Anoushka Kloosterman en Mark Reid
woensdag 17 november 2021
Tijdens de lockdown heeft de universiteit bij alle ingangen van gebouwen en collegezalen slimme camera’s opgehangen. Die zijn bedoeld om personen te tellen, maar ze kunnen veel meer. Experts maken zich zorgen. ‘Een boete zou erg pijnlijk zijn.’

1. ‘Way more than people counting’

Het is nauwelijks meer dan een voetnoot, waarmee de universiteitsraad in oktober 2020 wordt geïnformeerd dat de universiteit wil overgaan op ‘geautomatiseerde bezoekersregistratie’. Het idee: met een ‘infrastructuur met telsystemen’ kan de universiteit ‘gedurende elke periode van het jaar en elk moment van de dag de bezetting en benutting van onderwijszalen monitoren’, ‘structureel managementinformatie vergaren’, en ‘direct bijsturen indien nodig’. De gebruikelijke methode om aan het begin van elk semester handmatig steekproeven te nemen was namelijk te arbeidsintensief.

Er is haast bij. Het bestuur wil dit systeem met een versneld traject goedgekeurd krijgen: ‘Gezien het belang van dit voorgenomen besluit voor de informatievoorziening inzake het zalengebruik in het licht van de maatregelen vanwege de coronacrisis.’

De universiteitsraad is bezorgd over de privacy, maar laat zich geruststellen door het college. Er worden namelijk ‘geen persoonsgegevens vastgelegd’, zegt het bestuur. Het systeem wordt namelijk ‘gevoed door zogenaamde “3D-visualisatie”’, en die levert ‘kengetallen op die in het dashboard worden gebruikt’.

Zo gebeurt het dat de universiteit, als de deuren vanwege de lockdown nog gesloten zijn, 350 slimme camera’s aanschaft à 600 euro per stuk (update: het blijken er 371 te zijn). Ze worden meteen geplaatst bij de ingangen van universitaire gebouwen om bezoekersaantallen bij te houden. Sinds ‘medio 2021’ hangen ze voor de deur van elke collegezaal.

De Xovis PC2S sensor die boven de ingang van collegezalen hangt.

Classroom scanners, noemt universiteitswoordvoerder Caroline van Overbeeke ze na vragen van Mare. ‘Deze personentellers registreren uitsluitend aantallen, er worden geen andere gegevens vastgelegd, dus geen persoonskenmerken geregistreerd of opgeslagen.’

De term ‘classroom scanners’ komt kennelijk van de universiteit zelf, want die is verder nergens terug te vinden.

Het zijn camera’s van de Zwitserse fabrikant Xovis, en die kunnen veel meer dan tellen. De camerasensoren zijn uitgerust met kunstmatige intelligentie die de beelden constant analyseert. Naast tellen, kunnen ze looproutes volgen van de voorbijgangers, hun lengtes weergeven, inschatten hoe oud personen zijn, wat hun geslacht of humeur is, en zelfs kijken of iemand een gezichtsmasker draagt.

Die data maken uitgebreide analyses mogelijk. Soortgelijke camera’s hangen bijvoorbeeld ook op vliegvelden, waar de analyses worden gebruikt om wachttijden te verminderen. In winkels analyseren ze of en hoe lang klanten naar reclame kijken en op welk moment ze beslissen iets te kopen. Sinds de pandemie moedigt Xovis potentiële kopers aan om de scanners in te zetten om te handhaven op social distancing, en hebben ze mondkapjesdetectie geïntroduceerd.

Kortom, de universiteit mag het ‘personentellers’ noemen, de fabrikant gebruikt een andere slogan: ‘Way more than people counting.’

2. Volledig anoniem of een live-feed

Inmiddels hangen de onopvallende kastjes op elke faculteit, inclusief Den Haag. Alleen het Leids Universitair Medisch Centrum heeft ze niet. In de behuizing zitten twee ronde openingen met daarachter een camera. Niemand kan onopgemerkt onder de sensor doorlopen.

