Hebben universiteiten nu een AVG-probleem met die Proctorio hack?

| AE 13077 | Privacy | 23 reacties

Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Dat meldde RTL Nieuws onlangs. Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken, of om toegang te krijgen tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Diverse studerende lezers vroegen me: heeft mijn universiteit of hogeschool nu een AVG probleem, en moeten ze nu stoppen met Proctorio?

We hebben het eerder gehad over proctoring-software, die sinds de coronacrisis breed ingezet werd. Het argument daarbij was klassiek het privacy argument: studenten moeten zichzelf digitaal blootgeven in hun huisomgeving om vermoedens van fraude uit te sluiten. De rechter is daarin niet meegegaan: fraude bij tentamens is ernstig, het gaat maar om enkele uren per tentamen dus hoe erg is dat nou helemaal. (Bovendien, hoe moet het dan bij tentamens van 300 man.)

De onderliggende aanname is dan – zoals wel vaker – dat de software an sich veilig is en doet wat ie belooft. IT’ers beginnen nu te lachen, en die snap ik ook want als er iets is dat we de afgelopen vijf jaar hebben geleerd dan is het wel dat alle software lek is, onbedoelde features heeft en als je niet uitkijkt wordt ingezet om persoonsgegevens te harvesten voor ontwikkeling van diverse AI’s.

Deze hack is in zoverre een AVG probleem dat de inzet van proctoring software onder de AVG gerechtvaardigd moet worden, en bekend onveilige software voldoet natuurlijk niet. Het Proctorio lek is ondertussen alweer gedicht zo lees ik, waardoor er dus eigenlijk geen AVG issue meer zou moeten zijn. Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.

Arnoud

Deel dit artikel

  1. Vreemd. Er is sprake van een lek waarbij buitenstaanders toegang kunnen hebben gehad tot veel gevoelige gegevens van een grote groep studenten. Dat lijkt mij te voldoen aan de definitie van een meldwaardig datalek aan de AP. Dat het technische probleem nu is opgelost staat daar los van.

    Je zou dan van de AP mogen verwachten dat ze , zeker op deze schaal en impact, hier aandacht aan besteden en ook goed kijken naar de maatregelen die zijn genomen om het risico te verkleinen en de oplossing te implementeren. Daarbij kan dan mooi meteen worden gekeken naar de grondslag voor het gebruik van deze software en als die er is (of zou kunnen zijn) het laten uitvoeren van een DPIA (is die wel uitgevoerd voordat men begon aan het gebruik van de software ?)

    Wat mij betreft sta je met de AVG dan toch redelijk stevig in je schoenen; Vraag naar de actuele DPIA en controleer of de AP op de hoogte is gebracht. Zo niet dan zou ik zeggen; terug naar de tekentafel voordat de software weer wordt ingezet?

      • Art. 35.9 geeft wellicht enige ruimte waarbij wordt omschreven dat:

        “in voorkomende gevallen de verwerkings verantwoordelijke de betrokkenen of vertegenwoordigers naar hun mening vraagt over de voorgenomen verwerking”.

        Wat nu exact die “voorkomende gevallen” zijn vind ik eerlijk gezegd wel lastig te beoordelen. Maar het lijkt er wel op dat “in voorkomende gevallen” er wel degelijk inzicht een een DPIA zou moeten kunnen worden gegeven?

    • Er is helemaal geen sprake van een lek. Er is sprake van een kwetsbaarheid in de software waar buiten de hackers die het hebben gevonden en gemeld geen enkele indicatie is dat daar ooit misbruik van gemaakt is. Zoek de definitie van een meldenswaardig datalek nog eens op en kijk dan of je dat hieronder geplaatst krijgt. Waar het bij velen mis bij gaat in dit geval is denken dat dit ook maar iets zegt over gebruik van de software nu. De kwetsbaarheid is al na 7 dagen opgelost en zegt niks over mogelijke kwetsbaarheden nu. Het enige grote vraagteken is hoelang de kwetsbaarheid er daadwerkelijk geweest is (dat weet niemand, ook RTL niet) en of er misbruik van gemaakt is. Als instellingen daar iets over kunnen zeggen, weet je pas of er iets gemeld moet worden.

      • De kwestie is volgens mij vrij (technisch) ingewikkeld bij software, dus een analogie. Stel ik print een lijst van studenten uit met hun meest bezochte websites en ik laat deze bovenop mijn bureau liggen. Dan is de kwetsbaarheid dat iedereen die binnen loopt dit zou kunnen zien (de ruimte wordt nooit afgesloten). Ik ontdek dit weken later en los het op door het in een afsluitbare kast te leggen. Nu is de kwetsbaarheid verholpen. Maar ik heb geen enkele mogelijkheid om vast te stellen of er misbruik van is gemaakt of niet. Ik kan wel zeggen dat er geen vermoedens zijn dat er misbruik is gemaakt, wat bijna elke partij doet bij een kwetsbaarheid, maar in de werkelijkheid heb ik geen idee. Dan moet ik officieel toch de betrokken studenten informeren dat mogelijk hun data is gelekt?

