Kamer­vragen Van Raan over het bericht dat jour­na­listen stiekem konden meekijken bij online tentamens


Indiendatum: 19 jan. 2021

Kamervragen van het lid Van Raan (Partij voor de Dieren) aan de ministers van OCW en BiZa over het bericht dat journalisten stiekem konden meekijken bij online tentamens.

1. Kent u de berichten ‘Journalisten konden stiekem meekijken met online tentamen’ en ‘Datalek: iedereen kan meekijken bij online tentamens van Hanzehogeschool’?

2. Klopt het dat journalisten zomaar konden meekijken in de woonkamers van studenten en daarbij ook namen en studentnummers te zien kregen? Zo nee, hoe zit het dan?

3. Klopt het dat deze journalisten zich niet hoefden te identificeren en er geen wachtwoorden nodig waren? Zo nee, hoe zit het dan?

4. Klopt het dat de surveillanten niet doorhadden dat er journalisten meekeken met het tentamen?

5. Kunt u een feitenrelaas opstellen over dit datalek?

6. Wat is uw boodschap aan de getroffen studenten?

7. Wat zijn de vervolgstappen in deze casus?

8. Wat is uw inzet om er voor te zorgen dat dit datalek het laatste incident was met online tentamens?

9. Kunt u een overzicht verschaffen van alle bij u bekende privacyschendingen en overige incidenten met online tentamens?

10. Herinnert u zich de diverse waarschuwingen voor datalekken bij online tentamens?

11. Herinnert u zich dat u destijds geen concreet antwoord gaf toen de leden Van Raan & Van Esch aan u vroegen welke garanties u heeft dat “derden, zoals bijvoorbeeld de softwareleverancier, hackers, inlichtingendiensten of andere partijen geen toegang hebben tot de te verzamelen informatie”?

12. Kunt u deze vraag van een actueel antwoord voorzien?

13. Erkent u dat de huidige wet- en regelgeving kennelijk niet heeft kunnen voorkomen dat er een grove privacyschending heeft plaatsgevonden?

14. Is deze vaststelling voor u aanleiding om wet- en regelgeving te herzien? Kunt u dat toelichten?

15. Erkent u dat de privacy van studenten in de praktijk kennelijk niet gewaarborgd is? Zo nee, waarom niet?

16. Welke consequenties heeft deze vaststelling wat u betreft voor het organiseren van tentamens in de nabije toekomst?

17. Erkent u dat het in de praktijk – met de nodige aanpassingen – in principe nog steeds mogelijk is om veilige fysieke tentamens te organiseren? Zo nee, waarom niet?

18. Herinnert u zich dat de leden Van Raan & Van Esch aan u vroegen om “onderwijsinstellingen te helpen om zo snel mogelijk op veilige wijze tentamens te organiseren, zonder dat daar spionagesoftware bij komt kijken zodat de privacy van studenten niet wordt aangetast”?

19. Kunt u deze vraag nogmaals beantwoorden, inclusief een actuele stand van zaken van de wijze waarop onderwijsinstellingen aan de slag zijn met het organiseren van veilige fysieke tentamens?

20. Welke middelen gaat u de onderwijsinstellingen ter beschikking stellen om veilige fysieke tentamens te organiseren?

Indiendatum: 19 jan. 2021
Antwoorddatum: 22 mrt. 2021

1. Kent u de berichten ‘Journalisten konden stiekem meekijken met online tentamen’ en ‘Datalek: iedereen kan meekijken bij online tentamens van Hanzehogeschool’? 1) 2)

Ja.

2. Klopt het dat journalisten zomaar konden meekijken in de woonkamers van studenten en daarbij ook namen en studentnummers te zien kregen? Zo nee, hoe zit het dan?

3. Klopt het dat deze journalisten zich niet hoefden te identificeren en er geen wachtwoorden nodig waren? Zo nee, hoe zit het dan?

4. Klopt het dat de surveillanten niet doorhadden dat er journalisten meekeken met het tentamen?

Kunt u een feitenrelaas opstellen over dit datalek?

Antwoord op vraag 2,3,4,5:

Studenten ontvingen voorafgaand aan het betreffende tentamen een link naar de surveillance omgeving. Doordat een student een ‘’open guest link’’ naar de surveillance omgeving deelde, kon een journalist meekijken in de online surveillance omgeving. In deze omgeving zijn studenten met naam in beeld en worden ze door de surveillant één voor één om identificatie gevraagd. De surveillant vraag elke student om de studentenkaart te tonen voor de camera. Deze worden vervolgens vergeleken met de namen en studentnummers van de studenten die in de surveillanceruimte zouden moeten zitten. Indien een persoon zich niet kan identificeren wordt deze persoon uit de surveillanceruimte verwijderd. De surveillant heeft de journalist één keer gevraagd om zich te identificeren en vervolgens om de omgeving te verlaten. De tweede keer is de journalist uit zichzelf vertrokken. De journalist heeft de Hanzehogeschool geattendeerd op een datalek in de surveillance omgeving. De Hanzehogeschool heeft naar aanleiding hiervan het datalek gemeld bij de Autoriteit Persoonsgegevens. Vervolgens is het lek gedicht en is de tentamenplanning aangepast. Studenten die direct betrokken waren, zijn geïnformeerd over het feit dat een journalist toegang heeft gehad tot hun surveillancesessie en dat hij mogelijk beelden, namen en studentnummers heeft kunnen vastleggen. De Hanzehogeschool heeft excuses aangeboden aan de studenten en aangegeven dat het lek gemeld is de bij de Autoriteit Persoonsgegevens.

Alle studenten van de Hanzehogeschool zijn op de hoogte gesteld van het datalek, en de melding bij de Autoriteit Persoonsgegevens. Studenten zijn geïnformeerd door hun eigen opleiding over doorgang en vorm van toetsen.

De Hanzehogeschool heeft op dit moment een nieuwe manier van online surveillance ingericht en daarmee de veiligheid verbeterd. Elk tentamen vindt plaats in een veilige toetsomgeving binnen Blackboard Collaborate. De toegang tot de surveillanceomgeving is beveiligd met een accountnaam en wachtwoord. Alleen studenten die ingeschreven staan voor het tentamen, de docent en surveillanten hebben toegang tot de omgeving. De nieuwe surveillanceomgeving en de procedures zijn doorgelicht en getest.

6. Wat is uw boodschap aan de getroffen studenten?

Elke vorm van het lekken van persoonlijke informatie is onwenselijk en zorgelijk. Ik kan me voorstellen dat de studenten van de Hanzehogeschool geschrokken zijn toen het datalek bij hen bekend werd. Ik heb de Hanzehogeschool gesproken en ik heb begrepen dat de surveillance omgeving inmiddels is aangepast.

7. Wat zijn de vervolgstappen in deze casus?

De Hanzehogeschool Groningen heeft de studenten geïnformeerd over het datalek en aangegeven dat het datalek gemeld is bij de Autoriteit Persoonsgegevens. Daarnaast heeft de Hanzehogeschool haar excuses gemaakt en studenten continu op de hoogte gehouden over of tentamens wel of niet doorgingen en in welke vorm.

De Hanzehogeschool heeft inmiddels een nieuwe wijze van online surveillance ingericht en getest. Zowel de toets als de surveillance bevinden zich in een beveiligde omgeving waar de student alleen met zijn/haar persoonlijke inloggegevens in kan.

8. Wat is uw inzet om er voor te zorgen dat dit datalek het laatste incident was met online tentamens?

Zoals ik eerder heb aangegeven zijn datalekken zorgelijk en onwenselijk. Door de coronacrisis is in de afgelopen maanden bij de instellingen veel extra (ICT-)inzet gepleegd op het faciliteren van onderwijs en werken op afstand, maar ook op de daarmee gepaarde veiligheidsrisico’s. Tegelijkertijd was er veel aandacht voor het vergroten van bewustwording rondom security- en privacy in relatie tot nieuwe digitale tools zoals privacy en security rond videobellen, juiste tools voor online samenwerken, gebruik van een vpn om veilig thuis te kunnen werken, hoe gebruik te maken van wifi bij online samenwerken, phishing én online proctoring. Ook met het oog hierop heeft SURF samen met de instellingen een basismodule voor het Digitaal Brevet ontwikkeld, één voor studenten en één voor medewerkers: een e-learning tool voor de sector om bewustwording en vaardigheden op het gebied van security en privacy te leren en te toetsen. Hiernaast overleggen hogescholen en universiteiten regelmatig met elkaar over verschillende technologische ontwikkelingen en veiligheidsaspecten.