Eén gang in het Kamerlingh Onnes-gebouw, waar de Rechtenfaculteit zit, is bijzonder goed uitgerust. Om de paar meter, boven iedere deur van een werkgroepzaal, hangt een Xovis-sensor. Het plafond is hoog, ongeveer vier meter. Volgens de fabrikant kan elke camera vanaf die hoogte een gebied in de gaten houden van 7,50 bij 4,20 meter. Met alle camera’s bij elkaar is dat goed genoeg om de lange gang bijna volledig in beeld te houden.

‘Bij zo’n overkill-systeem heb je de morele plicht om vertrouwenwekkende maatregelen te nemen’

In tegenstelling tot wat de universiteit beweert, zijn de scanners niet zo afgesteld dat ze uitsluitend aantallen weergeven. Dat zit zo: de camera maakt eerst een videobeeld van de omgeving, de kunstmatige intelligentie filtert er vervolgens data uit: man, vrouw, kind, werknemer, lengte, looproute. De hoeveelheid data die de gebruiker te zien krijgt, en hoe anoniem, hangt af van de instellingen.

Er zijn vier niveaus, van 0 t/m 3: op het hoogste veiligheidsniveau (3) ziet de gebruiker alleen gegevens over het aantal voorbijgangers, volledig anoniem. Op de iets lagere niveaus ziet de gebruiker abstracte bolletjes bewegen met bijvoorbeeld informatie over lengte of leeftijd. Op het laagste level (0) zijn er geen beperkingen en geven de sensoren een livefeed van de camerabeelden, waarop personen duidelijk herkenbaar te zien zijn.

De universiteit laat weten dat de camera’s op ‘niveau 1’ zijn afgesteld, het een-na-laagste level. ‘Zodat mensen niet herkenbaar zijn en uitsluitend als silhouetten geregistreerd worden’, zegt Van Overbeeke. ‘De universiteit garandeert dat zij geen specifieke kenmerken van personen registreert.’ Volgens haar wordt dit ‘geborgd op elk privacyniveau van de scanners, zowel het laagste (0) als het hoogste (3)’.

Foto Taco van der Eb/Mare

Wie het systeem wil aanpassen naar een lager niveau, en dus meer informatie wil verzamelen, heeft daarvoor een zogeheten ‘master key’ nodig. De universiteit laat aan Mare weten dat het Universitair Facilitair Bedrijf het systeem beheert, maar niet de master key bezit. ‘Uitsluitend de leverancier kan de privacy-instellingen aanpassen en doet dit uitsluitend in opdracht van de universiteit.’

 3. Slechte en achterhaalde beveiliging

Als een systeem in staat is grote hoeveelheden data binnen te harken, moet de beveiliging op orde zijn. Dat is hier niet het geval. De inlogpagina van de camera’s was tot vorige week de eerste hit op Google voor wie ‘Xovis Universiteit Leiden’ intikte. Na vragen van Mare is de pagina afgeschermd.

Deze niet-beschermde pagina, die alleen met een wachtwoord beveiligd leek te zijn, gaf toegang tot de gegevens die de camera’s verzamelen, maar mogelijk ook tot verschillende privacy-instellingen.

‘Dit hoort absoluut niet via openbaar internet benaderbaar te zijn’

Mare vroeg ethisch hacker Sijmen Ruwhof de pagina te bekijken. ‘Dit soort beheerders-inlogschermen horen absoluut niet via openbaar internet benaderbaar te zijn, net zoals reguliere camerabeveiliging dat ook niet is’, reageert hij. ‘Omdat het systeem http (geen slotje, red.) in plaats van het veilige https (mét slotje, red.) gebruikt, gaat het wachtwoord dat je invult onversleuteld en dus leesbaar over het internet, via alle tussenstations van jouw computer naar de server van de universiteit. Van een professionele instelling is dat erg onverstandig, dat hoort gewoon echt niet meer. Het lijkt een slecht geïmplementeerd systeem te zijn waar niet goed over is nagedacht.’

