Uit onderzoek van de Universiteit Leiden blijkt dat de beveiliging van 371 slimme camera’s die tijdens de coronacrisis werden geïnstalleerd, kwetsbaarheden hadden. Als de universiteit de camera’s opnieuw wil inzetten, moet het ook een risicoanalyse uitvoeren.
De redactie van het universiteitsblad Mare kon het onderzoeksrapport, dat momenteel bij de universiteitsraad ligt, inkijken. Daarin staan de resultaten van de penetratietest die begin dit jaar werd uitgevoerd door een extern bureau. Uit die test blijkt dat gebruikers informatie over de slimme camera konden zien, zonder in te loggen. De wachtwoorden waren naar verluidt ook met een onveilige en verouderde versleuteling beveiligd. Volgens Mare voerde Xovis, het bedrijf achter de slimme camera’s, in februari van dit jaar een update door die de kwetsbaarheden hebben verholpen.
Volgens de redactie van het universiteitsblad is er tijdens de penetratietest echter enkel naar de mogelijke veiligheidsrisico’s gekeken die kunnen optreden bij het inloggen op het systeem. Er zou geen onderzoek gedaan zijn naar het onbedoeld gebruik van de sensoren en kwetsbaarheden door ingelogde gebruikers. De universiteit zal dit volgens het blad ook niet verder onderzoeken. “Kwetsbaarheden die zich aan de binnenkant bevinden, maar die niet op afstand te misbruiken zijn, achten wij een verwaarloosbaar risico”, klinkt het daar.
Ricardo Catalan, de functionaris gegevensbescherming van de Universiteit Leiden, stelt in het onderzoeksrapport dat de universiteit een data protection impact assessment, kortweg DPIA, moet doen als het de camera’s opnieuw wil inschakelen. Een DPIA is een analyse die een organisatie moet uitvoeren als er sprake is van gegevensverwerking met een hoog privacyrisico. Zo’n analyse was volgens de man en de universiteit eerder niet nodig. “Deze inschatting was niet juist”, stelt Catalan nu.
Volgens de man had de universiteit ook beter moeten communiceren over de slimme camera’s. Zo stelt hij vast dat de universiteit van bij het begin duidelijk moest maken dat het om slimme camera’s ging en niet om ‘sensoren’ of ‘scanners’ zoals aanvankelijk werd geopperd. Op die manier werd volgens de man de ernst van de privacykwestie onderschat.
De universiteit heeft nog niet besloten of de slimme camera’s opnieuw zullen worden ingeschakeld. Daarvoor wacht het eerst de resultaten van de DPIA af. Zodra die is afgerond, wordt de knoop in overleg met de universiteitsraad doorgehakt.
De Universiteit Leiden begin tijdens de coronacrisis in 2020 met het gebruik van 371 slimme camera’s. Het gaat om Xovix PC2S-camera’s die gebruikt kunnen worden voor het tellen van mensen, maar ook voor het volgens en analyseren van gedrag. De universiteit stelde dat de camera’s enkel werden ingezet als sensoren om het aantal aanwezige studenten vast te leggen. Ze zou er geen gebruik worden gemaakt van beeld. Volgens universiteitsblad Mare stond het privacyniveau van de hardware altijd op een niveau waardoor er meer mogelijk was. Mensen kwamen op dat niveau naar verluidt ook niet herkenbaar in beeld. Eind vorig jaar schakelde de universiteit de slimme camera’s uit naar aanleiding van de onrust die over privacy was ontstaan.
Recent Comments