Datalek: iedereen kan meekijken bij online tentamens van Hanzehogeschool

Screenshot van surveillance-omgeving van een online tentamen – de studenten zijn uiteraard goed geblurd

Net als iedereen konden we onbeperkt meekijken hoe studenten van de Hanzehogeschool online hun tentamen maakten. Via de camera van hun telefoon gluurden we in hun kamer, zagen we ze zwoegen en keken we mee op het scherm. De Hanze is geschrokken van het lek en maakt er melding van bij de Autoriteit Persoonsgegevens.

De Hanzehogeschool zet deze periode volop in op online tentamens. Dat moet, omdat het in de pandemie niet handig is om met velen bij elkaar te komen in bedompte klaslokalen. Om te voorkomen dat studenten tijdens online tentamens vrijuit kunnen spieken, wordt digitaal gesurveilleerd met een tool van Blackboard. Het platform waarop tentamens worden afgenomen bij de Hanze, maar ook bij tig andere onderwijsinstellingen in Nederland en daarbuiten. Uit onderzoek blijkt dat de privacy van studenten niet is gewaarborgd, integendeel zelfs: we konden meekijken op de camera van de telefoon.

Een student die een tentamen maakt, meldt zich aan op het Blackboard Collaborate. Dat is de online omgeving waarop ook de surveillant van de school kan inloggen. De telefoon van de student wordt gekoppeld aan het systeem, zodat de surveillant via die camera kan meekijken tijdens het tentamen. “Je beeldscherm, bureau, handen en gezicht moeten in beeld zijn”, aldus een student. Daarnaast ziet de surveillant het internetverkeer, zodat spieken bijkans onmogelijk wordt. Op zich al een behoorlijke inbreuk op de privacy, die veel kritiek kreeg toen deze manier van online tentamens werd uitgerold in de eerste lockdown.

Veilig, volgens de Hanze

Maar de Hanze belooft op de website en bij aanvang van het tentamen plechtig dat de privacy van studenten niet in het geding is. Een student voegt daaraan toe dat bij het begin van het digitale tentamen wordt uitgelegd dat de beelden enkel voor het vaststellen van fraude zijn en niet worden opgenomen en bewaard. Ook Blackboard, aanbieder van het portaal, zegt uiterst voorzichtig en binnen alle wettelijke kaders om te gaan met de persoonsgegevens en videobeelden.

Iedereen kan meekijken

Welke uitleg ook valide is, het draait om de praktijk. Daarin wordt duidelijk dat Jan en alleman kan meekijken en opnames kan maken. Er gaan namelijk gastlinkjes rond van de digitale kamer, waar studenten en surveillanten samen in zitten. Gister aan het einde van de middag, ’s avonds en vandaag weer hebben we ingelogd op vier verschillende linkjes (die we toegestuurd kregen) van surveillancekanalen. Dat gaat zonder probleem. Het systeem werpt geen barrière op in de vorm van een wachtwoord of specifieke inlognaam. Het enige dat gevraagd wordt, is: “Typ je naam om deel te nemen aan de sessie als gast.”

Na het intikken van een willekeurige naam rollen we verder het systeem in. De eerste keren dat wij inloggen, is er geen tentamen gaande. We zien slechts de kale omgeving waarin het wachten is op de student die tentamen gaat doen. Daar wachten we niet op. We leggen de bevindingen direct voor aan de Hanze, omdat ze kwalijk zijn.

Hanzehogeschool datalek 1 hd (1)
Ongeveer twintig minuten konden we meekijken op deze stream

Eerste reactie Hanzehogeschool

Evenya Breuer, woordvoerder van de Hanze, mailt daarop:

Studenten van de Hanzehogeschool die een online tentamen hebben ontvangen twee weken voor het online tentamen een e-mail met daarin een link die verwijst naar Collaborate. Deze e-mail is persoonlijk en alleen bedoeld voor deelnemers aan een bepaald tentamen. Studenten mogen deze mail dan ook niet met derden delen (Studentenstatuut).

Collaborate is een online tool waar zowel hogescholen als universiteiten mee werken. In Collaborate vindt de surveillance plaats tijdens het tentamen.

