Online Surveillance bij Universiteiten

Een groot aantal van de Nederlandse Universiteiten en Hogescholen zijn op dit moment bezig met het testen van surveillance software om daarmee tentamens op afstand af te kunnen nemen. Deze software wordt ‘Online Proctoringsoftware’ genoemd. De Proctoringsoftware neemt de besturing van jouw webcam en computerscherm over, zodat fraude tot een minimum beperkt kan worden. Daarnaast maakt de software opnames van de student door middel van de webcam en maakt het opnames van het computerscherm. Deze opnames kunnen op een later tijdstip in gezien worden door de examencommissies. Minister van Onderwijs, Cultuur en Wetenschap van Engelshoven gaf aan dat het gebruik van de Online Proctoringsoftware door de Universiteiten niet in strijd is met de Algemene Verordening Gegevensbescherming (AVG), mits er aan de wettelijke vereisten wordt voldaan. Dit gaf zij aan in haar beantwoording op de vragen van Kamerlid Futselaar. Maar is dat wel zo? En aan welke vereisten moet dan worden voldaan?

Privacy vs. Tijdsdruk

De Minister gaf aan dat het gebruik van proctoringsoftware vraagt om een grondige voorbereiding en uitvoering. Een klein aantal Universiteiten, waaronder de Universiteit van Leiden heeft al een pilot met proctoringsoftware gedaan. Maar het gros van de Universiteiten maakt voor het eerst kennis met deze manier van tentaminering en begint nu pas met een pilot. Daarentegen zullen de universiteiten de proctoringsoftware snel uit moeten rollen als ze hun doel willen verwezenlijken, namelijk; zo weinig mogelijk studievertraging bij studenten.

Het twistpunt in dezen is de mogelijke studievertraging die de studenten op zullen lopen versus een inbreuk op de persoonlijke levenssfeer van studenten door het gebruik van proctoringsoftware. Je zou kunnen stellen dat door het gebruik van de proctoringsoftware studenten geen studievertraging op lopen en derhalve studenten en de universiteit er baat bij hebben. Het gebruik van de proctoringsoftware valt op die manier misschien te rechtvaardigen, echter moet de inbreuk van de proctoringsoftware op de persoonlijke levenssfeer van de studenten tot een minimum beperkt worden. Vooralsnog hebben de universiteiten hier geen uitsluitsel over kunnen geven.

Een oplossing hiervoor is om de studenten om toestemming te vragen om gefilmd te mogen worden. De toestemming moet in vrijheid gegeven worden en het niet geven van toestemming mag geen nadelige gevolgen hebben voor de student. Concluderend dat er een alternatief moet zijn voor leerlingen die geen toestemming geven en dat zij niet benadeeld mogen worden ten opzichte van studenten die wel toestemming geven. Een groot nadeel hiervan is dat het een enorm administratieve last is voor de universiteiten.

Overwegingen

Als de student toestemming heeft gegeven voor het filmen van zijn persoon tijdens een tentamen wil dit niet zeggen dat daarmee de kous af is voor de universiteit. Een inbreuk op de persoonlijke levenssfeer van de student van deze gradatie neemt een groot aantal overwegingen met zich mee. Overwegingen die betrekking hebben op de te nemen technische en organisatorische maatregelen om de inbreuk op de persoonlijke levenssfeer van de studenten tot een minimum te beperken.

  1. Technische maatregelen

Bij online proctoringsoftware zullen studenten een stukje software moeten downloaden om gebruik te kunnen maken van de online tentaminering. Hoe waarborgt de universiteit dat altijd de juiste software wordt gedownload? En hoe wordt er gewaarborgd dat de proctoringsoftware niet door kwaadwillenden wordt gehacked of tijdens een tentamen te maken krijgt met een DDOS-aanval?

