Datalek schrikt Hanzehogeschool Groningen op: ‘Iedereen kon meekijken met tentamens’

Studenten maken online een tentamen

De Hanzehogeschool Groningen is onaangenaam verrast door een datalek. De online tentamens van studenten waren niet goed beveiligd, waardoor iedereen kon meekijken hoe studenten hun tentamens maakten. De onderwijsinstelling zegt een extra controle in te bouwen en het lek door te geven aan de Autoriteit Persoonsgegevens.

Stadsblad Sikkom schrijft uitgebreid over het voorval.

Zo maken studenten online hun tentamen op de Hanzehogeschool Groningen

Vanwege de coronapandemie maken studenten van de Hanzehogeschool Groningen hun tentamens online. De hogeschool gebruikt hiervoor een tool die Blackboard Collaborate heet. Studenten die een tentamen hebben, ontvangen vooraf een e-mail met daarin een link om in te loggen op het systeem. Om te controleren dat studenten niet spieken, kunnen ook surveillanten inloggen op Blackboard Collaborate.

Een student vertelt tegenover het stadsblad dat zijn smartphone aan het systeem is gekoppeld, zodat de surveillant kan meekijken tijdens het tentamen. Hij geeft aan dat “beeldscherm, bureau, handen en gezicht” zichtbaar in beeld moeten zijn. De surveillant heeft eveneens inzage in het internetverkeer van de student, om examenfraude te voorkomen.

‘Anderen kunnen stiekem meekijken met online tentamens’

Studenten van de Hanzehogeschool Groningen klagen al geruime tijd dat ze deze manier van surveilleren een inbreuk op hun privacy vinden. De onderwijsinstelling belooft dat de privacy van studenten gewaarborgd wordt. De beelden worden enkel gebruikt om fraude vast te stellen, ze worden niet opgenomen en bewaard.

Op papier klinkt dit misschien mooi, maar in praktijk is de privacy van studenten ernstig in het geding. Iedereen die wil kan namelijk ongemerkt meekijken als studenten via Blackboard Collaborate een tentamen maken. Sikkom krijgt meerdere malen een gastlink toegestuurd van surveillancekanalen en kan de redactie van het blad heimelijk meekijken. Ze heeft geen gebruikersnaam of wachtwoord nodig: het enige dat gevraagd wordt is om een naam in te voeren om deel te nemen aan de sessie als gast.

Hogeschool: ‘Tentamen vindt plaats in een beveiligde omgeving’

Een woordvoerder van de Hanzehogeschool vertelt dat studenten twee weken van tevoren een e-mail ontvangen over hun online tentamen. Dit bericht mogen ze niet delen met anderen. Studenten moeten zich met hun studentenpas legitimeren, waar een surveillant op toeziet. In de surveillancegroepen zijn maximaal vier studenten zichtbaar, die allemaal hetzelfde tentamen maken. Personen die niet staan ingeschreven voor een tentamen, worden naar eigen zeggen uit de digitale omgeving verwijderd.

Hoe het kan dat anderen ongemerkt kunnen meekijken, kan de woordvoerder geen antwoord geven. “Het tentamen vindt plaats in een volledig beveiligde omgeving en staat hier los van. We onderzoeken hoe de identificatie en surveillance kan worden verbeterd. Verbeteringen op het gebied van privacy en security heeft continue onze aandacht.”

Nog steeds mogelijk om mee te kijken na melding van het probleem

Nadat Sikkom het probleem aan de kaak heeft gesteld bij de Hanzehogeschool, stopt het onderzoek van het stadsblad niet. Een dag later krijgt het blad wederom meerdere gastlinkjes opgestuurd. Ze kunnen nog steeds inloggen zonder aanvullende gegevens te verstrekken. Ditmaal zijn er tentamens gaande. Sikkom kan ruim twintig minuten meekijken zonder dat iemand iets in de gaten heeft. Pas als het tentamen is afgerond springt het scherm op zwart.

Via de smartphonecamera kijkt Sikkom mee in de privékamer van een student. Het is goed te zien dat ze haar best doet om het tentamen te maken. Na tien minuten besluit de redactie van het blad om via een privébericht aan de surveillant kenbaar te maken dat ze stiekem heeft meegekeken met het online tentamen. Die vraagt of hij de sessie wil verlaten.