De student die binnenkomt dient zich te legitimeren via zijn of haar studentenpas. De surveillant controleert of de student ook daadwerkelijk is ingeschreven voor het tentamen. Personen die niet staan ingeschreven voor het tentamen worden verwijderd uit de omgeving.

In de surveillancegroepen zelf zijn maximaal vier studenten zichtbaar. Dit zijn allemaal studenten die het zelfde tentamen maken.

Het tentamen vindt plaats in een volledig beveiligde omgeving en staat hier los van. We onderzoeken hoe de identificatie en surveillance kan worden verbeterd. Verbeteringen op het gebied van privacy en security heeft continue onze aandacht.

Tientallen minuten vrijelijk meekijken

‘Personen die niet staan ingeschreven voor het tentamen worden verwijderd uit de omgeving’, dat wekt vertrouwen. Maar de realiteit pakt anders uit. Vandaag loggen we opnieuw in via de vier verschillende linkjes. We komen weer zonder probleem de digitale ruimte binnen en warempel: er worden tentamens afgenomen. Op het eerste kanaal kunnen we ongestoord twintig minuten meekijken met een student die in zijn eigen huiskamer tentamen doet. In dezelfde omgeving zit ook een surveillant, maar die heeft niet door dat een onbevoegde vreemdeling meekijkt.

Pas als de student klaar is met het tentamen en uitlogt, wordt het beeld bij ons zwart. We zitten echter nog steeds in de digitale omgeving en het is, zoals al een paar dagen op dezelfde url, wachten tot de volgende student aanschuift voor het Hanzetentamen. Daar wachten we niet op, we zappen door naar kanaal dertien, waar op hetzelfde moment een tentamen wordt afgenomen. In die ruimte werken twee Hanze-studenten aan hun toets.

Surveillancekanaal 13, met rechts een pb-gesprek met de surveillant

Voelt niet goed

Via de telefooncamera kijken we wederom mee in hun privékamer en is te zien hoe ze achter de laptop broeden op antwoorden. Na dik tien minuten maken we ons kenbaar met een privébericht aan de surveillant van dienst.

Die vraagt ons eerst wie we zijn, vervolgens hoe we aan het linkje komen en tot slot of we de sessie willen verlaten. Dat doen we. Graag zelfs. Het lek is duidelijk en het voelt niet prettig om stiekem mee te kijken in iemands kamer terwijl die persoon een tentamen doet.

Zorgen bij student en advocaten

Dat vindt één van de studenten, bij wie we hebben meegekeken, ook: “Ik vind het wel wat zorgelijk dat iedereen met de link toegang kan krijgen. Als eenieder toegang heeft, kunnen ze niet waarborgen dat de beelden niet worden openomen of bewaard, wat bij aanvang van de toets wordt beloofd.”

Jasper Gevers en Daniel Schildknecht, ICT-advocaten van DeHaan Advocaten delen de zorgen van de student. Sterker: volgens hen handelt de Hanzehogeschool in strijd met de Algemene Verordening Gegevensverwerking (AVG). “De Hanze verplicht studenten om zich te laten filmen tijdens het tentamen. Omdat de school de verplichting oplegt en de surveillance-omgeving beheert, is zij volgens de AVG verwerkingsverantwoordelijke en daarmee aansprakelijk voor datalekken.”

Datalek

Dat het gaat om een datalek is volgens de advocaten duidelijk. “De volledige namen staan erbij, met het studentnummer en er worden personen gefilmd in hun privéomgeving.” Daarom moet de Hanze, melden de geleerden, een adequaat beveiligingsniveau te hanteren. “Er worden persoonsgegevens in verwerkt en dat heeft de Hanze niet voldoende beveiligd. Iedereen die de link heeft, krijgt direct en onbeperkt toegang tot de surveillance-omgeving. Door dit niet goed te beveiligen, handelt de Hanze in strijd met de AVG. Het ontstane datalek had met gebruik van een wachtwoord makkelijk voorkomen kunnen worden.”

Omdat datalekken uiterst serieus worden genomen door de Autoriteit Persoonsgegevens moet de Hanze dit datalek binnen 72 uur na het constateren melden bij de Autoriteit, weten de advocaten. “Daarnaast moet de Hanze onderzoeken of het lek ook gemeld moet worden aan de studenten. Die verplichting is van kracht indien er een risico bestaat op nadelige effecten voor betrokken als gevolg van het datalek. Aangezien de beelden een verregaande inbreuk op de privacy van de studenten vormen, denken wij dat de Hanze ze moet informeren.”

Plotseling gaan meerde pagina’s van de Hanze met de privacyvoorwaarden tijdens online tentamens offline

Opnieuw bellen met de Hanze

Meer dan genoeg reden om opnieuw contact op te nemen met Evanya. Dat gaat lastig. Meerdere telefoontjes worden vandaag niet beantwoord. Ondertussen worden de pagina’s op de website van de Hanze met uitleg over de privacy-voorwaarden bij online tentamens offline gehaald of aangepast. Zo is de pagina met extra privacy-uitleg over ‘Surveillance met behulp van externe aanbieders van diensten en software’ al uren onbereikbaar. Gelukkig appt Evanya aan het einde van de middag dat ze zo spoedig mogelijk reageert. En dat doet ze, wederom met een statement.

Allereerst had de student deze mail met link – waardoor een buitenstaander toegang  kon krijgen tot de online surveillance omgeving – niet door mogen sturen. Dit staat in het Studentenstatuut Hanzehogeschool. Wij gaan onze studenten hier nadrukkelijker op wijzen. Als Hanzehogeschool hebben wij de verantwoordelijkheid om onze online tentamens veilig te laten verlopen. Dit is vandaag niet goed gegaan en dat gaan we verbeteren. We gaan een extra controle inbouwen in de surveillanceomgeving waarbij de student na controle van de identiteit in een nieuwe surveillanceomgeving wordt geplaatst die beveiligd is. Hiermee verkleinen wij de kans dat derden onrechtmatige toegang krijgen tot onze omgeving.”

Aanvullende vragen

De verklaring roept meer vragen op dan het antwoord geeft. Daarom in reactie de volgende vragen gestuurd, die wonderwel per direct worden beantwoord, dank Evanya!

– Hebben jullie het al gemeld bij Autoriteit Persoonsgegevens of gaan jullie dat nog doen?

“Ja, we gaan uiteraard melding maken van het datalek.”

– Wat gaan jullie op korte termijn doen op het op te lossen?

“We gaan een extra controle inbouwen in de surveillanceomgeving waarbij de student na controle van de identiteit in een nieuwe surveillanceomgeving wordt geplaatst die beveiligd is. Hiermee verkleinen wij de kans dat derden onrechtmatige toegang krijgen tot onze omgeving.”

Gaan jullie de studenten benaderen die mogelijk slachtoffer zijn geworden van dit lek?

“Ja.”

Over hoeveel studenten en tentamens gaat het ongeveer?

“Het gaat om een beperkt aantal, we zijn aan het onderzoeken hoeveel precies.”

Er gaan wisselende verklaringen rond over wat er gebeurt met de beelden. Een student zegt: “Aan het begin van elk tentamen wordt uitgelegd dat de beelden enkel voor het vaststellen van fraude zijn en niet worden opgenomen/bewaard.” En gister waren de pagina’s met uitleg op jullie website daarover nog online, vandaag niet meer. Hoe zit dat?

“Nee, de beelden worden niet bewaard.”

– Waarom stel je tot twee keer toe in de reactie dat de verantwoordelijkheid voor het lekken bij de student ligt, terwijl de Hanze daar volgens de juristen (en jullie zelf ook) voor verantwoordelijk is? Lijkt een beetje op afschuiven?

“Wij zijn zeker verantwoordelijk, maar de link had niet mogen worden doorgestuurd.”

Waarom is niet direct na het bekend worden actie ondernomen? Het is twee twee dagen geleden gemeld, vandaag konden we wederom tientallen minuten meekijken.

“Vandaag is dat inderdaad niet goed gegaan, je had meteen uit de omgeving verwijderd moeten worden.”

Oh, en de RUG dan?

De Rijksuniversiteit Groningen werkt ook met Blackboard voor online tentamens. Maar dit lek bestaat bij de RUG niet, vertelt de woordvoerder: “Bij RUG gebruiken we Collaborate-sessies waarin “guest access” standaard is uitgeschakeld. We kennen geen gevallen waar dit anders is gelopen.”

Screenshot van Blackboard, zo moeilijk is dit niet te voorkomen


Psst, hier meer afleiding: