[INGEZONDEN] Hoe komt AKKUraatd aan mijn studentenmailadres?

Om mensen zover te krijgen om vanmiddag te gaan protesteren, stuurde AKKUraatd een mail naar alle studenten. Op Twitter ontstond daarop een discussie over hoe de roodbroeken aan de digitale adresgegevens van de gehele Nijmeegse studentenpopulatie kwam. Thijs van Reekum, student filosofie en politicologie, voormalig SIAM-fractievoorzitter en portefeuillehouder onderwijs van de Jonge Democraten (D66), maakt zich kwaad over deze gang van zaken. In principe ben ik niet tegen protesteren. Sterker nog, het democratisch recht op protest is een zeer belangrijk recht tegen mogelijke totalitaire regimes. Het helpt onderdrukking voorkomen. De student wordt door het huidige kabinet in zijn belang geraakt met de komende bezuinigingen en een tegengeluid is daarom begrijpelijk. De mail van AKKUraatd om de student op te roepen om zich te manifesteren tegen de komende bezuinigingen is dan ook niet verwonderlijk. Echter, hoe komt AKKUraatd aan mijn studentenmailadres? De enige die daartoe beschikking heeft, is de universiteit. Toen ik vanmiddag op de universiteit kwam, bleek iedereen die mail te hebben gehad. De universiteit heeft AKKUraatd dus toestemming gegeven om haar boodschap naar alle e-mailadressen te versturen. Buiten dat dit volstrekt tegen alle privacyregels ingaat, ben ik ook gewoon boos dat de universiteit mijn persoonlijke gegevens doorgeeft aan derde partijen. En wat het allemaal nog erger maakt is dat de mail verzonden is van het gmailadres van AKKUraatd. Dit betekent dat zij toegang heeft gekregen tot de e-mailadressen van alle studenten en dat het dus niet om een eenmalige mail gaat die vanuit de universiteit zelf is verzonden. Hoe haalt de universiteit het in haar hoofd om de e-mailadressen van alle studenten door te geven aan een (subjectieve) partij! Het moge duidelijk zijn: ik protesteer tegen deze actie van AKKUraatd en de universiteit. Noot van de redactie: De mail is, zoals in de discussie hieronder wordt besproken, inderdaad door Dienst Studentenzaken zelf verstuurd. AKKUraatd heeft dus geen toegang gekregen tot de persoonlijke e-mailadressen van studenten.

 

Lees meer

Fietsdetectiesysteem Plein 1944 wijst je de weg

Je hoeft niet meer uren rond te dwalen in de fietskelder onder Plein 1944 voor een leeg plekje waar je je fiets kwijt kunt. Vanaf vandaag geeft een fietsdetectie- en verwijssysteem van het Nijmeegse bedrijf LumiGuide precies aan welke plekken nog leeg zijn. Wanneer je de trap afloopt zie je een bord staan met daarop de vrije stalplekken. 'Dit systeem is de effectiefste manier om mensen naar vrije plaatsen te wijzen', aldus Mariska Schok, woordvoerder van wethouder Binnenstad Ben van Hees. 'Daarnaast helpt het om weesfietsen op te sporen. In principe is het een dagstalling en nu kunnen we fietsen die er heel lang staan detecteren met behulp van de camera's, om deze vervolgens te verwijderen.' Over de waarborg van privacy zijn geen zorgen nodig. De sensoren lijken op camera’s, maar er worden geen beelden opgenomen of bewaard.

 

Lees meer

Persoonlijke gegevens voor het oprapen

De RU neemt privacy van medewerkers en studenten zeer serieus, dat moge duidelijk zijn. Toch is ondanks hun heftige inspanningen een onwetende student per ongeluk tegen een oude computer gelopen. Hij hoopte het als antiek speeltje te kunnen gebruiken, bij aansluiting bleken er echter vele gevoelige documenten op te staan. Mails en Wordbestanden van Willem van der Kuijlen, de studieadviseur en secretaris van de examencommissie van Filosofie, waren onbeveiligd op te duikelen. De Mac was al enige tijd niet meer in gebruik, toch bevatte hij een lading aan gevoelige gegevens uit de periode van 2004 tot en met 2006. Onder de buit vallen onschuldige berichten van zijn vrouw en stoffige literatuuroverzichten, maar ook verslagen van functioneringsgesprekken, beoordelingen van scripties, (toch niet zo) anonieme beoordelingen van docenten door studenten, onderwijsjaarverslagen, tentamenproblemen met individuele studenten, ga zo maar door. Van der Kuijlen heeft de computer wederom in zijn bezit. Hij reageerde geschokt: 'Dit is schandalig. Ik had verwacht dat de informatica-afdeling alle informatie zou wissen voor het weggooien van een computer. Dit had echt niet mogen gebeuren.'

