De RU kan zien hoe jij in de UB loopt te soggen en heeft zelfs plannen te traceren wanneer je op de campus rond sjokt.
Hoe houdt onze universiteit haar studenten precies in de gaten?
Tekst: Tom Plaum en Anne van Veen
Illustraties: Jeroen Wintraecken
Dit artikel verscheen eerder in de juni-ANS
Het leven van de student ligt op straat. Via de sociale media kan iedereen van alles over je te weten komen en Edward Snowden liet zien dat ook informatie die je niet wil delen kan worden gecheckt. Hoe zit dit eigenlijk op onze universiteit?
De Radboud Universiteit (RU) heeft op het gebied van privacy een eigen statuut. Op de RU-site is een document te vinden over regels op het gebied van het gebruik van persoonsgegevens. Dit reglement is opgesteld volgens de Wet Bescherming Persoonsgegevens (WBP). De WBP bevat 83 artikelen en ook op de website van de universiteit kom je een wirwar van statements en reglementen tegen. Studenten zullen tussen het scriptiewerk of een biertje op het terras door, niet snel aan het doorspitten van deze boekwerken beginnen. Bovendien blijft de informatie vaag en abstract. Zo staat bijvoorbeeld in het privacyreglement dat ‘persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen’. Hier word je natuurlijk niet veel wijzer van. Wat weet de RU precies over de student en waarvoor worden deze gegevens gebruikt?
Alwetende alma mater
De universiteit weet van alle studenten hun persoonsgegevens en bankrekeningnummers. Verder beschikt de RU over de informatie die door de studenten wordt doorgegeven op systemen als Blackboard en Osiris. Hier gaat het over de cursussen die worden gevolgd, behaalde resultaten en gemaakte opdrachten. Ook kunnen enkele daartoe bevoegde medewerkers van het ICT Servicecentrum (ISC) bekijken welke websites een student heeft bezocht, als deze op een RU-computer of via het RU-netwerk is ingelogd. Richard Rhemrev, directeur van het ISC, benadrukt dat dit alleen gebeurt in geval van geconstateerde problemen: ‘Bijvoorbeeld als iemand overlast veroorzaakt door virussen te verspreiden of als er aanwijzingen zijn dat iemands systeem is gehackt.’ Verspreiders van kinderporno maken in de UB dus geen kans. De essentiële informatie, persoonsgegevens en resultaten blijven nadat een student alumnus is geworden nog zeven jaar op de harde schijf van de RU staan. Rhemrev vertelt dat de universiteit geen totaalplaatje van de studenten heeft en dat ook niet wil hebben. ‘De gegevens worden niet opgeslagen in één systeem. In principe staan Blackboard en Osiris los van elkaar. De informatie blijft intern en de RU geeft deze niet aan externe bedrijven’. Alleen als bijvoorbeeld het Openbaar Ministerie een wettelijk bevel heeft om de gegevens in te zien, moet informatie worden vrijgegeven. Ook verzekert hij dat informatie die je niet aandraagt, niet wordt verzameld.
Klinkt logisch, maar ondertussen vallen onder meer gesprekken van studenten met mentoren en studieadviseurs onder de informatie die wordt opgeslagen. Samengevatte notities van deze woordenwisselingen zijn terug te vinden op Osiris. De details missen echter en met moeite kunnen studenten deze opvragen bij de decaan of studiebegeleider. In het document ‘Kader notities in Osiris’ staat dat per aantekening aan te geven is tot welk vertrouwelijkheidsniveau de notitie behoort. Dit niveau geeft aan welke medewerkers van de RU de notities kunnen inzien. Voor de student is het vertrouwelijksheidniveau echter niet te vinden, dus of docenten bijvoorbeeld ook weten wat je met je studieadviseur hebt besproken, blijft voor de student een raadsel.
Google of RU-mail?
Een heikel punt op het gebied van risico’s voor privacy-schending, is het gebruik van de mail. Rhemrev: ‘Toen ik hier tweeënhalf jaar geleden aantrad, was het ISC bezig met het vervangen van de mailserver. Op onder meer de Universiteit Utrecht werd Gmail succesvol gebruikt als studentenmail en het was het streven van de RU om Google ook hier te integreren. Gmail zou zorgvuldig omgaan met de gegevens van de studenten. Totdat het bedrijf riep dat ze wel degelijk in de mails keken om zo hun grammaticachecker te perfectioneren. Hiermee had het bedrijf een grens overschreden. Toen hebben we de overstap niet doorgezet. Vertellen dat je in mails van je gebruikers kijkt, is natuurlijk het stomste dat je kunt doen.’