Universiteiten zullen minimaal een leverancier van proctoringsoftware moeten vinden die ISO27001 gecertificeerd is en kan bewijzen dat de software veilig genoeg is om te gebruiken, bijvoorbeeld middels een uitgebreid pentestrapport door een onafhankelijke derde. Dit neemt niet weg dat de universiteiten, alsnog zelf verantwoordelijk zijn voor een goede beveiliging van de software en te allen tijde verwerkingsverantwoordelijk zijn voor de te verwerken persoonsgegevens.

  1. Organisatorische maatregelen

Naast technische maatregelen zullen de universiteiten ook organisatorische maatregelen moeten nemen om de inbreuk te verminderen. De studenten worden gefilmd in hun eigen leefomgeving, ter voorkoming van fraude. Daarop zullen de universiteiten zichzelf de vraag moeten stellen welke personen die beelden in mogen zien. Waarom en hoelang bewaren de universiteiten de beelden? Wordt er live meegekeken met de studenten en waarom? En hoe voorkom je dat er te veel (bijzondere) persoonsgegevens worden verwerkt? Hoe zorg je ervoor dat er geen geautomatiseerde besluitvorming m.b.t. fraude plaatsvindt?

De universiteiten zullen er zorg voor moeten dragen dat het aantal personen dat de beelden kan raadplegen minimaal is en dat zij deze beelden enkel op mogen en kunnen vragen met een dringende reden. Daarnaast moet er afgebakend worden welke personen van het proctoringbedrijf de beelden kan in zien en met welke reden. Maar vooral ook voor hoelang de beelden opgeslagen mogen worden. De beelden mogen niet langer opgeslagen worden dan strikt noodzakelijk.

Verder moeten de universiteiten er zorg voor dragen dat ze enkel persoonsgegevens verwerken die strikt noodzakelijk zijn voor het afnemen van het tentamen. Dus geen gegevens over computergebruik buiten het tentamen om of beelden van bijzondere persoonsgegevens, zoals uitingen van politieke voorkeur of ras en etniciteit. En universiteiten moeten er zorg voor dragen dat er geen geautomatiseerde besluitvorming plaatsvindt. Dat betekent dat als de software fraude detecteert dat dit bekrachtigd dient te worden door de Examencommissie.

  1. Informatieverstrekking

Studenten dienen duidelijk en ondubbelzinnig geïnformeerd te worden over de persoonsgegevens die door de proctoringsoftware verwerkt worden. Welke gegevens van hen verwerkt worden, waarom deze verwerkt worden en hoe de universiteit ervoor zal zorgen dat er voldoende technische en organisatorische maatregelen worden getroffen om de inbreuk op de persoonlijke levenssfeer tot een minimum te beperken. Daarnaast dienen de universiteiten de studenten te informeren over hun rechten die voortvloeien uit de AVG en zullen ze deze ook moeten kunnen honoreren. Daarnaast zullen universiteiten er rekening mee moeten houden dat het identificeren van de student niet mag via de Identiteitskaart van de student, maar dat dit op een andere minder ingrijpende manier dient te gaan.

  1. Overige overwegingen

Gezien het feit dat het filmen van studenten in hun huiselijke omgeving kan leiden tot een enorme inbreuk op hun persoonlijke levenssfeer, dienen de universiteiten een zogenaamde Data Protection Impact Assessment (DPIA) uit te voeren. Ze zullen er ook rekening mee moeten houden dat de videobeelden en overige persoonsgegevens enkel opgeslagen mogen worden binnen de Economische Europese Ruimte. En ze zullen een verwerkersovereenkomst moeten sluiten met de leverancier.

Concluderend

De voorgaande overwegingen zijn niet limitatief. Dat betekent dat de universiteiten nog veel te doen hebben alvorens ze de online proctoringsoftware volledig kunnen uitrollen. In het kader van ‘better safe than sorry’ ben ik van mening dat universiteiten eerst hun zaken goed op orde moeten hebben en voldoende duidelijkheid kunnen bieden over het onderwerp, alvorens ze het als een nieuwe maatstaaf gaan gebruiken.

;