Omstreden classroom scanners met ’bespiedsoftware’ bij Universiteit Leiden hadden technische gebreken: beelden bekijken zonder inloggen

Een Xovis PC2S-camera in het Lipsius. De 371 camera’s staan sinds eind vorig jaar uit.© Archieffoto Taco van der Eb

Wilfred Simons
Leiden

Het universitaire weekblad Mare heeft inzage gekregen in een onderzoeksrapport waaruit zou blijken dat de omstreden ’classroom scanners’ van de Universiteit Leiden technische gebreken hadden. Het was mogelijk om de beelden van sommige camera’s te bekijken zonder in te loggen. Daarnaast waren de wachtwoorden ouderwets en slecht beveiligd, constateert data protection officer Ricardo Catalan van de universiteit.

De universiteit liet in 2020 boven de toegangen van haar gebouwen en collegezalen 371 camera’s ophangen van het merk Xovis. Met intelligente ’bespiedsoftware’ kan het camerasysteem bijhouden hoeveel mensen in een universitair gebouw of collegezaal aanwezig zijn.

Lees ook: Universiteit zet omstreden classroom scanners één dag aan in gebouw Lipsius, voor test

De motivatie om dit systeem aan te schaffen, was dat de universiteit zo kan voorkomen dat er meer mensen in de gebouwen aanwezig zijn dan toegestaan. Tijdens de coronaperiode had de rijksoverheid hieraan beperkingen gesteld.

Onderzoeksjournalisten van Mare toonden aan dat Xovis veel meer kan dan alleen mensen tellen. Het systeem kan, als het zo wordt ingesteld, gezichten herkennen en individuen volgen. Weliswaar zegt de universiteit dat zij dat niet doet, maar vooral studenten waren enorm boos.

De universiteit moet de leden van haar gemeenschap niet bespieden, maar ze juist leren hoe ze hun vrijheid kunnen behouden in een door en door gedigitaliseerde samenleving.

Demonstratie

De actiegroep ’Unsee Us’ hield een grote demonstratie in het gebouw Wijnhaven in Den Haag om de universiteit op andere gedachten te brengen. Ook de Universiteitsraad, die het college van bestuur toestemming had gegeven om ’telapparatuur’ te kopen voor universitaire gebouwen, was verontwaardigd. De UR-leden vonden dat vicevoorzitter Martijn Ridderbos zijn mandaat vér had opgerekt.

Uit onderzoek van Catalan blijkt dat het gebruik van de ’classroom scanners’ inderdaad een ’hoog privacy risico’ met zich meebrengt. De universiteit kan de camera’s niet zomaar aanzetten, ook al heeft leverancier Xovis de beveiligings- en de inlogproblemen verholpen. Zo’n hoog risico ontstaat als organisaties ’op grote schaal bijzondere persoonsgegevens verwerken’ of ’op grote schaal en systematisch mensen volgen in publiek toegankelijk gebied’.

Voordat dit mag, moet de universiteit eerst een ’data protection impact assessment’ (DPIA) uitvoeren. Dat doet de universiteit nu. De uitkomsten van dit onderzoek zijn mede bepalend voor de vraag of de camera’s weer aangaan.

Net binnen