Universiteit Leiden deed geen privacyonderzoek naar inzet ‘slimme camera’s’

Universiteit Leiden deed geen privacyonderzoek naar inzet ‘slimme camera’s’

Tijdens de coronacrisis heeft de Universiteit Leiden bijna vierhonderd ‘slimme camera’s’ ingezet zonder eerst een privacyonderzoek te doen. Dat had wel gemoeten en wordt nu alsnog gedaan. Daarnaast sprak de universiteit continu over ‘sensoren’ of ‘scanners’, waardoor het voor veel mensen niet duidelijk was dat het om videocamera’s ging. Dat meldt Universiteitsblad Mare op basis van een onderzoeksrapport dat de universiteit liet opstellen over de camera’s.

Eind december besloten medewerkers en studenten van de universiteit tegen de aanwezigheid van de “classroom scanners” te demonstreren en eisten dat de apparaten zouden worden verwijderd. Ondanks het protest liet de universiteit weten dat het de camera’s zou blijven gebruiken en dat de privacy van personeel en studenten was gewaarborgd. De Universiteit Utrecht, die een proef met soortgelijke camera’s deed, besloot de apparaten naar aanleiding van de onrust in Leiden echter uit te schakelen. Vervolgens ging ook het College van Bestuur van de Universiteit Leiden overstag.

Met de “classroom scanners” monitorde de universiteit hoeveel mensen er in een ruimte aanwezig zijn. Mare stelde dat de privacyinstellingen van de camera’s zo waren ingesteld dat ze veel meer analyseerden dan alleen getallen. “De universiteit meldde dat de camera’s op privacyniveau 1 stonden. Uit gegevens die Mare bekeek, bleek dat minstens een camera, waarvan de login-pagina via Google was te bereiken, op privacyniveau 0 stond, en dat daarmee dus een livestream te zien was”, aldus het magazine.

Een penetratietest naar de camera’s leverde meerdere kwetsbaarheden op, die inmiddels door de fabrikant zijn verholpen. Naast het onderzoek naar de veiligheid van de camera’s stelt functionaris gegevensbescherming Ricardo Catalan naar aanleiding van zijn onderzoek dat er een data protection impact assessment (DPIA) was vereist. Daarmee worden de privacyrisico’s in kaart gebracht en hoe die kunnen worden verholpen. De universiteit liet eerder nog weten dat dit niet nodig was.

“Mijn eerste inschatting was dat het een verwerking betrof met een laag risico waarbij een DPIA niet nodig was. Deze inschatting was niet juist”, reageert Catalan. Ook hekelt hij de naamgeving door de universiteit, die continu van sensoren en scanners sprak, terwijl het in werkelijkheid gewoon camera’s waren. Daardoor wisten veel mensen niet dat het om camera’s ging en werd de ernst van de privacykwestie onderschat.

De rapporten van het veiligheidsonderzoek en de functionaris gegevensbescherming zullen binnenkort door de universiteitsraad worden behandeld. Of de camera’s weer worden ingeschakeld is op dit moment onbekend. Pas na het uitvoeren van de DPIA wordt hier verder over gepraat.

Bron: https://www.security.nl/posting/768856/Universiteit+Leiden+deed+geen+privacyonderzoek+naar+inzet+%27slimme+camera%27s%27?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.