image

Universiteit Leiden deed geen privacyonderzoek naar inzet 'slimme camera's'

donderdag 22 september 2022, 15:53 door Redactie, 6 reacties

Tijdens de coronacrisis heeft de Universiteit Leiden bijna vierhonderd 'slimme camera's' ingezet zonder eerst een privacyonderzoek te doen. Dat had wel gemoeten en wordt nu alsnog gedaan. Daarnaast sprak de universiteit continu over ‘sensoren’ of ‘scanners’, waardoor het voor veel mensen niet duidelijk was dat het om videocamera’s ging. Dat meldt Universiteitsblad Mare op basis van een onderzoeksrapport dat de universiteit liet opstellen over de camera’s.

Eind december besloten medewerkers en studenten van de universiteit tegen de aanwezigheid van de "classroom scanners" te demonstreren en eisten dat de apparaten zouden worden verwijderd. Ondanks het protest liet de universiteit weten dat het de camera's zou blijven gebruiken en dat de privacy van personeel en studenten was gewaarborgd. De Universiteit Utrecht, die een proef met soortgelijke camera's deed, besloot de apparaten naar aanleiding van de onrust in Leiden echter uit te schakelen. Vervolgens ging ook het College van Bestuur van de Universiteit Leiden overstag.

Met de "classroom scanners" monitorde de universiteit hoeveel mensen er in een ruimte aanwezig zijn. Mare stelde dat de privacyinstellingen van de camera's zo waren ingesteld dat ze veel meer analyseerden dan alleen getallen. "De universiteit meldde dat de camera’s op privacyniveau 1 stonden. Uit gegevens die Mare bekeek, bleek dat minstens een camera, waarvan de login-pagina via Google was te bereiken, op privacyniveau 0 stond, en dat daarmee dus een livestream te zien was", aldus het magazine.

Een penetratietest naar de camera's leverde meerdere kwetsbaarheden op, die inmiddels door de fabrikant zijn verholpen. Naast het onderzoek naar de veiligheid van de camera's stelt functionaris gegevensbescherming Ricardo Catalan naar aanleiding van zijn onderzoek dat er een data protection impact assessment (DPIA) was vereist. Daarmee worden de privacyrisico's in kaart gebracht en hoe die kunnen worden verholpen. De universiteit liet eerder nog weten dat dit niet nodig was.

"Mijn eerste inschatting was dat het een verwerking betrof met een laag risico waarbij een DPIA niet nodig was. Deze inschatting was niet juist", reageert Catalan. Ook hekelt hij de naamgeving door de universiteit, die continu van sensoren en scanners sprak, terwijl het in werkelijkheid gewoon camera's waren. Daardoor wisten veel mensen niet dat het om camera's ging en werd de ernst van de privacykwestie onderschat.

De rapporten van het veiligheidsonderzoek en de functionaris gegevensbescherming zullen binnenkort door de universiteitsraad worden behandeld. Of de camera's weer worden ingeschakeld is op dit moment onbekend. Pas na het uitvoeren van de DPIA wordt hier verder over gepraat.

Reacties (6)
22-09-2022, 16:29 door Anoniem
Een camera waarbij als je iets op 0 zet, het beeld live op google staat.
Wie wil nou zoiets ?, je weet tog hoe google met instellingen zijn.
Alles reset na een update.
22-09-2022, 17:10 door Anoniem
Opvallend dat dit soort "vergissingen" nooit in het nadeel van de daders uitpakken.
Je zou bijna denken dat ze inspiratie opdoen bij Marx Ratte: kijken hoeve rje kunt gaan en dan zeggen dat je "geen actieve herinnering" hebt..
23-09-2022, 09:16 door Anoniem
camera's als scanners /sensors noemen, da's al achterbaks genoeg om geen vertrouwen te hebben in mensen die dat doen.
23-09-2022, 09:25 door Anoniem
Xovis heeft [...] een software-update doorgevoerd, en die heeft effect gehad. De gaten in de beveiliging lijken gedicht, vertellen de testers. Waar voorheen verschillende gegevens van de camera, zoals de temperatuur, lichtsterkte en privacy-instellingen te zien waren voor niet-ingelogde gebruikers, is het systeem nu beter afgeschermd.

https://www.mareonline.nl/nieuws/hackers-proberen-cameras-te-kraken/
23-09-2022, 10:34 door Anoniem
De importeur van de gehekelde Xovis "personentellers" is WiFiProfs / StoreScan BV te Utrecht

https://www.mareonline.nl/achtergrond/hoe-de-slimme-cameras-er-moesten-en-zouden-komen/


De fabrikant van de "people counting sensors" is Xovis AG, gevestigd in Zwitserland. De fabrikant claimt een 99,9 % precisie. De camera''s kunnen ook de gender statistiek bepalen, de man / vrouw verhouding in het bezoekersaantal.

https://www.xovis.com/technology/sensor


Onder de klanten van StoreScan BV bevinden zich, naast de Universteit Leiden en grote retailers zoals Coolblue, onder meer de Openbare Bibliotheek Amsterdam (Oba), het Noorderpoort College in Groningen en poppodium TivoliVredenburg in Utrecht. De potentiële privacy impact van het Xovis 3D camara systeem, was / is dus potentieel veel groter, dan de beperkt gebleven protestenten aan de universiteit Leiden en de hogeschool Windesheim in de media suggereerden.
24-09-2022, 14:15 door Anoniem
Door Anoniem: Opvallend dat dit soort "vergissingen" nooit in het nadeel van de daders uitpakken.
Je zou bijna denken dat ze inspiratie opdoen bij Marx Ratte: kijken hoeve rje kunt gaan en dan zeggen dat je "geen actieve herinnering" hebt..
Deze kan ook in het pakket van Marx Ratte:
‘Deze aanbeveling is onbewust niet overgenomen’ (een universiteitswoordvoerder van Universiteit Leiden nav het niet opvolgen van een aanbeveling van een privacy officer betreffende de omgang met persoonsgegevens).

https://www.mareonline.nl/achtergrond/hoe-de-slimme-cameras-er-moesten-en-zouden-komen/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.