Ook niet-ingelogde gebruikers kunnen via de pagina aardig wat informatie verzamelen. Zo zijn verschillende instellingen van de camera’s af te lezen voor niet-ingelogde gebruikers.

En: er staat ook een opvallende regel die meer verklapt over het niveau van de privacy-instellingen: ‘<privacy-mode> 0 </privacy-mode>’ (zie kader).

4. De morele plicht van een overkill-systeem

‘Iedere verwerking van persoonsgegevens is een inbreuk op iemands privacy’, zegt een woordvoerder van de Autoriteit Persoonsgegevens (AP). ‘Daar moet je een wettelijke basis voor hebben, een “grondslag”, in AVG-taal. Hoe groter de inbreuk op de privacy, hoe groter het belang moet zijn. Anders gezegd: het doel moet de middelen heiligen. Die afweging moet een organisatie van tevoren maken.’

‘Als de camera’s meer functionaliteiten aan hebben staan, is dat illegaal’

Als handhaver van de privacywet wil de AP niet ingaan op individuele casussen waar de instantie zelf geen onderzoek naar heeft gedaan.

Maar de woordvoerder wil wel een algemene toelichting geven. ‘Bij het volgen van mensen op grote schaal, ligt de lat erg hoog. En je moet je als organisatie ook altijd de vraag stellen: kan ik dit doel ook bereiken met minder zware middelen, dus zónder een grote inbreuk te doen op de privacy van mensen?’

‘Het tellen van aanwezigheid lijkt me op zich een gerechtvaardigd doel’, zegt Bart Jacobs, hoogleraar security, privacy & identity aan de Radboud Universiteit. ‘Maar als de camera’s meer functionaliteiten aan hebben staan, is dat illegaal.’

Data-minimalisatie is een begrip in de privacywetgeving. Kortgezegd houdt het in dat een organisatie niet meer gegevens mag verzamelen dan strikt noodzakelijk is voor het beoogde doel. Wie wil weten hoeveel mensen er op een bepaald moment in een collegezaal zijn, hoeft dus niet te weten of dat mannen of vrouwen zijn, en of ze blij kijken of niet. Dat soort bijvangst is niet toegestaan.

Tekst gaat door onder kader.

Rondvliegende wachtwoorden

Uit onderzoek van Mare blijkt dat de digitale toegang tot de Xovis-sensoren verschillende veiligheidsproblemen met zich meebrengt.

Wie ‘Xovis Universiteit Leiden’ googelt komt meteen uit bij het inlogscherm voor de administrator. Bij het openen van het inlogscherm verschijnt meteen een melding van de browser die een veiligheidsrisico detecteert. De pagina zou onveilig zijn omdat het gebruikt maakt van het oudere, onversleutelde http en niet het veiligere https.

‘Voor een professionele instelling is dat erg onverstandig’, aldus ethisch hacker Sijmen Ruwhof.

De html-code achter de pagina laat nog meer onzorgvuldigheden zien. Niet-ingelogde bezoekers kunnen uit de html van het inlogscherm al verschillende instellingen van het apparaat inzien. De temperatuur, de hoeveelheid licht die de sensor oppikt, en naar welke server de data gaan zijn open en bloot te lezen.

In een gearchiveerde kopie van de inlogpagina uit augustus staat: ‘<privacy-mode> 0 </privacy-mode>’. Als dat inderdaad het actuele privacyniveau is van de Xovis-camera’s zou dat betekenen dat in ieder geval op dat moment de camera’s op het laagste, onbeperkte privacyniveau stonden. Volgens Xovis betekent dit: ‘No restrictions. Live video image stream and tracked persons paths are shown.’

Uit verdere analyse bleek dat de inlogpagina zelfs het wachtwoord in versleutelde vorm laat zien aan niet-ingelogde gebruikers. Wie door de html bladert, leest ‘<password enc=\”true\”>bxJF…’ (ingekort om veiligheidsredenen). Even verderop in de code is ook te zien met welk algoritme dit versleutelde wachtwoord gemaakt is, wat de mogelijkheid biedt om het te kraken en toegang te krijgen tot het systeem. Door het gebruik van een zogenoemde salt op het wachtwoord is dat kraken weliswaar moeilijker, maar ook deze salt is in de code terug te vinden. Of de mastercode van het systeem ook op deze manier te achterhalen is, is niet duidelijk.

Dit is volgens Ruwhof opnieuw een teken van onzorgvuldigheid: ‘Het MD5-algoritme dat hier gebruikt wordt voor het opslaan van het wachtwoord staat al zo’n vijftien jaar bekend als echt onveilig. Dat het versleutelde wachtwoord door de server naar de gebruiker wordt gestuurd is bizar en zou nooit nodig moeten zijn als het systeem veilig was opgezet. De combinatie van deze twee zwakheden levert een ernstig beveiligingsrisico op.’

In het kader van responsible disclosure heeft Mare deze risico’s voor publicatie van dit artikel gemeld aan de universiteit. Naar aanleiding hiervan heeft de universiteit de inlogpagina’s afgeschermd van het openbare internet. Het ISSC laat aan Mare weten de veiligheidsrisico’s laag in te schatten.

Jacobs: ‘Strikt juridisch gezien mag je een systeem gebruiken met meer functionaliteiten dan alleen personen tellen, zolang je de andere functies niet gebruikt. Maar als je zo’n overkill-systeem als dit aanschaft, vind ik dat je als universiteit op z’n minst de morele plicht hebt om daar maximaal vertrouwenwekkende maatregelen omheen te nemen. Bijvoorbeeld dat er regelmatig een onafhankelijke audit plaatsvindt. Ook moet duidelijk zijn wie, onder welke omstandigheden, de privacy-instellingen mag veranderen.’

Die regels gelden ook als de beelden direct omgezet worden in data, zoals Xovis doet. ‘Ook verwerkingen van persoonsgegevens ‘op de sensor’ zijn gewoon verwerkingen van persoonsgegevens’, meldt de woordvoerder van AP.

‘Wel kán het zo zijn dat door gegevens te anonimiseren op de sensor er een kleinere inbreuk op de privacy plaatsvindt dan bij centrale verwerking, en dat daardoor de afweging tussen de inbreuk en de opbrengst eerder uitvalt richting: het mag. Maar let wel: anonimiseren is heel moeilijk, vooral bij langdurige monitoring waar ook locatie en gedrag een belangrijke rol spelen. Daarnaast geldt dat er mogelijk toch een groot risico overblijft als de anonimisering op de sensor heel eenvoudig van afstand uit te schakelen is’, aldus AP.

5. Gevoelige persoonsgegevens

Jacobs is het met de Autoriteit Persoonsgegevens eens dat de camera’s persoonsgegevens verwerken. ‘Zodra je op een moment in het proces herkenbaar beeld hebt, zijn er persoonsgegevens. En wat hier een rol bij speelt: volgens de wet bestaan er naast persoonsgegevens ook gevoelige persoonsgegevens, dat gaat over etniciteit, religie of gezondheid. Met camerabeeld kun je dat vaak al bepalen. Dus dit systeem doet ook aan verwerking van gevoelige persoonsgegevens. Dat moet met extra waarborgen omkleed zijn, vastgelegd in een DPIA.’

Een DPIA, oftewel een data protection impact assessment, is een analyse die een organisatie moet uitvoeren voordat ze gegevens verwerken met een hoog privacyrisico. Volgens de Autoriteit Persoonsgegevens is er onder andere sprake van een hoog risico als je ‘op grote schaal bijzondere persoonsgegevens verwerkt’ of ‘op grote schaal en systematisch mensen volgt in publiek toegankelijk gebied’.

De onafhankelijke gegevensfunctionaris van de universiteit, Ricardo Catalan, is echter van oordeel dat een DPIA in dit geval niet nodig was. ‘De camera’s registreren slechts een fractie van een moment herkenbare beelden voordat de beelden omgezet worden tot onherkenbare beelden (silhouetten). Vervolgens worden de onherkenbare beelden doorgestuurd voor verdere verwerking. Dat valt allemaal onder de overeenkomst die de universiteit heeft afgesloten met de leverancier.’

Volgens hem is het risico dat hackers de beelden voor anonimisering ontvreemden zeer klein. Bovendien zou ‘de impact beperkt zijn’ voor de gefilmde personen. ‘De universiteit is een open instelling en de ingang van een gebouw met collegezalen is vrij toegankelijk.’

Wel heeft hij geadviseerd om een verwerkersverklaring op te stellen. De universiteit wil echter geen inzage geven in het enige document waarin afspraken over de dataverwerking zijn vastgelegd.

‘Er is getest met infrarood-scanners, wifi-signalen of CO₂-waarden’

‘Het is niet gebruikelijk om zo’n overeenkomst te delen, onder andere vanwege veiligheidsaspecten’, zegt woordvoerder Van Overbeeke. ‘In principe staat in de overeenkomsten dat de externe partij in opdracht van de universiteit persoonsgegevens verwerkt en dat deze voor geen enkel ander doel mogen worden gebruikt, behalve op instructie van de universiteit. Andere afspraken betreffen de locatie van opslag (in de EU waar mogelijk), bewaartermijnen, hulp bij incidenten, afspraken bij datalekken, et cetera.’

6. Boete zou pijnlijk zijn

‘Als de Autoriteit Persoonsgegevens gaat handhaven omdat camera’s meer functionaliteit aan hebben staan dan nodig kan dat tot een grote boete leiden’, zegt Jacobs. ‘Sterker nog, iedere student of medewerker kan bij de AP een handhavingsverzoek indienen. Zo’n boete zou erg pijnlijk zijn voor de universiteit.’

Waarom kiest de universiteit voor een superslim en duur systeem als dat niet mag worden gebruikt? Volgens Van Overbeeke zijn er ‘de afgelopen jaren betrouwbaarheidstesten uitgevoerd’ om mensen te tellen. ‘Er is getest met infrarood-scanners en methodieken om wifi-signalen of CO₂-waarden te vertalen naar het aantal aanwezigen. De uitkomsten bleken onvoldoende betrouwbaar. Uiteindelijk bleken de huidige scanners het meest betrouwbaar.’

Foto Taco van der Eb/Mare

De camera’s hangen er een jaar. Desondanks besloot de universiteit pas deze week medewerkers en studenten op de hoogte te stellen.

Een jaar na dato, terwijl Mare wachtte op wederhoor voor dit artikel, verscheen er dinsdagavond opeens een bericht op de site: ‘Nu in de afgelopen weken al de scanners op de juiste plek zijn opgehangen, willen we je graag informeren over deze dienstverlening.’

Op de vraag waarom de camera’s niet op de meeste anonieme beveiligingsstand staan, liet Van Overbeeke weten: ‘Nu alle installatie- en kalibratiewerkzaamheden afgerond zijn, gaat de universiteit onderzoeken of het volgende privacyniveau (2) geen negatieve invloed heeft op de betrouwbaarheid van de tellingen.’

#cameragate

Lees ook

Achtergrond
College van bestuur over camerabesluit: ‘We willen onze ruimtes slimmer gebruiken’
Vice-collegevoorzitter Martijn Ridderbos legt uit waarom de slimme camera’s volgens hem weer aangezet kunnen worden. ‘Dit systeem komt ook niet ons als bestuur ten goede, maar met name de studenten en medewerkers.’
Nieuws
Het einde van #Cameragate: bestuur legt zich neer bij kritiek en zet camera’s uit
Nieuws
Universiteitsraad stemt tegen camera’s: ‘Dit is invasief, niet-proportioneel en moet weg’
Columns & opinie
Waarom het lozen van de classroom scanners de enige rationele keuze is
Nieuws
Open brief aan universiteitsraad: ‘Laat de camera’s uit’