Hebben universiteiten nu een AVG-probleem met die Proctorio hack?

| AE 13077 | Privacy | 23 reacties

Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Dat meldde RTL Nieuws onlangs. Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken, of om toegang te krijgen tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Diverse studerende lezers vroegen me: heeft mijn universiteit of hogeschool nu een AVG probleem, en moeten ze nu stoppen met Proctorio?

We hebben het eerder gehad over proctoring-software, die sinds de coronacrisis breed ingezet werd. Het argument daarbij was klassiek het privacy argument: studenten moeten zichzelf digitaal blootgeven in hun huisomgeving om vermoedens van fraude uit te sluiten. De rechter is daarin niet meegegaan: fraude bij tentamens is ernstig, het gaat maar om enkele uren per tentamen dus hoe erg is dat nou helemaal. (Bovendien, hoe moet het dan bij tentamens van 300 man.)

De onderliggende aanname is dan – zoals wel vaker – dat de software an sich veilig is en doet wat ie belooft. IT’ers beginnen nu te lachen, en die snap ik ook want als er iets is dat we de afgelopen vijf jaar hebben geleerd dan is het wel dat alle software lek is, onbedoelde features heeft en als je niet uitkijkt wordt ingezet om persoonsgegevens te harvesten voor ontwikkeling van diverse AI’s.

Deze hack is in zoverre een AVG probleem dat de inzet van proctoring software onder de AVG gerechtvaardigd moet worden, en bekend onveilige software voldoet natuurlijk niet. Het Proctorio lek is ondertussen alweer gedicht zo lees ik, waardoor er dus eigenlijk geen AVG issue meer zou moeten zijn. Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.

Arnoud

Studenten protesteren tegen tentamensoftware die beelden van hun huiskamer opslaat

| AE 11897 | Informatiemaatschappij, Privacy | 25 reacties

Kijk. Dit is dus wat ik gisteren bedoelde. “Studenten ervaren software voor online tentamens als een inbreuk op hun privacy”, meldde de Volkskrant onlangs. Schandalig, je moet tijdens tentamens iemand mee laten kijken via je webcam (én je mobiel die je op 3 meter afstand op je werkplek moet richten) zodat ze kunnen nagaan of je niet fraudeert. Dat is dus geen sterk verhaal, ondanks dat je de AVG erbij kunt halen want er zitten vast ergens bijzondere persoonsgegevens in beeld (niet gniffelen daar achterin) en oh ja er kijken algoritmes mee. Nee, hier is iets anders mis.

Sinds de coronacrisis zoekt iedereen naar manieren om op afstand te kunnen werken. Dat betekent vaak vanuit huis aan de slag, en communicatie gaat dan vaak met video want dat voelt handiger (of zo, ik ben zelf te ouderwets daarvoor). Ook bij studie of school, en dan wordt het gelijk ingewikkelder want daar moet getentamineerd of getoetst worden en daarbij ligt fraude op de loer.

De oplossing waar dan naar gegrepen wordt, is toezicht. Net als in de tentamenzaal immers. Dus je webcam aan, en om te voorkomen dat het hulpje dan achter je scherm gaat zitten (of er voor? in ieder geval, waar de webcam het niet ziet) moet er dan ook nog een opstelling met je telefoon gemaakt die dan een overzichtsbeeld geeft. En algoritmes analyseren dan de beelden op fraude-achtige signalen (iemand die door het beeld loopt, met name, of dat je opstaat) waarna je in aanmerking komt voor een extra onderzoek. Nee, word ik ook niet vrolijk van als ik mijn eigen studietijd met zulke tooling zou voorstellen.

Maar is het dan echt de beste koers om over je privacy te beginnen? Dat is dus precies wat ik gisteren bedoelde, waar het mis mee gaat met dat argument. Als je tentamen doet, moet je privacy maar even wijken, is het gemakkelijke tegenargument. In de tentamenzaal mag ook je boek geïnspecteerd en in de tas kijken bij enig vermoeden, daar moet je ook maar mee leren leven. Je wilt toch dat vak halen? Nou dan.

Het is vooral: die discussie leidt af van het werkelijke punt, dat de Volkskrant in een ander artikel aanstipte: het kan zo veel beter bij afstandsonderwijs:

Denk aan een toets waarbij een studieboek gebruikt mag worden (een openboektentamen), essays, mondelinge presentaties en ‘take home examens’, een test waarbij studenten enkele uren of dagen de tijd krijgen om een opdracht thuis uit te werken. … Geluk bij een ongeluk: dit zijn stuk voor stuk toetsen die zich lenen voor een ‘formatieve beoordeling’, waarbij het er niet om gaat of je slaagt of faalt voor een opdracht, maar je duidelijk wordt gemaakt waaraan je moet werken.

Cru gezegd: een universiteit die kiest voor digital proctoring, is lui en niet geïnteresseerd in zich aanpassen aan afstandsonderwijs. Als het onderwijs anders gaat, hoort ook de toetsing dat te worden. En dat de student dan op afstand allerlei hulpbronnen in kan zetten die hij in het zaaltje niet kan, dat is dan een gegeven waarmee je vertrekt bij je beoordelingsmethodologie. Dát zou de discussie moeten zijn, en niet hoe je toestemming voor proctoring vraagt of hoe je het beste iemands laptop inspecteert op overlegsoftware.

Arnoud

Ruzie met de universiteit over een briljant idee

| AE 11704 | Intellectuele rechten | 13 reacties

Keiharde onderhandelingen, contracten onder druk tekenen of aandelen moeten afstaan. Dit soort zaken verwacht je misschien bij bedrijven, maar niet op universiteiten. Dat schreef de NOS onlangs. Universiteiten blijken soms maanden tot jaren met studenten te steggelen over contracten rondom uitvindingen en software die studenten maken. Dat verrast natuurlijk wel, want een universiteit is toch een wetenschappelijke instelling die niet direct alles zou moeten claimen dat studenten (niet eens werknemers) bedenken. Maar de praktijk is weerbarstig.

Je zou zeggen, natuurlijk kan een student de door hem of haar opgedane kennis vrij toepassen als hij afstudeert of tijdens de studie een briljant idee opdoet. Maar tot veler verrassing blijken universiteiten dan toch claims te leggen op die kennis. Vaak gaat het dan om octrooien, maar ook auteursrechten staan daarbij steeds vaker centraal: de meeste studenten ontwikkelen software (zoals apps) waarmee ze de markt op willen, en de auteursrechten op die software worden dan geclaimd.

Een belangrijk argument daarvoor is dat docenten of hoogleraren hebben meegedacht of zelfs meegewerkt aan die software of het idee. En het is nu eenmaal zo dat als twee mensen iets bedenken, ze beiden rechten kunnen claimen. Maar het voelt wel raar omdat een student toch (zeker bij de afstudeeropdrachten) juist een éigen prestatie moet neerzetten. Als je dan als prof zegt, dat heb ik mee bedacht, is er dan wel een valide afstudeerklus afgerond?

In het artikel lees ik dan ook “wat als je faciliteiten van de universiteiten hebt gebruikt, zoals een lab of printer”, maar daar krijg ik zo’n jeuk van dat ik het kort zal houden: eigendom van productiemiddelen is irrelevant bij de vraag wie intellectueel rechthebbende is. Kom op nou.

Een opvallende in het artikel is de TU/e (mijn alma mater, 1999) die de IE-rechten claimt bij inschrijvingen dat al sinds jaar en dag doet. Dit noemen zij “een voorzorgsmaatregel, omdat er veel met bedrijven wordt samengewerkt.” Want bedrijven nemen graag studenten in dienst voor stages en afstudeerklussen, maar hebben geen zin om per student te onderhandelen over de IE-rechten. Als het raamcontract tussen TU en bedrijf gewoon zegt “alle IE wordt van het bedrijf” dan gaat dat een stuk vlotter.

En nou ja, ik snap best dat als je als bedrijf een student aanneemt voor een klus, je de rechten op zijn of haar werk wilt hebben. Dat moet je apart regelen, want een stage (al dan niet in verband met afstuderen) is geen arbeidsovereenkomst en dus ben je wettelijk geen eigenaar van die rechten. Maar de TU/e regelt het wel héél vroeg, namelijk bij de inschrijving als student. Dat voelt wel een tikje sneaky want welke student-in-spe staat er op dat moment bij stil? En of het juridisch klopt, kun je ook betwijfelen: een akte van overdracht moet concreet en specifiek zijn over wát er wordt geleverd. “Al datgeen ooit gemaakt wordt” is bijvoorbeeld veel te generiek.

De koepel voor universiteiten, de VSNU, werkt nu aan een eenduidige richtlijn voor universiteiten over hoe ze met uitvindingen van studenten om moeten gaan, meldt de NOS nog. Ik ben benieuwd. Mijn suggestie: de student houdt zijn rechten, docenten claimen geen mede-eigendom tenzij concreet software van de universiteit is gebruikt en bedrijven moeten bij begin van de stage gewoon in de stage-overeenkomst regelen (met de student dus, niet de universiteit) welke rechten zij willen hebben.

Arnoud

Mag een bedrijf licenties van software afnemen op naam van een werknemer?

| AE 7167 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Ik ben student en werk bij een ICT-bedrijf. Mijn werkgever heeft me gevraagd om bij Surfspot wat software met studentenprijzen aan te schaffen zodat hij goedkoper uit is. Moet ik daaraan meewerken? En ga ik de boete krijgen als er een audit komt? Als student kun je vaak met flinke korting… Lees verder

Mag je docenten opnemen (en al dan niet op Youtube zetten?)

| AE 6476 | Ondernemingsvrijheid, Privacy | 36 reacties

Een lezer vroeg me: Op onze hogeschool krijgen wij met enige regelmaat klachten van docenten over dat hun (hoor)college’s worden opgenomen. Meestal gaat het dan om mensen die een college opnemen voor studie (later terugluisteren), maar soms komen opnames ook op Youtube terecht. Mag een docent dit verbieden of hiertegen optreden? Het opnemen van een… Lees verder