Tijdens de coronacrisis heeft de Universiteit Leiden bijna vierhonderd 'slimme camera's' ingezet zonder eerst een privacyonderzoek te doen. Dat had wel gemoeten en wordt nu alsnog gedaan. Daarnaast sprak de universiteit continu over ‘sensoren’ of ‘scanners’, waardoor het voor veel mensen niet duidelijk was dat het om videocamera’s ging. Dat meldt Universiteitsblad Mare op basis van een onderzoeksrapport dat de universiteit liet opstellen over de camera’s.
Eind december besloten medewerkers en studenten van de universiteit tegen de aanwezigheid van de "classroom scanners" te demonstreren en eisten dat de apparaten zouden worden verwijderd. Ondanks het protest liet de universiteit weten dat het de camera's zou blijven gebruiken en dat de privacy van personeel en studenten was gewaarborgd. De Universiteit Utrecht, die een proef met soortgelijke camera's deed, besloot de apparaten naar aanleiding van de onrust in Leiden echter uit te schakelen. Vervolgens ging ook het College van Bestuur van de Universiteit Leiden overstag.
Met de "classroom scanners" monitorde de universiteit hoeveel mensen er in een ruimte aanwezig zijn. Mare stelde dat de privacyinstellingen van de camera's zo waren ingesteld dat ze veel meer analyseerden dan alleen getallen. "De universiteit meldde dat de camera’s op privacyniveau 1 stonden. Uit gegevens die Mare bekeek, bleek dat minstens een camera, waarvan de login-pagina via Google was te bereiken, op privacyniveau 0 stond, en dat daarmee dus een livestream te zien was", aldus het magazine.
Een penetratietest naar de camera's leverde meerdere kwetsbaarheden op, die inmiddels door de fabrikant zijn verholpen. Naast het onderzoek naar de veiligheid van de camera's stelt functionaris gegevensbescherming Ricardo Catalan naar aanleiding van zijn onderzoek dat er een data protection impact assessment (DPIA) was vereist. Daarmee worden de privacyrisico's in kaart gebracht en hoe die kunnen worden verholpen. De universiteit liet eerder nog weten dat dit niet nodig was.
"Mijn eerste inschatting was dat het een verwerking betrof met een laag risico waarbij een DPIA niet nodig was. Deze inschatting was niet juist", reageert Catalan. Ook hekelt hij de naamgeving door de universiteit, die continu van sensoren en scanners sprak, terwijl het in werkelijkheid gewoon camera's waren. Daardoor wisten veel mensen niet dat het om camera's ging en werd de ernst van de privacykwestie onderschat.
De rapporten van het veiligheidsonderzoek en de functionaris gegevensbescherming zullen binnenkort door de universiteitsraad worden behandeld. Of de camera's weer worden ingeschakeld is op dit moment onbekend. Pas na het uitvoeren van de DPIA wordt hier verder over gepraat.
Deze posting is gelocked. Reageren is niet meer mogelijk.