‘We kunnen ons voorstellen dat jullie vragen hebben’, mailde vicevoorzitter Martijn Ridderbos maandag, mede namen collegevoorzitter Annetje Ottow en rector Hester Bijl.
‘Er is onrust (…) en dat begrijpen wij. We willen in deze mail antwoord geven op vragen die er leven en hiermee hopelijk zorgen wegnemen.’
De aanleiding was een artikel van Mare over de privacy- en beveiligingsrisico’s van de slimme camera’s – ‘classroom scanners’ volgens het college – die bij alle ingangen van universitaire gebouwen en collegezalen bleken te hangen, zonder dat studenten en medewerkers daarvan op de hoogte waren gebracht.
De mail (zie kader onderaan) behoeft een factcheck. Een paar stellingen druisen namelijk in tegen de bevindingen van Mare. Ook andere beweringen blijken bij nader inzien niet te kloppen.
1.
‘Alle scanners bevinden zich in het beveiligde netwerk.’
Volgens de universiteit kwam het door ‘een menselijke fout’ dat ‘twee’ van de 371* camera’s via het openbare internet - de eerste hit op Google voor wie zocht - waren te vinden. Een informaticastudent, die na het lezen van het artikel in Mare vorige week een korte scan uitvoerde, vond minstens drie camera’s die maandag nog openbaar benaderbaar waren, terwijl dit volgens de universiteit niet meer mogelijk was. Hij heeft het UFB geïnformeerd, en die heeft de camera’s afgeschermd.
Verder schrijft het college overigens dat ‘de universiteit kortgeleden heeft vastgesteld’ dat de camera’s zo bereikbaar waren. Mare heeft het beveiligingsrisico een week voor publicatie van het artikel gemeld, waarop de ICT-afdeling direct handelde. De woordvoering ontkende vlak voor publicatie van het artikel, bijna een week na de melding, dat de universiteit iets wist over de risico’s. ‘Dit is niet bekend bij de universiteit en er is bij ons geen melding gemaakt dat de inlogpagina’s van de scanners te vinden of te bereiken zouden zijn via Google.’
* Het eerder genoemde aantal van 350 was kennelijk naar beneden afgerond.
2.
‘De scanners van de universiteit hebben altijd op niveau 1 gestaan en daardoor is gegarandeerd dat niemand herkenbaar in beeld is geweest.’
Uit de gegevens uit augustus 2021, die Mare in handen heeft, blijkt dat op dat moment minstens één camera op privacyniveau 0 ingesteld stond. Dat is het laagste niveau, waarop gebruikers live videobeeld en analyses over onder andere leeftijd, lengte, en geslacht kunnen zien, wat mogelijk in strijd is met privacywetgeving. Er zijn toen wel degelijk mensen in beeld geweest.
3.
‘Inmiddels is uitvoerig getest met privacyniveau 3, het hoogste niveau, waarmee wel geteld wordt maar niets te zien is.’
Omdat sommige camera’s na het versturen van de mail nog via openbaar internet benaderbaar waren heeft Mare kunnen bevestigen dat die camera’s op niveau 3 zijn ingesteld. In de html van de pagina’s staat <ns5:privacy-mode>3</ns5:privacy-mode>.
Ook is te zien dat het gehashte wachtwoord nog onveranderd is sinds de melding van het beveiligingsrisico vorige week.
4.
‘…de nieuwe classroom scanners van de universiteit, die sinds de start van dit collegejaar zijn opgehangen in gebouwen en collegezalen.’
Door dit in de inleiding van de mail te zetten suggereert het bestuur dat de camera’s er pas sinds september hangen. Dat klopt niet. Veel camera’s hangen er al sinds 2020, andere sinds ‘medio 2021’. Later in de mail staat het wel correct.
5.
‘Zowel de universiteit als de leverancier kunnen geen personen zien of identificeren.’
Onduidelijk, maar dat is wel in tegenspraak met wat de universiteit eerder zei. Op de vraag over wie er toegang heeft tot de privacyinstellingen, was het antwoord: ‘Alleen een selecte groep beheerders van de leveranciers hebben toegang tot de privacyinstellingen van de scanners’.
Toen Mare om verduidelijking vroeg, was het antwoord dat ‘uitsluitend de leverancier de privacyinstellingen kan aanpassen en dit uitsluitend in opdracht van de universiteit kan doen’.
Hiermee lijkt de mogelijkheid open te staan dat de leverancier zich ook toegang kan verschaffen tot privacygevoelige beelden en informatie, aangezien met de mastercode voor de privacyinstellingen ook wachtwoorden kunnen worden veranderd.
6.
‘Tenslotte is een les die we trekken dat we meer aandacht hadden moeten besteden aan communicatie met jullie – onze medewerkers en studenten. Dit is te laat op gang gekomen, doordat alle aandacht uitging naar het ophangen, uittesten, kalibreren en valideren van dekengetallen (sic) van het nieuwe systeem. Juist vanwege alle privacyaspecten die we kunnen en willen borgen, dient dit zo goed en zorgvuldig mogelijk te gebeuren.’