 

Lees meer

Privacy-succesverhalen op de RU

Volgens sommige medewerkers van de Radboud Universiteit zal de RU  in de toekomst mogelijk persoonsgegevens van studenten gebruiken voor het maken van gedragsprofielen. Door het  invoeren van het programma Learning Analytics zou de RU het onderwijs hiermee kunnen verbeteren. De RU zou met dit programma gegevens zoals je inlogtijd op Blackboard en je resultaten in Osiris kunnen gebruiken om je eventueel op het matje te roepen, als blijkt dat je teveel afwijkt van het standaard studiegedrag. Het is maar de vraag of de RU in deze situatie zorgvuldig om zal gaan met de persoonsgegevens van studenten. In het verleden is de universiteit namelijk niet altijd even goed met de privacy van studenten omgesprongen. ANS dook in haar archief en vond 5 voorbeelden van succesverhalen met privacy op de RU: 1. Al in 2006 kwam naar voren dat de Universitaire Studentenraad (USR) en de Ondernemingsraad in overleg gingen over het reglement van het digitale verkeer van de RU. In dit voorschrift stond namelijk dat, indien je werd verdacht van het aantasten van de naam van de universiteit, je email kon worden gecheckt. 2. In 2011 kampte het netwerk van de RU met een beveiligingslek. Iedereen met toegang tot het netwerk had kon de salarissen van medewerkers en de adressen van zowel medewerkers als studenten inzien. 3. In 2012 vond een student een oude RU-computer vol met gevoelige informatie. Zo ontdekte deze student onder andere verslagen van functioneringsgesprekken, beoordelingen van scripties, anonieme beoordelingen van docenten door studenten, onderwijsjaarverslagen en tentamenproblemen met individuele studenten op de pc. 4. Vorig jaar werden de gegevens van leden van de USR nagetrokken om te kijken hoeveel van hun vakken buiten het eigen curriculum volgden. In andere woorden: controleren of ze niet lui zijn. 5. Afgelopen november bleekdat de RU met het mailprogramma Exchange instellingen op de telefoon van de student kan wijzigen en gegevens kan verwijderen. Voorgaande voorbeelden maken duidelijk dat de RU in ieder geval in het verleden niet altijd even zorgvuldig met de privacy van de studenten is omgegaan. Hoe is het nu daarmee gesteld? Lees hier het onderzoekdat ANS deed naar de inzameling van persoonsgegevens door de RU.

 

Lees meer

RU is watching you

De RU kan zien hoe jij in de UB loopt te soggen en heeft zelfs plannen te traceren wanneer je op de campus rond sjokt. Hoe houdt onze universiteit haar studenten precies in de gaten? Tekst: Tom Plaum en Anne van Veen Illustraties: Jeroen Wintraecken Dit artikel verscheen eerder in de juni-ANS Het leven van de student ligt op straat. Via de sociale media kan iedereen van alles over je te weten komen en Edward Snowden liet zien dat ook informatie die je niet wil delen kan worden gecheckt. Hoe zit dit eigenlijk op onze universiteit? De Radboud Universiteit (RU) heeft op het gebied van privacy een eigen statuut. Op de RU-site is een document te vinden over regels op het gebied van het gebruik van persoonsgegevens. Dit reglement is opgesteld volgens de Wet Bescherming Persoonsgegevens (WBP). De WBP bevat 83 artikelen en ook op de website van de universiteit kom je een wirwar van statements en reglementen tegen. Studenten zullen tussen het scriptiewerk of een biertje op het terras door, niet snel aan het doorspitten van deze boekwerken beginnen. Bovendien blijft de informatie vaag en abstract. Zo staat bijvoorbeeld in het privacyreglement dat ‘persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen’. Hier word je natuurlijk niet veel wijzer van. Wat weet de RU precies over de student en waarvoor worden deze gegevens gebruikt? Alwetende alma mater De universiteit weet van alle studenten hun persoonsgegevens en bankrekeningnummers. Verder beschikt de RU over de informatie die door de studenten wordt doorgegeven op systemen als Blackboard en Osiris. Hier gaat het over de cursussen die worden gevolgd, behaalde resultaten en gemaakte opdrachten. Ook kunnen enkele daartoe bevoegde medewerkers van het ICT Servicecentrum (ISC) bekijken welke websites een student heeft bezocht, als deze op een RU-computer of via het RU-netwerk is ingelogd. Richard Rhemrev, directeur van het ISC, benadrukt dat dit alleen gebeurt in geval van geconstateerde problemen: ‘Bijvoorbeeld als iemand overlast veroorzaakt door virussen te verspreiden of als er aanwijzingen zijn dat iemands systeem is gehackt.’ Verspreiders van kinderporno maken in de UB dus geen kans. De essentiële informatie, persoonsgegevens en resultaten blijven nadat een student alumnus is geworden nog zeven jaar op de harde schijf van de RU staan. Rhemrev vertelt dat de universiteit geen totaalplaatje van de studenten heeft en dat ook niet wil hebben. ‘De gegevens worden niet opgeslagen in één systeem. In principe staan Blackboard en Osiris los van elkaar. De informatie blijft intern en de RU geeft deze niet aan externe bedrijven’. Alleen als bijvoorbeeld het Openbaar Ministerie een wettelijk bevel heeft om de gegevens in te zien, moet informatie worden vrijgegeven. Ook verzekert hij dat informatie die je niet aandraagt, niet wordt verzameld. Klinkt logisch, maar ondertussen vallen onder meer gesprekken van studenten met mentoren en studieadviseurs onder de informatie die wordt opgeslagen. Samengevatte notities van deze woordenwisselingen zijn terug te vinden op Osiris. De details missen echter en met moeite kunnen studenten deze opvragen bij de decaan of studiebegeleider. In het document ‘Kader notities in Osiris’ staat dat per aantekening aan te geven is tot welk vertrouwelijkheidsniveau de notitie behoort. Dit niveau geeft aan welke medewerkers van de RU de notities kunnen inzien. Voor de student is het vertrouwelijksheidniveau echter niet te vinden, dus of docenten bijvoorbeeld ook weten wat je met je studieadviseur hebt besproken, blijft voor de student een raadsel. screens1 final Google of RU-mail? Een heikel punt op het gebied van risico’s voor privacy-schending, is het gebruik van de mail. Rhemrev: ‘Toen ik hier tweeënhalf jaar geleden aantrad, was het ISC bezig met het vervangen van de mailserver. Op onder meer de Universiteit Utrecht werd Gmail succesvol gebruikt als studentenmail en het was het streven van de RU om Google ook hier te integreren. Gmail zou zorgvuldig omgaan met de gegevens van de studenten. Totdat het bedrijf riep dat ze wel degelijk in de mails keken om zo hun grammaticachecker te perfectioneren. Hiermee had het bedrijf een grens overschreden. Toen hebben we de overstap niet doorgezet. Vertellen dat je in mails van je gebruikers kijkt, is natuurlijk het stomste dat je kunt doen.’ Het frappante is dat juist Rhemrev aangeeft dat ook de RU in de mails van de studenten kan kijken. Jean Popma, Security Officer van het Concern Informatie Management van de RU, vertelt dat bepaalde systeembeheerders van het ISC de mails van de studenten kunnen inzien. ‘Deze mensen mogen dit alleen doen als ze onderzoek naar fouten doen, bijvoorbeeld wanneer mails niet aankomen.’ Rhemrev benadrukt dat de informatie die studenten over en weer versturen totaal niet interessant is voor het ISC. ‘Als ze de inhoud echt privé willen houden, dan moeten ze hun mail gewoon versleutelen.’ Totaalplaatje Het huidige privacybeleid van de RU zorgt ervoor dat persoonsgegevens door de universiteit worden beschermd. Studenten en medewerkers verspreiden echter zelf vaak hun persoonlijke levenssfeer. Ze koppelen bijvoorbeeld hun RU-mail aan een Google- of Microsoft-account. Hierdoor kunnen deze bedrijven aan privé-informatie komen. ‘Studenten en medewerkers zijn onbezorgd en vaak ook onwetend op het gebied van privacy. Het recht op privacy behoort tot de grondrechten van de mens en daar moet je zorgvuldig mee omgaan. De universiteit moet de studenten beschermen en ervoor zorgen dat externe organisaties geen totaalbeeld krijgen van studenten. Bedrijven willen het liefst de meest ijverige afgestudeerden opsporen en binnenhalen, maar informatie verstrekken over de inzet en resultaten van studenten gaat tegen ons privacybeleid in’, aldus Popma. De universiteit vindt het dus belangrijk dat persoonsgegevens intern blijven. Volgens Bart Jacobs, hoogleraar Cyber Security aan de RU, hebben de medewerkers nog een cursus over het omgaan met gevoelige informatie nodig. ‘Ik weet dat een studentendecaan zijn mail had gekoppeld aan Google. Dit terwijl decanen veel vertrouwelijke mededelingen over en weer versturen via dit communicatiemiddel. Het koppelen van mails zou voor deze groep helemaal niet mogelijk mogen zijn, maar hier heeft de RU geen duidelijk beleid voor opgesteld.’ Rhemrev vertelt dat er wel degelijk bepaalde regels bestaan over het gebruik van publieke clouddiensten: ‘Individuen binnen de RU kunnen best informatie in de public cloud zoals Dropbox of Google opslaan, alleen niet als dat persoonsgegevens zijn. Het is misschien een dun lijntje, maar dat is net waar het bij privacy om draait.’ klein breed ru is watching youLearning Analytics Een van de taken van het ISC is de veiligheid van de persoonsgegevens van studenten en medewerkers garanderen. In de toekomst wordt de werklast misschien wel op een verontrustende manier uitgebreid. Binnen de RU gaan stemmen op om de persoonsgegevens in te zetten voor het verbeteren van het onderwijs op de RU. Dit zou kunnen door metadata te verzamelen. Voorbeelden hiervan zijn hoe lang een student is ingelogd op Blackboard of op welk deel van de dag deze over de campus slentert. Harrie Harings, Security Manager van het ISC, legt uit: ‘Dit systeem heet Learning Analytics en heeft als doel om een gedragsprofiel van studenten te creëren. Wanneer het studiegedrag van een student verandert ten opzichte van wat normaal is voor hem of haar, kan dat een signaal zijn voor een studieadviseur om contact op te nemen. Het zou zomaar kunnen dat dit systeem binnenkort op de RU toegepast gaat worden.’ Het idee dat de RU in de toekomst wellicht een totaalplaatje van de studenten kan vormen, klinkt beangstigend. Popma verzekert dat een toekomstige functionaris gegevensbescherming gaat uitzoeken of de voordelen van Learning Analyticsopwegen tegen de vermindering van privacy. ‘Hier zal sowieso een heel traject aan vooraf gaan. Het plan staat nu nog in de kinderschoenen.’ Jacobs is sceptisch over deze ontwikkelingen. ‘Bedrijven gebruiken gedragsgegevens om dingen aan je te verkopen. De RU heeft betere bedoelingen, dus hun overwegingen om totaalbeelden te creëren zullen anders zijn. Als het plan wordt doorgevoerd, is transparantie wel een vereiste. De universiteit moet duidelijk zijn over de doelen van dit voornemen en hoe ze deze willen bereiken. Dit plan kan zorgen voor onzekerheid bij studenten en daar zit niemand op te wachten.’ Klik hier voor de overige artikelen uit de juni-ANS.

 

Lees meer

RU overweegt gebruik persoonsgegevens voor gedragsprofielen

Binnen de Radboud Universiteit gaan er stemmen op om de persoonsgegevens van studenten te gebruiken om het onderwijs te verbeteren. Door middel van Learning Analytics zou de RU op basis van persoonsgegevens van studenten hiervoor gedragsprofielen kunnen maken. Door middel van het verzamelen van metadata zou de RU kunnen zien hoe lang en wanneer een student op Blackboard is ingelogd of op welke dagen de student de campus bezoekt. Als aan de hand van de metadata blijkt dat het gedrag van een student afwijkt, zou vervolgens een studieadviseur kunnen ingrijpen. Volgens Jean Popma, Security Officer van het Concern Informatie Management van de RU, staat het plan nog wel in de kinderschoenen. Popma verzekert bovendien dat een toekomstige functionaris gegevensbescherming gaat uitzoeken of de voordelen van Learning Analytics opwegen tegen de nadelen. ANS deed onderzoek naar hoe de RU haar studenten door middel van persoonsgegevens in de gaten kan houden. Lees hier het hele artikel.

 

Lees meer