Advocaten: ‘Hogeschool overtreedt AVG’

Sikkom heeft het voorval voorgelegd aan twee ICT-advocaten. Zij stellen dat er onmiskenbaar sprake is van een datalek: de volledige naam en het studentnummer van de studenten die een tentamen maken zijn zichtbaar in beeld. Daarnaast worden er, op last van de onderwijsinstelling, personen gefilmd. “De Hanze verplicht studenten om zich te laten filmen tijdens het tentamen. Omdat de school de verplichting oplegt en de surveillance-omgeving beheert, is zij volgens de AVG verwerkingsverantwoordelijke en daarmee aansprakelijk voor datalekken.”

De advocaten stellen dat er persoonsgegevens worden verwerkt en dat de Hanzehogeschool de beveiliging niet op orde heeft. “Iedereen die de link heeft, krijgt direct en onbeperkt toegang tot de surveillance-omgeving. Het ontstane datalek had met gebruik van een wachtwoord makkelijk voorkomen kunnen worden.” De onderwijsinstelling overtreedt in hun ogen dan ook de Algemene Verordening Gegevensbescherming (AVG).

De advocaten benadrukken dat de hogeschool het lek binnen 72 uur moeten doorgeven aan de Autoriteit Persoonsgegevens. Tevens moet de school onderzoeken hoe dit heeft kunnen gebeuren en het lek melden aan studenten die hierdoor getroffen zijn.

Hanzehogeschool belooft beterschap

Na wat aandringen reageert de woordvoerder van de Hanzehogeschool opnieuw. Zij stelt dat de student de e-mail van de hogeschool met daarin de link om deel te kunnen nemen aan het tentamen nooit had mogen doorsturen. Met deze link konden buitenstaanders toegang krijgen tot de online surveillance-omgeving. De onderwijsinstelling gaat studenten daar nadrukkelijk op wijzen.

De woordvoerder erkent dat de Hanzehogeschool verantwoordelijk is voor het veilig verlopen van online tentamens. Dat is niet goed gegaan en zal worden aangepakt. “We gaan een extra controle inbouwen in de surveillanceomgeving waarbij de student na controle van de identiteit in een nieuwe surveillanceomgeving wordt geplaatst die beveiligd is. Hiermee verkleinen wij de kans dat derden onrechtmatige toegang krijgen tot onze omgeving”, aldus de woordvoerder.

Hoeveel studenten precies de dupe zijn van het datalek, wordt nog onderzocht. Studenten die mogelijk slachtoffer daarvan zijn, worden op de hoogte gebracht. De hogeschool gaat hiervan melding doen bij de Autoriteit Persoonsgegevens.

Toezichthouder onderzoekt privacy en beveiliging digitaal thuisonderwijs

De toezichthouder ontving afgelopen jaar een groot aantal klachten van studenten, docenten, leerlingen en ouders over digitaal thuisonderwijs. Zij vrezen dat hun privacy hierdoor in het geding is en dat de beveiliging van de systemen te wensen overlaat. De privacywaakhond beloofde vorig jaar april om een onderzoek in te stellen naar de privacyzorgen van thuiseducatie. De resultaten van dit onderzoek zijn nog altijd niet openbaar.

Bestuurslid van de AP Katja Mur zei destijds dat studenten geen slachtoffer mochten worden van de coronacrisis. “Alle leerlingen moeten zonder stempel kunnen opgroeien. Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen. Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken.”

Update (19 januari 2021): de Hanzehogeschool Groningen heeft besloten om een groot aantal tentamens uit te stellen. Die zouden aanvankelijk deze week worden afgenomen. Nu gebeurt dat pas in de eerste week van februari. Sommige studenten zijn niet blij met het besluit, omdat hun stage daarmee in gevaar komt. “Tegen de tijd dat ik hem moet inhalen, loop ik veertig uur in de week stage. Ik heb geen idee hoe ik dan moet leren voor dit belangrijke tentamen”, zo vertelt deze student tegenover Sikkom.

Een woordvoerder van de Hanzehogeschool laat weten dat de onderwijsinstelling aan een oplossing werkt voor de online surveillance. Zowel op haar eigen website als op Twitter biedt de hogeschool zijn “oprechte excuses” aan voor wat er is misgegaan, de verwarring en de onrust. De onderwijsinstelling stimuleert studenten om contact op te nemen met de opleiding als ze vragen hebben over het datalek of de tentamens.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen