ANS

Om mensen zover te krijgen om vanmiddag te gaan protesteren, stuurde AKKUraatd een mail naar alle studenten. Op Twitter ontstond daarop een discussie over hoe de roodbroeken aan de digitale adresgegevens van de gehele Nijmeegse studentenpopulatie kwam. Thijs van Reekum, student filosofie en politicologie, voormalig SIAM-fractievoorzitter en portefeuillehouder onderwijs van de Jonge Democraten (D66), maakt zich kwaad over deze gang van zaken. In principe ben ik niet tegen protesteren. Sterker nog, het democratisch recht op protest is een zeer belangrijk recht tegen mogelijke totalitaire regimes. Het helpt onderdrukking voorkomen. De student wordt door het huidige kabinet in zijn belang geraakt met de komende bezuinigingen en een tegengeluid is daarom begrijpelijk. De mail van AKKUraatd om de student op te roepen om zich te manifesteren tegen de komende bezuinigingen is dan ook niet verwonderlijk. Echter, hoe komt AKKUraatd aan mijn studentenmailadres? De enige die daartoe beschikking heeft, is de universiteit. Toen ik vanmiddag op de universiteit kwam, bleek iedereen die mail te hebben gehad. De universiteit heeft AKKUraatd dus toestemming gegeven om haar boodschap naar alle e-mailadressen te versturen. Buiten dat dit volstrekt tegen alle privacyregels ingaat, ben ik ook gewoon boos dat de universiteit mijn persoonlijke gegevens doorgeeft aan derde partijen. En wat het allemaal nog erger maakt is dat de mail verzonden is van het gmailadres van AKKUraatd. Dit betekent dat zij toegang heeft gekregen tot de e-mailadressen van alle studenten en dat het dus niet om een eenmalige mail gaat die vanuit de universiteit zelf is verzonden. Hoe haalt de universiteit het in haar hoofd om de e-mailadressen van alle studenten door te geven aan een (subjectieve) partij! Het moge duidelijk zijn: ik protesteer tegen deze actie van AKKUraatd en de universiteit. Noot van de redactie: De mail is, zoals in de discussie hieronder wordt besproken, inderdaad door Dienst Studentenzaken zelf verstuurd. AKKUraatd heeft dus geen toegang gekregen tot de persoonlijke e-mailadressen van studenten.

 

De stelling van deze maand: Vrijheid in Nederland is een illusie Tekst: Auke van der Veen Dit artikel verscheen eerder in de juni-ANS In Nederland mag je vinden en schrijven wat je wil. Zo plaatste hoogleraar Marcel Wissenburg naar aanleiding van een vleesvrije maandag laatst op Facebook dat hij vond dat de universiteitskantine van de Radboud Universiteit (RU) was overgenomen door nazi’s. De grondwet stelt dat wij dit soort vrijheden hebben en dit recht wordt door velen met hand en tand verdedigd. Aan de wet zitten echter grenzen, want mensen moeten zich ook aan regels houden. Zo werd Wissenburg na zijn opmerking nog op het matje geroepen door de universiteit omdat het bericht schadelijk zou zijn voor het imago van de RU. Andere vrijheidsbeperkingen in Nederland zouden bijvoorbeeld de recente afluisterpraktijken van de AIVD en de verhoogde alcoholleeftijd zijn. Hoe vrij zijn we eigenlijk in onze samenleving? Bepalen we ons eigen leven, of is vrijheid een illusie? Nico van Eijk, hoogleraar Informatierecht aan de Universiteit van Amsterdam ‘Vrijheid is altijd een illusie. De grondwet geeft heel nauwkeurig aan waar de rechten van burgers en instituten beginnen, maar ook waar deze eindigen. Je kunt bijvoorbeeld niet zomaar iemand vermoorden. Wij hebben in de samenleving dan wel afspraken met elkaar gemaakt waarin we onze vrijheden hebben vastgelegd, maar daar zitten simpelweg beperkingen aan. ‘Op het gebied van privacy kunnen we nog veel vrijer worden dan we nu zijn. Veel Nederlanders denken dat in ons land vrijheid volop aanwezig is, omdat we zoiets als censuur of journalistieke onvrijheid weinig tegenkomen. Toch is er in vergelijking met het buitenland nog veel ruimte voor verbetering. Het is verontrustend dat bijvoorbeeld de privacygevoelige informatie ook direct naar de woningbouwvereniging gaat wanneer iemand anoniem zijn buurman aangeeft omdat deze een cannabisplant op zolder zou hebben. Vandaag de dag zijn dankzij technologische ontwikkelingen zelfs alleen maar meer mensen bezig met het doen van dit soort anonieme aangiftes, ook al zouden we sinds de Tweede Wereldoorlog moeten weten dat dit vrijheidsbeperkende NSB-praktijken zijn. ‘De vrijheid van denken en bewegen in Nederland wordt beperkt doordat je weet dat je permanent wordt gemonitord. Dit komt doordat in Nederland met mass surveillance grootschalig ongericht data mag worden verzameld. Het gaat dan vrijwel uitsluitend om data van onschuldige burgers, zoals bij cameratoezicht op straat. Het feit dat ieders gegevens op elk moment mogen worden verzameld en gebruikt, leidt ertoe dat mensen in de praktijk bepaalde dingen niet meer willen zeggen of doen. Dat zijn zogenaamde chilling effects. Iemand is dan minder vrij omdat diegene bijvoorbeeld geen gevoelige e-mail naar een collega durft te sturen of het idee heeft dat iedere beweging op straat wordt gevolgd en daarom zijn gedrag gaat aanpassen.’ Jean-Pierre Wils, hoogleraar Praktische Filosofie aan de RU ‘Vrijheid is geen illusie. Een illusie zou betekenen dat we in een soort vrijheidsdroom zitten die niets met de realiteit te maken heeft. Dat is niet zo, want je kunt niet zomaar de regering omver werpen. Als zoiets gemakkelijk mogelijk zou zijn, wordt leven in een samenleving totaal onmogelijk. Door de externe beperkingen, die bestaan uit wetten en regels, kunnen we juist een vrij leven leiden, ondanks bijvoorbeeld de toenemende controle van geheime diensten. ‘Burgers onderschatten vaak de vrijheden die ze hebben. Ook al zijn er in Nederland beperkingen die ons niet direct vrijer maken, we wonen niet in China of Rusland. Bijna iedereen zal zeggen dat we in een maatschappij leven waarin de vrijheid van het individu in het algemeen wordt gerespecteerd. In Nederland bestaat er namelijk geen autoritaire, sanctionerende macht die mensen ervan weerhoudt hun dagelijks leven in te richten zoals ze willen, mits ze natuurlijk geen misdaden plegen. ‘Het is niet zo dat wij vandaag de dag minder vrij zijn dan in de jaren twintig of dertig. Toen werden burgers nog volop in hun vrijheid beperkt door controlerende sociale instituties en maatschappelijke rollen. Wij zijn tegenwoordig vrijer, omdat de invloed van bijvoorbeeld religieuze tradities is afgenomen. Ook hebben we veel beter onderwijs gehad en zijn daardoor beter ontwikkeld, waardoor we meer mogelijkheden hebben in ons leven. ‘Zoiets als de NSA beperkt misschien de vrijheid indirect, maar zulke controle weerhoudt je er niet van om vanavond televisie te kijken of morgen te staken als reactie op een besluit van de overheid. In onze samenleving bestaan er namelijk zogenaamde zones van overleg waarin burgers op basis van beargumenteerde communicatie besluiten kunnen nemen. Het bestaan van deze overlegstructuren in Nederland bewijst het bestaan van vrijheid.’ Klik hiervoor de overige artikelen uit de juni-ANS.

 

Je hoeft niet meer uren rond te dwalen in de fietskelder onder Plein 1944 voor een leeg plekje waar je je fiets kwijt kunt. Vanaf vandaag geeft een fietsdetectie- en verwijssysteem van het Nijmeegse bedrijf LumiGuide precies aan welke plekken nog leeg zijn. Wanneer je de trap afloopt zie je een bord staan met daarop de vrije stalplekken. 'Dit systeem is de effectiefste manier om mensen naar vrije plaatsen te wijzen', aldus Mariska Schok, woordvoerder van wethouder Binnenstad Ben van Hees. 'Daarnaast helpt het om weesfietsen op te sporen. In principe is het een dagstalling en nu kunnen we fietsen die er heel lang staan detecteren met behulp van de camera's, om deze vervolgens te verwijderen.' Over de waarborg van privacy zijn geen zorgen nodig. De sensoren lijken op camera’s, maar er worden geen beelden opgenomen of bewaard.

