Datalek bij Hanzehogeschool Groningen: ongenode gasten kunnen meekijken bij online tentamens van studenten

De Hanzehogeschool. Beeld ter illustratie. Foto Corné Sparidaens

De Hanzehogeschool Groningen heeft de surveillance van online tentamens bij studenten niet goed beveiligd. Via een link kunnen ongenode gasten meekijken in studentenkamers.

Dat blijkt uit onderzoek van stadsblog Sikkom . Studenten maken tentamens vanwege het coronavirus online, via de tool Blackboard Collaborate. Dat is de online omgeving waarop ook de surveillant van de school kan inloggen. De surveillant kan via de camera van de telefoon van de student meekijken.

Een student vertelt aan Sikkom dat het bureau, de handen en het gezicht in beeld moeten zijn. De surveillant kan bovendien het internetverkeer van de student inzien. Dit om spieken te voorkomen.

Privacy

Studenten klaagden al eerder over deze verregaande vorm van controle. Het zou een grote inbreuk zijn op de privacy. De Hanzehogeschool belooft op haar website dat de privacy niet in het geding is.

Toch blijkt het systeem verre van waterdicht. Via een gastlink die Sikkom toegestuurd krijgt, kan de blog meekijken tijdens tentamens. De Hanzehogeschool wordt om een reactie gevraagd.

Woordvoerder Evenya Breuer stelt dat de mail met de link waarover Sikkom beschikt persoonlijk is. ,,Studenten mogen deze mail dan ook niet met derden delen’’, stelt Breuer. ,,Personen die niet staan ingeschreven voor het tentamen worden verwijderd uit de omgeving.’’

Surveillant heeft niets door

Dat blijkt niet te kloppen. Als Sikkom via dezelfde linkjes nogmaals inlogt, is te zien hoe een student zijn tentamen in de huiskamer doet. In de digitale omgeving zit ook een surveillant, maar die heeft niet door dat een onbevoegde meekijkt. Pas als de student klaar is met zijn tentamen, gaat het beeld op zwart.

Volgens Jasper Gevers en Daniel Schildknecht, ICT-advocaten van De Haan Advocaten, handelt de Hanzehogeschool in strijd met de Algemene Verordening Gegevensverwerking (AVG). ,,De Hanze verplicht studenten om zich te laten filmen tijdens het tentamen. Omdat de school de verplichting oplegt en de surveillance-omgeving beheert, is zij volgens de AVG verwerkingsverantwoordelijke en daarmee aansprakelijk voor datalekken.’’

Datalek

Dat het gaat om een datalek, is volgens de advocaten duidelijk. ,,De volledige namen staan erbij, met het studentnummer en er worden personen gefilmd in hun privéomgeving.’’

Daarom moet de Hanzehogeschool een adequaat beveiligingsniveau te hanteren, vinden de twee. ,,Er worden persoonsgegevens in verwerkt en dat heeft de Hanze niet voldoende beveiligd. Iedereen die de link heeft, krijgt direct en onbeperkt toegang tot de surveillance-omgeving. Het ontstane datalek had met gebruik van een wachtwoord makkelijk voorkomen kunnen worden.”

Omdat datalekken uiterst serieus worden genomen door de Autoriteit Persoonsgegevens, moet de Hanzehogeschool dit datalek binnen 72 uur na het constateren melden bij de Autoriteit.

,,Daarnaast moet de Hanze onderzoeken of het lek ook gemeld moet worden aan de studenten. Die verplichting is van kracht indien er een risico bestaat op nadelige effecten voor betrokken als gevolg van het datalek. Aangezien de beelden een verregaande inbreuk op de privacy van de studenten vormen, denken wij dat de Hanze ze moet informeren.’’

Nadat Sikkom voor een tweede keer kan meekijken, komt woordvoerder Breuer van de Hanzehogeschool met een nieuwe reactie: ,,Allereerst had de student deze mail met link – waardoor een buitenstaander toegang  kon krijgen tot de online surveillance omgeving – niet door mogen sturen. Dit staat in het studentenstatuut Hanzehogeschool. Wij gaan onze studenten hier nadrukkelijker op wijzen.’’

,,Als Hanzehogeschool hebben wij de verantwoordelijkheid om onze online tentamens veilig te laten verlopen. Dit is vandaag niet goed gegaan en dat gaan we verbeteren. We gaan een extra controle inbouwen in de surveillanceomgeving waarbij de student na controle van de identiteit in een nieuwe surveillanceomgeving wordt geplaatst die beveiligd is. Hiermee verkleinen wij de kans dat derden onrechtmatige toegang krijgen tot onze omgeving.’’

Rijksuniversiteit Groningen

De Rijksuniversiteit Groningen werkt met hetzelfde systeem, maar bij die onderwijsinstelling hebben gasten geen toegang. ,,We kennen geen gevallen waarin dit anders is gelopen’’, laat een woordvoerder weten.

Je kunt deze onderwerpen volgen
Groningen
menu