Hebben universiteiten nu een AVG-probleem met die Proctorio hack?

Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Dat meldde RTL Nieuws onlangs. Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken, of om toegang te krijgen tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Diverse studerende lezers vroegen me: heeft mijn universiteit of hogeschool nu een AVG probleem, en moeten ze nu stoppen met Proctorio?

We hebben het eerder gehad over proctoring-software, die sinds de coronacrisis breed ingezet werd. Het argument daarbij was klassiek het privacy argument: studenten moeten zichzelf digitaal blootgeven in hun huisomgeving om vermoedens van fraude uit te sluiten. De rechter is daarin niet meegegaan: fraude bij tentamens is ernstig, het gaat maar om enkele uren per tentamen dus hoe erg is dat nou helemaal. (Bovendien, hoe moet het dan bij tentamens van 300 man.)

De onderliggende aanname is dan – zoals wel vaker – dat de software an sich veilig is en doet wat ie belooft. IT’ers beginnen nu te lachen, en die snap ik ook want als er iets is dat we de afgelopen vijf jaar hebben geleerd dan is het wel dat alle software lek is, onbedoelde features heeft en als je niet uitkijkt wordt ingezet om persoonsgegevens te harvesten voor ontwikkeling van diverse AI’s.

Deze hack is in zoverre een AVG probleem dat de inzet van proctoring software onder de AVG gerechtvaardigd moet worden, en bekend onveilige software voldoet natuurlijk niet. Het Proctorio lek is ondertussen alweer gedicht zo lees ik, waardoor er dus eigenlijk geen AVG issue meer zou moeten zijn. Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.

Arnoud

23 reacties

    1. Je haalt wat dingen door elkaar. Het al dan niet gerechtvaardigd zijn heeft niks met een kwetsbaarheid in de software te maken. Of die! kwetsbaarheid maanden aanwezig was kan niemand zeggen, lees de nieuwsberichten vooral met een korreltje zout, want anders trekt het geen views en clicks. Zelf ben je ook vooringenomen door te spreken over spionage software. Dat maakt die gepensioneerde examenopzichter op locatie tot de nieuwe James Bond?

    2. De rechter heeft al uitgesproken dat “surveillance bij tentamens” een reden is om spyware in te zetten. Het probleem van (gebrek aan) rechtszekerheid voor de student is helaas groter dan bij een klassieke afname van examens.

      1. Zoals je zelf ook al aangeeft, alle software bevat lekken, dat wordt elke dag wel duidelijk in de media. Alleen zeggen, ‘dit lek is gedicht dus nu is het goed’, is voor mij veel te makkelijk.

        Ik lees dat er voor het laatste in 2020 een pentest is gedaan. Voor dit soort software, met vergaande permissies die je verplicht laat installeren op privé hardware, zou je een veel betere inspanningsverplichting moeten hebben dat het veilig is.

        Je kan dus denken aan elk kwartaal een pentest laat doen en een bugbounty programma met stevige beloning opzetten waardoor je daadwerkelijk je inspanningen laat zien om het veilig te maken/houden.

  1. Vreemd. Er is sprake van een lek waarbij buitenstaanders toegang kunnen hebben gehad tot veel gevoelige gegevens van een grote groep studenten. Dat lijkt mij te voldoen aan de definitie van een meldwaardig datalek aan de AP. Dat het technische probleem nu is opgelost staat daar los van.

    Je zou dan van de AP mogen verwachten dat ze , zeker op deze schaal en impact, hier aandacht aan besteden en ook goed kijken naar de maatregelen die zijn genomen om het risico te verkleinen en de oplossing te implementeren. Daarbij kan dan mooi meteen worden gekeken naar de grondslag voor het gebruik van deze software en als die er is (of zou kunnen zijn) het laten uitvoeren van een DPIA (is die wel uitgevoerd voordat men begon aan het gebruik van de software ?)

    Wat mij betreft sta je met de AVG dan toch redelijk stevig in je schoenen; Vraag naar de actuele DPIA en controleer of de AP op de hoogte is gebracht. Zo niet dan zou ik zeggen; terug naar de tekentafel voordat de software weer wordt ingezet?

      1. Art. 35.9 geeft wellicht enige ruimte waarbij wordt omschreven dat:

        “in voorkomende gevallen de verwerkings verantwoordelijke de betrokkenen of vertegenwoordigers naar hun mening vraagt over de voorgenomen verwerking”.

        Wat nu exact die “voorkomende gevallen” zijn vind ik eerlijk gezegd wel lastig te beoordelen. Maar het lijkt er wel op dat “in voorkomende gevallen” er wel degelijk inzicht een een DPIA zou moeten kunnen worden gegeven?

    1. Er is helemaal geen sprake van een lek. Er is sprake van een kwetsbaarheid in de software waar buiten de hackers die het hebben gevonden en gemeld geen enkele indicatie is dat daar ooit misbruik van gemaakt is. Zoek de definitie van een meldenswaardig datalek nog eens op en kijk dan of je dat hieronder geplaatst krijgt. Waar het bij velen mis bij gaat in dit geval is denken dat dit ook maar iets zegt over gebruik van de software nu. De kwetsbaarheid is al na 7 dagen opgelost en zegt niks over mogelijke kwetsbaarheden nu. Het enige grote vraagteken is hoelang de kwetsbaarheid er daadwerkelijk geweest is (dat weet niemand, ook RTL niet) en of er misbruik van gemaakt is. Als instellingen daar iets over kunnen zeggen, weet je pas of er iets gemeld moet worden.