Bij verhullend taalgebruik is verheldering op zijn plaats. Er staat hier in meerdere woorden dat men te druk was met de privacy-aspecten, om te communiceren over de privacy-aspecten. De universiteit heeft op meerdere momenten de kans gehad om hierover duidelijk te communiceren.
Tegen de tijd dat de universiteitsraad eind 2020 op de hoogte werd gesteld, was er al langer getest met een ‘infrastructuur van telsystemen’. Het hele project werd via een versneld traject ingevoerd vanwege corona. De universiteitsraad uitte wel zorgen over privacy, maar is niet op de hoogte gesteld van de uitgebreide mogelijkheden van de camera’s.
Pas toen Mare bij de universiteit om wederhoor vroeg over de camera’s, verscheen er een bericht op de site. Vijf minuten later kwam het antwoord: ‘de universiteit zal hierover (intern: voor studenten en medewerkers) communiceren in week 46, via de website-portals. (Aanvulling: vandaag staat het bericht online op de mdw- en studentenportal)’.
7.
‘Juist vanwege alle privacyaspecten die we kunnen en willen borgen, dient dit zo goed en zorgvuldig mogelijk te gebeuren.’
De universiteit heeft op meerdere momenten de mogelijkheid gehad om te communiceren over de risico’s. Mare heeft voor het artikel meerdere malen om wederhoor gevraagd. In eerste instantie ontkende de woordvoering dat het überhaupt camera’s zijn.
De universiteitsraad is inderdaad geïnformeerd, maar pas nadat er al scanners bij de ingangen waren opgehangen. Ook is de raad niet geïnformeerd over de mogelijkheden van de camera’s buiten het tellen van personen.
Het college van bestuur stuurde afgelopen maandag alle medewerkers en studenten onderstaande mail:
'Beste medewerkers en studenten,
We kunnen ons voorstellen dat jullie vragen hebben naar aanleiding van de artikelen in Mare en het Leidsch Dagblad van afgelopen week over de nieuwe classroom scanners van de universiteit, die sinds de start van dit collegejaar zijn opgehangen in gebouwen en collegezalen. Er is onrust over gerezen en dat begrijpen wij. We willen in deze mail antwoord geven op vragen die er leven en hiermee hopelijk zorgen wegnemen.
Wat zijn classroom scanners en waarom hangen ze in universitaire gebouwen?
In het coronajaar 2020 heeft de universiteit een telsysteem met scanners in gebruik genomen om de aanwezigheid van studenten en medewerkers in alle universitaire gebouwen te kunnen meten. Tijdens de coronapandemie is dit waardevolle informatie gebleken. Hiermee konden we (en kunnen we nog steeds) monitoren hoeveel mensen op elke locatie aanwezig zijn en kan de universiteit nagaan of we voldoen aan de regelmatig veranderende coronamaatregelen van de overheid die moeten voorzien in een optimale veiligheid voor studenten en medewerkers. Er zijn vorig jaar circa 80 telsystemen (scanners) geïnstalleerd bij de in- en uitgangen van universiteitsgebouwen, met uitzondering van de gebouwen van het LUMC.
Gekozen is voor dit systeem omdat het van de beschikbare systemen het meest nauwkeurig en onherkenbaar personen telt, onze privacy goed te waarborgen is, en aan andere systemen juist privacyrisico’s kleven, die niet uit te zetten zijn (denk aan een systeem op basis van wifi-tracking).
De ervaringen met dit systeem waren zo positief – de scanners zijn betrouwbaar, nauwkeurig en de privacy is te garanderen – dat de universiteit besloot eind 2020 om niet alleen de bezetting van de gebouwen, maar ook van de collegezalen te meten (dit leggen we hieronder verder uit), ook omdat steeds meer coronamaatregelen betrekking hadden op de collegezalen. De Privacy Officer en de Functionaris Gegevensbescherming hebben zorgvuldig naar de systemen gekeken en deze als veilig beoordeeld. Ook de Universiteitsraad heeft met de aanschaf ingestemd.
Wat is het voordeel van de scanners – wat kunnen we ermee?
Met de classroom scanners kan de universiteit gedurende elke periode van het jaar en elk moment van de dag de bezetting en benutting van onderwijszalen monitoren via een dashboard, en direct bijsturen indien nodig.
Zo kan de universiteit bijvoorbeeld bijsturen als er meer dan 75 mensen in een zaal zijn, het maximum volgens de huidige coronamaatregelen. En, buiten de pandemie draagt het bij aan relevante informatie voor onze roostermakers: voor een zaal voor 300 studenten die slechts door 60 mensen wordt gebruikt, kan een volgende keer een kleinere zaal worden geboekt. Ook komt het voor dat er collegezalen zijn geboekt, die toch niet worden gebruikt: dit noemen we ‘no show’. Dat is zonde en niet duurzaam. Door dit tijdig te signaleren middels de scanners, kan zo’n zaal snel worden vrijgegeven voor bijvoorbeeld extra studieplekken. Tenslotte leveren de gegevens over de bezetting relevante informatie op voor nieuwbouw-/verbouwplannen van de universiteit.
In de zomer van 2021 zijn daarom meer tellers opgehangen. Sinds de start van dit collegejaar hangen in totaal 371 personentellers in de universiteitsgebouwen, deze hangen niet in de gebouwen van het LUMC. Collegezalen met meerdere ingangen hebben ook meerdere tellers. Doordat de meeste scanners bij de ingang van een collegezaal hangen, noemen we ze classroom scanners.
De scanners zijn inmiddels handmatig gevalideerd en gekalibreerd, om er zeker van te zijn dat de scanners geen mensen dubbeltellen en alle uitgangen worden meegenomen, en de gegevens over bezetting en aantallen dus zo betrouwbaar mogelijk zijn.
Wat kunnen de scanners nog meer en wat zijn risico’s?
Classroom scanners hebben 4 privacy-instellingen. Deze instellingen bepalen wat de gebruiker van de software kan zien. Bij 0 komen mensen zichtbaar in beeld. Vanaf niveau 1 zie je geen personen meer in beeld, alleen vloer en looproute. Bij niveau 2 zie je alleen nog een looproute en bij niveau 3 helemaal niets meer, maar er kan nog wel geteld worden. De scanners van de universiteit hebben altijd op niveau 1 gestaan en daardoor is gegarandeerd dat niemand herkenbaar in beeld is geweest. Ook zijn/worden geen beelden vastgelegd of bewaard. Elke classroom scanner beschikt namelijk over een privacyfilter, waardoor de videostream standaard uit staat. Zowel de universiteit als de leverancier kunnen geen personen zien of identificeren.
Op advies van de Functionaris Gegevensbescherming is in 2020 een zogeheten verwerkingsovereenkomst met de leverancier opgesteld. Hierin zijn afspraken over privacy-instellingen en beveiliging nauwkeurig vastgelegd en omschreven. De overeenkomst zegt over de scanners onder meer: ‘…zetten beelden realtime om in anonieme tellingen’. En ‘Hierbij worden de beelden niet opgeslagen en verlaten deze de sensor niet’. Beelden worden dus niet bewaard. Ook is vastgelegd dat de leverancier niet bij de gegevens kan en niet bij de instellingen. De universiteit noch de leverancier kunnen mensen herkenbaar in beeld zien.
Wat is er aan de hand (geweest)?
Als extra beveiligingsmaatregel zijn de classroom scanners verbonden met een virtuele LAN (VLAN) van de universiteit. Dit is een geïsoleerd en beveiligd netwerk binnen het universitaire netwerk. Dat houdt in dat de scanners niet van buiten het universiteitsnetwerk te bereiken zijn. De universiteit heeft onlangs vastgesteld dat door een menselijke fout twee van de 371 scanners buiten dit veilige VLAN waren beland. Een van de scanners was buiten gebruik. Van de andere scanner kon je alleen via google extern zichtbaar een inlogpagina benaderen. Hierop is niets zichtbaar als je niet beschikt over inloggegevens en wachtwoord waarmee de pagina beveiligd is. Hierdoor zijn er geen gegevens van personen zichtbaar geweest of gelekt. De fout is inmiddels hersteld, alle scanners bevinden zich binnen het beveiligde netwerk.
De universiteit werkt nog maar kort met de 371 scanners, en was nog aan het testen met het systeem. De scanners stonden bij de aanvang ook om die reden op privacyniveau 1 (alleen vloer en looproute zichtbaar ten behoeve van tellingen). Inmiddels is uitvoerig getest met privacyniveau 3, het hoogste niveau, waarmee wel geteld wordt maar niets te zien is. Op basis hiervan heeft de universiteit besloten dit niveau per omgaande te handhaven. Daarnaast wil de universiteit een versnelde externe audit laten uitvoeren, om alle eventuele zorgen over het systeem weg te nemen.
Communicatie
Tenslotte is een les die we trekken dat we meer aandacht hadden moeten besteden aan communicatie met jullie – onze medewerkers en studenten. Dit is te laat op gang gekomen, doordat alle aandacht uitging naar het ophangen, uittesten, kalibreren en valideren van dekengetallen van het nieuwe systeem. Juist vanwege alle privacyaspecten die we kunnen en willen borgen, dient dit zo goed en zorgvuldig mogelijk te gebeuren. Maar dit geldt eveneens voor de communicatie, dat had dus zeker beter gekund en daar leren we van.
Meer informatie
We hopen met deze mail eventuele zorgen te hebben weggenomen en vragen te hebben beantwoord. Heb je nog andere vragen over het telsysteem en de nieuwe classroom scanners, neem dan contact op met de mensen die er alles van weten via info@ufb.leidenuniv.nl.
Met vriendelijke groet,
Martijn Ridderbos (vicevoorzitter),
Mede namens Annetje Ottow (voorzitter) en
Hester Bijl (rector magnificus)
College van Bestuur'