Het frappante is dat juist Rhemrev aangeeft dat ook de RU in de mails van de studenten kan kijken. Jean Popma, Security Officer van het Concern Informatie Management van de RU, vertelt dat bepaalde systeembeheerders van het ISC de mails van de studenten kunnen inzien. ‘Deze mensen mogen dit alleen doen als ze onderzoek naar fouten doen, bijvoorbeeld wanneer mails niet aankomen.’ Rhemrev benadrukt dat de informatie die studenten over en weer versturen totaal niet interessant is voor het ISC. ‘Als ze de inhoud echt privé willen houden, dan moeten ze hun mail gewoon versleutelen.’
Totaalplaatje
Het huidige privacybeleid van de RU zorgt ervoor dat persoonsgegevens door de universiteit worden beschermd. Studenten en medewerkers verspreiden echter zelf vaak hun persoonlijke levenssfeer. Ze koppelen bijvoorbeeld hun RU-mail aan een Google- of Microsoft-account. Hierdoor kunnen deze bedrijven aan privé-informatie komen. ‘Studenten en medewerkers zijn onbezorgd en vaak ook onwetend op het gebied van privacy. Het recht op privacy behoort tot de grondrechten van de mens en daar moet je zorgvuldig mee omgaan. De universiteit moet de studenten beschermen en ervoor zorgen dat externe organisaties geen totaalbeeld krijgen van studenten. Bedrijven willen het liefst de meest ijverige afgestudeerden opsporen en binnenhalen, maar informatie verstrekken over de inzet en resultaten van studenten gaat tegen ons privacybeleid in’, aldus Popma. De universiteit vindt het dus belangrijk dat persoonsgegevens intern blijven. Volgens Bart Jacobs, hoogleraar Cyber Security aan de RU, hebben de medewerkers nog een cursus over het omgaan met gevoelige informatie nodig. ‘Ik weet dat een studentendecaan zijn mail had gekoppeld aan Google. Dit terwijl decanen veel vertrouwelijke mededelingen over en weer versturen via dit communicatiemiddel. Het koppelen van mails zou voor deze groep helemaal niet mogelijk mogen zijn, maar hier heeft de RU geen duidelijk beleid voor opgesteld.’ Rhemrev vertelt dat er wel degelijk bepaalde regels bestaan over het gebruik van publieke clouddiensten: ‘Individuen binnen de RU kunnen best informatie in de
public cloud zoals Dropbox of Google opslaan, alleen niet als dat persoonsgegevens zijn. Het is misschien een dun lijntje, maar dat is net waar het bij privacy om draait.’
Learning Analytics
Een van de taken van het ISC is de veiligheid van de persoonsgegevens van studenten en medewerkers garanderen. In de toekomst wordt de werklast misschien wel op een verontrustende manier uitgebreid. Binnen de RU gaan stemmen op om de persoonsgegevens in te zetten voor het verbeteren van het onderwijs op de RU. Dit zou kunnen door metadata te verzamelen. Voorbeelden hiervan zijn hoe lang een student is ingelogd op Blackboard of op welk deel van de dag deze over de campus slentert. Harrie Harings, Security Manager van het ISC, legt uit: ‘Dit systeem heet
Learning Analytics en heeft als doel om een gedragsprofiel van studenten te creëren. Wanneer het studiegedrag van een student verandert ten opzichte van wat normaal is voor hem of haar, kan dat een signaal zijn voor een studieadviseur om contact op te nemen. Het zou zomaar kunnen dat dit systeem binnenkort op de RU toegepast gaat worden.’ Het idee dat de RU in de toekomst wellicht een totaalplaatje van de studenten kan vormen, klinkt beangstigend. Popma verzekert dat een toekomstige functionaris gegevensbescherming gaat uitzoeken of de voordelen van
Learning Analyticsopwegen tegen de vermindering van privacy. ‘Hier zal sowieso een heel traject aan vooraf gaan. Het plan staat nu nog in de kinderschoenen.’
Jacobs is sceptisch over deze ontwikkelingen. ‘Bedrijven gebruiken gedragsgegevens om dingen aan je te verkopen. De RU heeft betere bedoelingen, dus hun overwegingen om totaalbeelden te creëren zullen anders zijn. Als het plan wordt doorgevoerd, is transparantie wel een vereiste. De universiteit moet duidelijk zijn over de doelen van dit voornemen en hoe ze deze willen bereiken. Dit plan kan zorgen voor onzekerheid bij studenten en daar zit niemand op te wachten.’
Klik
hier voor de overige artikelen uit de juni-ANS.