      1. De kwestie is volgens mij vrij (technisch) ingewikkeld bij software, dus een analogie. Stel ik print een lijst van studenten uit met hun meest bezochte websites en ik laat deze bovenop mijn bureau liggen. Dan is de kwetsbaarheid dat iedereen die binnen loopt dit zou kunnen zien (de ruimte wordt nooit afgesloten). Ik ontdek dit weken later en los het op door het in een afsluitbare kast te leggen. Nu is de kwetsbaarheid verholpen. Maar ik heb geen enkele mogelijkheid om vast te stellen of er misbruik van is gemaakt of niet. Ik kan wel zeggen dat er geen vermoedens zijn dat er misbruik is gemaakt, wat bijna elke partij doet bij een kwetsbaarheid, maar in de werkelijkheid heb ik geen idee. Dan moet ik officieel toch de betrokken studenten informeren dat mogelijk hun data is gelekt?

        1. Daar heb je de richtlijnen van de WP29/EDPB voor. In jouw voorbeeld hoef je niet te melden en studenten niet te informeren. Dat zou tot onnodige paniek leiden. Stel iemand heeft een foto van je papieren gemaakt. Is die hypothetische mogelijk waar geen enkele indicatie toe is behalve dat er een mogelijkheid was, voldoende om een risico voor rechten en vrijheden van betrokkenen aan te nemen? Nee. Zijn er nu papieren verdwenen of heb je andere indicaties dat de gegevens rond gaan, dan zou ik melden. Analogieën werken overigens zeer slecht, hier ga je al snel over heel andere zaken praten.

  2. Denk dat het wat kort door de bocht is. Een belangrijk onderdeel in de analyse of de inzet van Proctorio gerechtvaardigd is, is de maatregelen die je neemt om risico’s voor de betrokkene te beperken. Dit lek toont aan dat die risico’s groter zijn dan gedacht en dat de mogelijke impact groter is dan gedacht: tijden lang potentiëel toegang tot de webcam omdat de school vindt dat er spyware geïnstalleerd moet staan. De balansoefening moet dus opnieuw: is de noodzaak er nog steeds en is dit nog steeds proportioneel gelet op het risico?

    Ik zou nog maar moeten zien of de gerechtvaardigd belang afweging daar voldoende tegenover kan stellen.

    1. De rechter heeft bepaald dat het in de noodsituatie toegestaan is onder het algemeen belang. Ik zou een kwetsbaarheid geen lek noemen, er worden dagelijks kwetsbaarheden gevonden in software. De risico’s veranderen hierdoor amper. Studenten zijn ook steeds geadviseerd de plugin na gebruik te verwijderen, daarmee was je al niet meer kwetsbaar. Dat niemand dat doet is weer iets anders.

      De balansoefening is veel belangrijker om te doen na veranderende omstandigheden post-corona. Dit verhaal is enorm opgeklopt door RTL.

  3. Mmm ik zie een groter probleem:

    Deze software is opgezet op thuisnetwerken die ook gebruikt wordt voor thuiswerk. –> Alle bedrijven waar er kinderen in de woning zijn, zullen hier toch mee aan de slag moeten.

    Het lijkt me logisch dat ze vragen stellen aan de onderwijsinstellingen en ze veiligheidshalve reeds formeel in gebreke stellen. Potje breken is potje betalen.

    Ja ik weet ook wel dat de juridische afdelingen dit waarschijnlijk wel zullen kunnen terugduwen, maar dat kost ook tijd en geld. Bovendien hebben de juridische afdelingen dan ook formeel naar de software oplossing gekeken. Zij houden meestal niet van deze verantwoordelijkheid.

  4. Zou zelf een workaround maken. Image maken speciaal voor maken tentamens, daar de vereiste software op plaatsen, alleen wat strict noodzakelijk is voor het tentamen, tentamen maken, en gelijk systeem weer re-imagen, zodat alles weer weg is. Systeem komt dan ook in een dedicated netwerk dat niet op de rest van het thuisnetwerk kan.

  5. Jeroen

    Ik ook, maar dat vraagt wel wat ict kennis. Een aparte nieuwe laptop lijkt me trouwens veiliger en voor iedereen doenbaar. Kost uiteraard wel wat.

    Bovendien moet je proactief handelen en een image kunnen maken dat nergens aankan. Ik denk dat minder dan 1% van de thuisnetwerken een gescheiden “gast” netwerk heeft en waarschijnlijk minder dan 5% die mogelijkheid überhaupt heeft.

  6. Hebben de universiteiten niet een groter probleem met aansprakelijkheid? Je zou maar in je blootje zijn gefilmd door de hack in de software die de universiteit je heeft opgelegd. Kan een universiteit zich succesvol op overmacht beroepen?

  7. Het Proctorio lek is ondertussen alweer gedicht zo lees ik

    Het lek is niet gedicht zodra een verbeterde versie van beschikbaar komt, maar pas wanneer de laatste lekke versie bij alle gebruikers verwijderd is. Hoe garandeer je dat er nergens meer een lekke Proctorio-plugin rond hangt? Als je als onderwijsinstelling van studenten eist om zeer invasieve en daarmee inherent riskante software te installeren, zou het dan niet verstandig zijn om die software zo te maken dat die zichzelf na x uren automatisch kompleet verwijdert? Lijkt me niet zo moeilijk om zo’n functie in te bouwen. Is er sprake van nalatigheid wanneer die functie er niet is?

  8. “Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.”

    Zou er dan niet eerst een onafhankelijk onderzoek moeten volgen? Als er iets kapot is aan de basis van je huis, dan mag je ook niet zomaar terug naar binnen – dan gaat op zijn minst de brandweer, en op zijn best een bouwkundig ingenieur, eerst een controle uitvoeren.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.