetsbaarheden

De fabrikant van de scanners, Xovis, heeft een update uitgebracht om deze fouten te verhelpen, maar reageerde niet op vragen van Mare. Dat de fouten die gemeld zijn inderdaad verholpen zijn, is in februari bevestigd door de beveiligingsonderzoekers, meldt het verslag.

Opvallend is wel dat de penetratietest alleen naar de mogelijke veiligheidsrisico’s bij het inloggen op het systeem heeft gekeken. De onderzoekers hebben niet gezocht naar ander onbedoeld gebruik van de sensoren en kwetsbaarheden die alleen toegankelijk zijn voor ingelogde gebruikers. De universiteit laat weten dit ook niet verder te onderzoeken: ‘Kwetsbaarheden die zich aan de binnenkant bevinden maar die niet op afstand te misbruiken zijn, achten wij een verwaarloosbaar risico.’

Universiteit had medewerkers en studenten beter moeten inlichten: ‘Juist dit gebrek aan communicatie gaf aanleiding tot commotie’

Naast de technische gebreken die zijn gevonden stelt functionaris gegevensbescherming Ricardo Catalan naar aanleiding van zijn onderzoek dat de universiteit een zogeheten data protection impact assessment (DPIA) moet uitvoeren. Dat is een analyse die een organisatie moet doen voordat ze gegevens verwerken met een hoog privacyrisico. De universiteit hield eerder nog vol dat dit niet nodig was.

Volgens de Autoriteit Persoonsgegevens is er onder andere sprake van een hoog risico als je ‘op grote schaal bijzondere persoonsgegevens verwerkt’ of ‘op grote schaal en systematisch mensen volgt in publiek toegankelijk gebied’.

Als de universiteit de camera’s weer wil aanzetten, moet er eerst een DPIA komen, stelt Catalan. Daarmee komt hij terug op zijn eerdere advies. ‘Mijn eerste inschatting was dat het een verwerking betrof met een laag risico waarbij een DPIA niet nodig was. Deze inschatting was niet juist’, laat hij weten.

Onvoldoende scherp

Catalan: ‘Zoals je in het rapport hebt kunnen lezen, was het privacy-team onvoldoende betrokken bij de implementatie waardoor ik hierop destijds onvoldoende scherp was. Ik had meer moeten doorvragen in mijn functie van onafhankelijke toezichthouder. Je moet het wel in context plaatsen, want in die coronaperiode rolden we van het ene vraagstuk naar het andere, omdat de universiteit in korte tijd het onderwijs moest digitaliseren.’

Bij het Universitair Facilitair Bedrijf (UFB) was niemand belast met privacykwesties, concludeert hij. Hij beveelt aan dat het UFB ‘compliance van privacy en security structureel opneemt in haar processen’.

Het gebrek aan DPIA leidde volgens Catalan ook tot onbedachtzaamheid richting medewerkers en studenten. Had de universiteit al eerder de camera’s onderzocht dan was duidelijk geworden dat medewerkers en studenten beter ingelicht hadden moeten worden. ‘Juist dit gebrek aan communicatie gaf begrijpelijkerwijs aanleiding tot commotie’, schrijft hij in het rapport.

Protestgraffiti tegen de 'classroom scanners'.

Ook gaat hij in op de naamgeving van de apparaten, die door de universiteit consequent ‘sensoren’ of ‘scanners’ worden genoemd. Hierdoor was voor veel mensen niet duidelijk dat het om videocamera’s ging en werd de ernst van de privacy-kwestie onderschat. In een begeleidend schrijven aan de universiteitsraad meldt het college van bestuur waarde te hechten aan het ‘gevoel van privacy’.

Repareren

Op een vraag van Mare waarom niet aan privacy zelf wordt gehecht antwoordt woordvoerder Caroline van Overbeeke dat de universiteit niet alleen rekening wil houden met de wettelijke aspecten van privacy, maar ook voor het algemene belang ervan en ‘de beleving van privacy door onze medewerkers en studenten’.

Zij laat verder weten dat het college van bestuur privacy een heel belangrijk thema vindt. ‘Deze casus heeft ons wel laten zien dat een aantal dingen op dit vlak niet helemaal goed is gegaan. Dat repareren we nu.’ Ook het privacy office, dat medewerkers bijstaat bij vragen omtrent privacy, krijgt naar aanleiding van #CameraGate extra capaciteit.

De universiteit heeft nog niet besloten of de camera’s weer aangaan. Het bestuur neemt de aanbevelingen uit het rapport over, en voert momenteel de DPIA uit, meldt Van Overbeeke. ‘Pas als dit is afgerond gaan we met elkaar verder praten en zullen we, in afstemming met de universiteitsraad, besluiten of de personentellers (de camera’s, red.) wel of niet in gebruik kunnen worden genomen. Tot die tijd blijven ze uit.’

#cameragate

Lees ook

Achtergrond
College van bestuur over camerabesluit: ‘We willen onze ruimtes slimmer gebruiken’
Vice-collegevoorzitter Martijn Ridderbos legt uit waarom de slimme camera’s volgens hem weer aangezet kunnen worden. ‘Dit systeem komt ook niet ons als bestuur ten goede, maar met name de studenten en medewerkers.’
Nieuws
Het einde van #Cameragate: bestuur legt zich neer bij kritiek en zet camera’s uit
Nieuws
Universiteitsraad stemt tegen camera’s: ‘Dit is invasief, niet-proportioneel en moet weg’
Columns & opinie
Waarom het lozen van de classroom scanners de enige rationele keuze is
Nieuws
Open brief aan universiteitsraad: ‘Laat de camera’s uit’