 

De RU neemt privacy van medewerkers en studenten zeer serieus, dat moge duidelijk zijn. Toch is ondanks hun heftige inspanningen een onwetende student per ongeluk tegen een oude computer gelopen. Hij hoopte het als antiek speeltje te kunnen gebruiken, bij aansluiting bleken er echter vele gevoelige documenten op te staan. Mails en Wordbestanden van Willem van der Kuijlen, de studieadviseur en secretaris van de examencommissie van Filosofie, waren onbeveiligd op te duikelen. De Mac was al enige tijd niet meer in gebruik, toch bevatte hij een lading aan gevoelige gegevens uit de periode van 2004 tot en met 2006. Onder de buit vallen onschuldige berichten van zijn vrouw en stoffige literatuuroverzichten, maar ook verslagen van functioneringsgesprekken, beoordelingen van scripties, (toch niet zo) anonieme beoordelingen van docenten door studenten, onderwijsjaarverslagen, tentamenproblemen met individuele studenten, ga zo maar door. Van der Kuijlen heeft de computer wederom in zijn bezit. Hij reageerde geschokt: 'Dit is schandalig. Ik had verwacht dat de informatica-afdeling alle informatie zou wissen voor het weggooien van een computer. Dit had echt niet mogen gebeuren.'

 

Volgens sommige medewerkers van de Radboud Universiteit zal de RU  in de toekomst mogelijk persoonsgegevens van studenten gebruiken voor het maken van gedragsprofielen. Door het  invoeren van het programma Learning Analytics zou de RU het onderwijs hiermee kunnen verbeteren. De RU zou met dit programma gegevens zoals je inlogtijd op Blackboard en je resultaten in Osiris kunnen gebruiken om je eventueel op het matje te roepen, als blijkt dat je teveel afwijkt van het standaard studiegedrag. Het is maar de vraag of de RU in deze situatie zorgvuldig om zal gaan met de persoonsgegevens van studenten. In het verleden is de universiteit namelijk niet altijd even goed met de privacy van studenten omgesprongen. ANS dook in haar archief en vond 5 voorbeelden van succesverhalen met privacy op de RU: 1. Al in 2006 kwam naar voren dat de Universitaire Studentenraad (USR) en de Ondernemingsraad in overleg gingen over het reglement van het digitale verkeer van de RU. In dit voorschrift stond namelijk dat, indien je werd verdacht van het aantasten van de naam van de universiteit, je email kon worden gecheckt. 2. In 2011 kampte het netwerk van de RU met een beveiligingslek. Iedereen met toegang tot het netwerk had kon de salarissen van medewerkers en de adressen van zowel medewerkers als studenten inzien. 3. In 2012 vond een student een oude RU-computer vol met gevoelige informatie. Zo ontdekte deze student onder andere verslagen van functioneringsgesprekken, beoordelingen van scripties, anonieme beoordelingen van docenten door studenten, onderwijsjaarverslagen en tentamenproblemen met individuele studenten op de pc. 4. Vorig jaar werden de gegevens van leden van de USR nagetrokken om te kijken hoeveel van hun vakken buiten het eigen curriculum volgden. In andere woorden: controleren of ze niet lui zijn. 5. Afgelopen november bleekdat de RU met het mailprogramma Exchange instellingen op de telefoon van de student kan wijzigen en gegevens kan verwijderen. Voorgaande voorbeelden maken duidelijk dat de RU in ieder geval in het verleden niet altijd even zorgvuldig met de privacy van de studenten is omgegaan. Hoe is het nu daarmee gesteld? Lees hier het onderzoekdat ANS deed naar de inzameling van persoonsgegevens door de RU.

 

De RU kan zien hoe jij in de UB loopt te soggen en heeft zelfs plannen te traceren wanneer je op de campus rond sjokt. Hoe houdt onze universiteit haar studenten precies in de gaten? Tekst: Tom Plaum en Anne van Veen Illustraties: Jeroen Wintraecken Dit artikel verscheen eerder in de juni-ANS Het leven van de student ligt op straat. Via de sociale media kan iedereen van alles over je te weten komen en Edward Snowden liet zien dat ook informatie die je niet wil delen kan worden gecheckt. Hoe zit dit eigenlijk op onze universiteit? De Radboud Universiteit (RU) heeft op het gebied van privacy een eigen statuut. Op de RU-site is een document te vinden over regels op het gebied van het gebruik van persoonsgegevens. Dit reglement is opgesteld volgens de Wet Bescherming Persoonsgegevens (WBP). De WBP bevat 83 artikelen en ook op de website van de universiteit kom je een wirwar van statements en reglementen tegen. Studenten zullen tussen het scriptiewerk of een biertje op het terras door, niet snel aan het doorspitten van deze boekwerken beginnen. Bovendien blijft de informatie vaag en abstract. Zo staat bijvoorbeeld in het privacyreglement dat ‘persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen’. Hier word je natuurlijk niet veel wijzer van. Wat weet de RU precies over de student en waarvoor worden deze gegevens gebruikt? Alwetende alma mater De universiteit weet van alle studenten hun persoonsgegevens en bankrekeningnummers. Verder beschikt de RU over de informatie die door de studenten wordt doorgegeven op systemen als Blackboard en Osiris. Hier gaat het over de cursussen die worden gevolgd, behaalde resultaten en gemaakte opdrachten. Ook kunnen enkele daartoe bevoegde medewerkers van het ICT Servicecentrum (ISC) bekijken welke websites een student heeft bezocht, als deze op een RU-computer of via het RU-netwerk is ingelogd. Richard Rhemrev, directeur van het ISC, benadrukt dat dit alleen gebeurt in geval van geconstateerde problemen: ‘Bijvoorbeeld als iemand overlast veroorzaakt door virussen te verspreiden of als er aanwijzingen zijn dat iemands systeem is gehackt.’ Verspreiders van kinderporno maken in de UB dus geen kans. De essentiële informatie, persoonsgegevens en resultaten blijven nadat een student alumnus is geworden nog zeven jaar op de harde schijf van de RU staan. Rhemrev vertelt dat de universiteit geen totaalplaatje van de studenten heeft en dat ook niet wil hebben. ‘De gegevens worden niet opgeslagen in één systeem. In principe staan Blackboard en Osiris los van elkaar. De informatie blijft intern en de RU geeft deze niet aan externe bedrijven’. Alleen als bijvoorbeeld het Openbaar Ministerie een wettelijk bevel heeft om de gegevens in te zien, moet informatie worden vrijgegeven. Ook verzekert hij dat informatie die je niet aandraagt, niet wordt verzameld. Klinkt logisch, maar ondertussen vallen onder meer gesprekken van studenten met mentoren en studieadviseurs onder de informatie die wordt opgeslagen. Samengevatte notities van deze woordenwisselingen zijn terug te vinden op Osiris. De details missen echter en met moeite kunnen studenten deze opvragen bij de decaan of studiebegeleider. In het document ‘Kader notities in Osiris’ staat dat per aantekening aan te geven is tot welk vertrouwelijkheidsniveau de notitie behoort. Dit niveau geeft aan welke medewerkers van de RU de notities kunnen inzien. Voor de student is het vertrouwelijksheidniveau echter niet te vinden, dus of docenten bijvoorbeeld ook weten wat je met je studieadviseur hebt besproken, blijft voor de student een raadsel. Google of RU-mail? Een heikel punt op het gebied van risico’s voor privacy-schending, is het gebruik van de mail. Rhemrev: ‘Toen ik hier tweeënhalf jaar geleden aantrad, was het ISC bezig met het vervangen van de mailserver. Op onder meer de Universiteit Utrecht werd Gmail succesvol gebruikt als studentenmail en het was het streven van de RU om Google ook hier te integreren. Gmail zou zorgvuldig omgaan met de gegevens van de studenten. Totdat het bedrijf riep dat ze wel degelijk in de mails keken om zo hun grammaticachecker te perfectioneren. Hiermee had het bedrijf een grens overschreden. Toen hebben we de overstap niet doorgezet. Vertellen dat je in mails van je gebruikers kijkt, is natuurlijk het stomste dat je kunt doen.’ Het frappante is dat juist Rhemrev aangeeft dat ook de RU in de mails van de studenten kan kijken. Jean Popma, Security Officer van het Concern Informatie Management van de RU, vertelt dat bepaalde systeembeheerders van het ISC de mails van de studenten kunnen inzien. ‘Deze mensen mogen dit alleen doen als ze onderzoek naar fouten doen, bijvoorbeeld wanneer mails niet aankomen.’ Rhemrev benadrukt dat de informatie die studenten over en weer versturen totaal niet interessant is voor het ISC. ‘Als ze de inhoud echt privé willen houden, dan moeten ze hun mail gewoon versleutelen.’ Totaalplaatje Het huidige privacybeleid van de RU zorgt ervoor dat persoonsgegevens door de universiteit worden beschermd. Studenten en medewerkers verspreiden echter zelf vaak hun persoonlijke levenssfeer. Ze koppelen bijvoorbeeld hun RU-mail aan een Google- of Microsoft-account. Hierdoor kunnen deze bedrijven aan privé-informatie komen. ‘Studenten en medewerkers zijn onbezorgd en vaak ook onwetend op het gebied van privacy. Het recht op privacy behoort tot de grondrechten van de mens en daar moet je zorgvuldig mee omgaan. De universiteit moet de studenten beschermen en ervoor zorgen dat externe organisaties geen totaalbeeld krijgen van studenten. Bedrijven willen het liefst de meest ijverige afgestudeerden opsporen en binnenhalen, maar informatie verstrekken over de inzet en resultaten van studenten gaat tegen ons privacybeleid in’, aldus Popma. De universiteit vindt het dus belangrijk dat persoonsgegevens intern blijven. Volgens Bart Jacobs, hoogleraar Cyber Security aan de RU, hebben de medewerkers nog een cursus over het omgaan met gevoelige informatie nodig. ‘Ik weet dat een studentendecaan zijn mail had gekoppeld aan Google. Dit terwijl decanen veel vertrouwelijke mededelingen over en weer versturen via dit communicatiemiddel. Het koppelen van mails zou voor deze groep helemaal niet mogelijk mogen zijn, maar hier heeft de RU geen duidelijk beleid voor opgesteld.’ Rhemrev vertelt dat er wel degelijk bepaalde regels bestaan over het gebruik van publieke clouddiensten: ‘Individuen binnen de RU kunnen best informatie in de public cloud zoals Dropbox of Google opslaan, alleen niet als dat persoonsgegevens zijn. Het is misschien een dun lijntje, maar dat is net waar het bij privacy om draait.’ Learning Analytics Een van de taken van het ISC is de veiligheid van de persoonsgegevens van studenten en medewerkers garanderen. In de toekomst wordt de werklast misschien wel op een verontrustende manier uitgebreid. Binnen de RU gaan stemmen op om de persoonsgegevens in te zetten voor het verbeteren van het onderwijs op de RU. Dit zou kunnen door metadata te verzamelen. Voorbeelden hiervan zijn hoe lang een student is ingelogd op Blackboard of op welk deel van de dag deze over de campus slentert. Harrie Harings, Security Manager van het ISC, legt uit: ‘Dit systeem heet Learning Analytics en heeft als doel om een gedragsprofiel van studenten te creëren. Wanneer het studiegedrag van een student verandert ten opzichte van wat normaal is voor hem of haar, kan dat een signaal zijn voor een studieadviseur om contact op te nemen. Het zou zomaar kunnen dat dit systeem binnenkort op de RU toegepast gaat worden.’ Het idee dat de RU in de toekomst wellicht een totaalplaatje van de studenten kan vormen, klinkt beangstigend. Popma verzekert dat een toekomstige functionaris gegevensbescherming gaat uitzoeken of de voordelen van Learning Analyticsopwegen tegen de vermindering van privacy. ‘Hier zal sowieso een heel traject aan vooraf gaan. Het plan staat nu nog in de kinderschoenen.’ Jacobs is sceptisch over deze ontwikkelingen. ‘Bedrijven gebruiken gedragsgegevens om dingen aan je te verkopen. De RU heeft betere bedoelingen, dus hun overwegingen om totaalbeelden te creëren zullen anders zijn. Als het plan wordt doorgevoerd, is transparantie wel een vereiste. De universiteit moet duidelijk zijn over de doelen van dit voornemen en hoe ze deze willen bereiken. Dit plan kan zorgen voor onzekerheid bij studenten en daar zit niemand op te wachten.’ Klik hier voor de overige artikelen uit de juni-ANS.

 

Binnen de Radboud Universiteit gaan er stemmen op om de persoonsgegevens van studenten te gebruiken om het onderwijs te verbeteren. Door middel van Learning Analytics zou de RU op basis van persoonsgegevens van studenten hiervoor gedragsprofielen kunnen maken. Door middel van het verzamelen van metadata zou de RU kunnen zien hoe lang en wanneer een student op Blackboard is ingelogd of op welke dagen de student de campus bezoekt. Als aan de hand van de metadata blijkt dat het gedrag van een student afwijkt, zou vervolgens een studieadviseur kunnen ingrijpen. Volgens Jean Popma, Security Officer van het Concern Informatie Management van de RU, staat het plan nog wel in de kinderschoenen. Popma verzekert bovendien dat een toekomstige functionaris gegevensbescherming gaat uitzoeken of de voordelen van Learning Analytics opwegen tegen de nadelen. ANS deed onderzoek naar hoe de RU haar studenten door middel van persoonsgegevens in de gaten kan houden. Lees hier het hele artikel.