        • Daar heb je de richtlijnen van de WP29/EDPB voor. In jouw voorbeeld hoef je niet te melden en studenten niet te informeren. Dat zou tot onnodige paniek leiden. Stel iemand heeft een foto van je papieren gemaakt. Is die hypothetische mogelijk waar geen enkele indicatie toe is behalve dat er een mogelijkheid was, voldoende om een risico voor rechten en vrijheden van betrokkenen aan te nemen? Nee. Zijn er nu papieren verdwenen of heb je andere indicaties dat de gegevens rond gaan, dan zou ik melden. Analogieën werken overigens zeer slecht, hier ga je al snel over heel andere zaken praten.

  2. Denk dat het wat kort door de bocht is. Een belangrijk onderdeel in de analyse of de inzet van Proctorio gerechtvaardigd is, is de maatregelen die je neemt om risico’s voor de betrokkene te beperken. Dit lek toont aan dat die risico’s groter zijn dan gedacht en dat de mogelijke impact groter is dan gedacht: tijden lang potentiëel toegang tot de webcam omdat de school vindt dat er spyware geïnstalleerd moet staan. De balansoefening moet dus opnieuw: is de noodzaak er nog steeds en is dit nog steeds proportioneel gelet op het risico?

    Ik zou nog maar moeten zien of de gerechtvaardigd belang afweging daar voldoende tegenover kan stellen.

    • De rechter heeft bepaald dat het in de noodsituatie toegestaan is onder het algemeen belang. Ik zou een kwetsbaarheid geen lek noemen, er worden dagelijks kwetsbaarheden gevonden in software. De risico’s veranderen hierdoor amper. Studenten zijn ook steeds geadviseerd de plugin na gebruik te verwijderen, daarmee was je al niet meer kwetsbaar. Dat niemand dat doet is weer iets anders.

      De balansoefening is veel belangrijker om te doen na veranderende omstandigheden post-corona. Dit verhaal is enorm opgeklopt door RTL.

  3. Mmm ik zie een groter probleem:

    Deze software is opgezet op thuisnetwerken die ook gebruikt wordt voor thuiswerk. –> Alle bedrijven waar er kinderen in de woning zijn, zullen hier toch mee aan de slag moeten.

    Het lijkt me logisch dat ze vragen stellen aan de onderwijsinstellingen en ze veiligheidshalve reeds formeel in gebreke stellen. Potje breken is potje betalen.

    Ja ik weet ook wel dat de juridische afdelingen dit waarschijnlijk wel zullen kunnen terugduwen, maar dat kost ook tijd en geld. Bovendien hebben de juridische afdelingen dan ook formeel naar de software oplossing gekeken. Zij houden meestal niet van deze verantwoordelijkheid.

  4. Zou zelf een workaround maken. Image maken speciaal voor maken tentamens, daar de vereiste software op plaatsen, alleen wat strict noodzakelijk is voor het tentamen, tentamen maken, en gelijk systeem weer re-imagen, zodat alles weer weg is. Systeem komt dan ook in een dedicated netwerk dat niet op de rest van het thuisnetwerk kan.

  5. Jeroen

    Ik ook, maar dat vraagt wel wat ict kennis. Een aparte nieuwe laptop lijkt me trouwens veiliger en voor iedereen doenbaar. Kost uiteraard wel wat.

    Bovendien moet je proactief handelen en een image kunnen maken dat nergens aankan. Ik denk dat minder dan 1% van de thuisnetwerken een gescheiden “gast” netwerk heeft en waarschijnlijk minder dan 5% die mogelijkheid überhaupt heeft.

  6. Het Proctorio lek is ondertussen alweer gedicht zo lees ik

    Het lek is niet gedicht zodra een verbeterde versie van beschikbaar komt, maar pas wanneer de laatste lekke versie bij alle gebruikers verwijderd is. Hoe garandeer je dat er nergens meer een lekke Proctorio-plugin rond hangt? Als je als onderwijsinstelling van studenten eist om zeer invasieve en daarmee inherent riskante software te installeren, zou het dan niet verstandig zijn om die software zo te maken dat die zichzelf na x uren automatisch kompleet verwijdert? Lijkt me niet zo moeilijk om zo’n functie in te bouwen. Is er sprake van nalatigheid wanneer die functie er niet is?

  7. “Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.”

    Zou er dan niet eerst een onafhankelijk onderzoek moeten volgen? Als er iets kapot is aan de basis van je huis, dan mag je ook niet zomaar terug naar binnen – dan gaat op zijn minst de brandweer, en op zijn best een bouwkundig ingenieur, eerst een controle uitvoeren.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS