De universiteitsraad mag nog advies geven. Een klein aantal tegenstanders van de camera’s, die eind 2021 actief protesteerden tegen de camera’s nadat Mare erover berichtte, waren woensdag uitgenodigd voor een bijeenkomst, waar Mare ook bij aanwezig was. Vertegenwoordigers van de universiteit slaagden er toen niet in om de fundamentele zorgen van de tegenstanders weg te nemen.
Negen medewerkers – onder wie leden van de universiteitsraad – uitten deze week in een ingezonden brief in deze krant hun ontevredenheid over het voornemen van het bestuur. ‘Het gebruik van slimme camera’s en surveillancetechnologie in universiteiten ondermijnt de academische waarden van vrijheid en autonomie’, schrijven ze.
Ook waarschuwen ze voor function creep: het risico dat de geavanceerde functies in de loop der tijd toch ingezet worden. ‘Zoals het UFB zelf toegaf, zou de functionaliteit van de camera’s in de toekomst door het universiteitsbestuur kunnen worden uitgebreid als men dat zou willen. In dat geval heeft men onmiddellijk de beschikking over honderden krachtige AI-gestuurde minicomputers met 3D-camera’s die kunnen volgen waar studenten en personeel lopen, welk geslacht zij hebben en zelfs waar zij kijken.’
Maatregelen
Volgens het bestuur is de universiteit niet in het bezit van de software om de geavanceerde functies te gebruiken. Er zijn ook maatregelen genomen zodat er niet zomaar aan privacyniveaus gesleuteld kan worden, vertelt vicevoorzitter Martijn Ridderbos. ‘De sensoren zijn gekoppeld aan ons beveiligde netwerk. Alleen ICT-beheerders hebben toegang tot dit netwerk. De leverancier heeft vanzelfsprekend toegang tot de informatie van de sensoren maar kan geen wijzigingen aanbrengen in het universitaire netwerk.
Opnieuw heeft #Cameragate politiek Den Haag bereikt: Peter Kwint (SP) heeft inmiddels Kamervragen gesteld.
‘Op het doen van aanpassingen in de privacy-instellingen door medewerkers van de universiteit zit het vier-ogen-principe. De masterkey ligt bij de leverancier. Niemand van de universiteit kan buiten de leverancier om aanpassingen doen in de privacy-instellingen van de sensor. Dat hebben we helemaal uit elkaar getrokken. Zij mogen geen aanpassingen doen die wij niet willen, en wij kunnen niet de dingen die zij kunnen. Je kunt het alleen samen doen en daar moet besluitvorming aan voorafgaan.’
De gebrekkige beveiliging van de camera’s is ook opgelapt, vertelt Ridderbos. Mare schreef eind 2021 dat de onbeveiligde inlogpagina van de camera’s via Google vindbaar was, waar het versleutelde wachtwoord makkelijk te vinden was, inclusief (verouderde) sleutel. De pentesten bevestigden de veiligheidsproblemen.
Ridderbos: ‘We hebben firewallinstellingen doorgevoerd, om inbreuk van buitenaf tegen te gaan. De verbinding tussen de sensor en de beheermodule zijn nu ook versleuteld. Het dashboard met de cijfers is alleen maar toegankelijk voor bepaalde collega’s en daar zit weer multi-factor authentication op. We hebben ook alle softwareupdates van de fabrikant doorgevoerd. De communicatie tussen de sensors en de server is extra beveiligd en we hebben werkafspraken gemaakt met de leveranciers hoe we omgaan met updates. En belangrijk is dat we jaarlijks de veiligheid gaan auditen, onder andere met een pentest.’
Restrisico
Eén risico valt niet op te lossen, maar dat neemt de universiteit voor lief: de camera’s worden ’s nachts niet uitgezet, omdat dan het hele netwerk van de stroom gehaald moet worden. Dat betekent dat de apparaten buiten openingstijden data verzamelen die niet nodig zijn. In vrijwel lege gebouwen is dan ook vast te stellen waar de paar aanwezigen – zoals beveiligers en schoonmakers – zich bevinden.
Volgens de universiteit is dat een laag restrisico, omdat er maar weinig gegevens worden verwerkt. ‘In beginsel worden alle (schoonmaak)activiteiten uitgevoerd binnen de openingstijden’, zegt woordvoerder Caroline van Overbeeke. ‘Bij calamiteiten en incidenten kan toegang verleend worden tot het pand aan bijvoorbeeld politie, brandweer, of schoonmakers. Over het verwerken van gegevens over de aanwezigheid zijn deze personen reeds geïnformeerd vanuit de verplichte registratie voor ontruiming of incidentmeldingen. Daarnaast worden zij zoals alle medewerkers, studenten en bezoekers over de sensoren geïnformeerd door bordjes die opgehangen worden en de communicatie op de website.’
Demonstraties
‘Teleurstellend, maar ik ben niet verbaasd na onze ervaringen van vorig jaar’, zegt Joris Wiebes, een van de studenten die eind vorig jaar protesten organiseerde tegen de camera’s. ‘Ik vertrouw het niet. Ze kunnen zeggen dat het allemaal in orde is, maar dat zeiden ze toen ook, en dat was gelogen. Ze moeten dan echt transparanter communiceren.’
Bijvoorbeeld door de rapporten openbaar te maken? ‘Zoiets. Als de problemen zijn opgelost, bewijs het.’
Hij en andere betrokkenen bij eerdere demonstraties hebben overlegd over nieuwe acties. Concrete plannen zijn er nog niet. ‘Maar het zou stom zijn om ons hierbij neer te leggen.’
Lees ook: College van bestuur over camerabesluit: ‘We willen onze ruimtes slimmer gebruiken’