Ik wil de NVAO en de Inspectie vragen om een thematisch onderzoek te doen naar de kwaliteit van online onderwijs in het HO in de coronacrisis. Ik ben aan het verkennen of online tentaminering ook onderdeel kan zijn van dit onderzoek. Daarbij kan bijvoorbeeld de inzet en kwaliteit van online proctoring onderzocht worden.

9. Kunt u een overzicht verschaffen van alle bij u bekende privacyschendingen en overige incidenten met online tentamens?

Hoger onderwijsinstellingen dragen vanuit hun wettelijke taak de verantwoordelijkheid om de kwaliteit van de (online) examens en de onderdelen daarvan te waarborgen. Indien zich incidenten voordoen waarbij de kwaliteit niet gewaarborgd kan worden is het aan de betreffende examencommissie om in te grijpen. Hierbij is geen rol weggelegd voor mijn ministerie. Ik registreer daarom geen incidenten bij online tentamens.

10. Herinnert u zich de diverse waarschuwingen voor datalekken bij online tentamens?

De AVG stelt hoge eisen aan zorgvuldige verzameling en verwerking van persoonsgegevens, alsook aan de beveiliging en opslag van persoonsgegevens. Datalekken zijn nooit helemaal uit te sluiten, hoe goed een online systeem ook is ingericht. Daarom is het van groot belang dat instellingen zelf regelmatig controleren of de proctoring en online surveillance software voldoende beveiligd is.

11. Herinnert u zich dat u destijds geen concreet antwoord gaf toen de leden Van Raan en Van Esch aan u vroegen welke garanties u heeft dat “derden, zoals bijvoorbeeld de softwareleverancier, hackers, inlichtingendiensten of andere partijen geen toegang hebben tot de te verzamelen informatie”? 3)

12. Kunt u deze vraag van een actueel antwoord voorzien?

Antwoord op vraag 11 en 12.

In mijn vorige beantwoording heb ik aangegeven dat bij het gebruik van proctoring (en dus ook online surveillance) het van groot belang is dat de gegevens van studenten beschermd zijn. De afspraken die instellingen met de betrokken bedrijven en leveranciers maken, dienen in overeenstemming te zijn met de AVG. Daarnaast gaf ik aan dat ik de online veiligheid van studenten enorm belangrijk vind. Daarom heb ik instellingen opgeroepen om maatregelen te (blijven) nemen om de online veiligheid van studenten te vergroten, zeker wanneer zij nieuwe digitale tools gebruiken. In mijn brieven van 14 februari 2020 inzake cyberveiligheid in het onderwijs[1] en van 3 juli 2020 inzake het onderzoek naar de cyberaanval op de Universiteit Maastricht[2] heb ik uiteengezet welke maatregelen hoger onderwijsinstellingen hebben genomen om de cyberveiligheid te vergroten. Deze maatregelen betreffen een breed spectrum: het gaat zowel om het vergroten van het veiligheidsbewustzijn bij alle betrokken partijen, als om het verbeteren van detectie en het toedelen van de verantwoordelijkheid op de juiste niveaus binnen de instelling. Dit antwoord is nog steeds actueel.

13. Erkent u dat de huidige wet- en regelgeving kennelijk niet heeft kunnen voorkomen dat er een grove privacyschending heeft plaatsgevonden?

14. Is deze vaststelling voor u aanleiding om wet- en regelgeving te herzien? Kunt u dat toelichten?

15. Erkent u dat de privacy van studenten in de praktijk kennelijk niet gewaarborgd is? Zo nee, waarom niet?


Antwoord op vraag 13, 14 en 15.

Zoals ik al aangaf in mijn vorige antwoorden, is het helemaal uitsluiten van datalekken niet mogelijk. Daarom is het van groot belang dat instellingen maatregelen blijven nemen om de online veiligheid van studenten te vergroten. Voor de specifieke stappen en maatregelen verwijs ik u naar het antwoord op vraag 12. De AVG stelt al hoge eisen aan zorgvuldige verzameling en verwerking van persoonsgegevens en aan de beveiliging en opslag daarvan. Voor wat betreft de inzet van online proctoring is het heel belangrijk dat instellingen zich aan de AVG regels houden, en zo de privacy van studenten waarborgen. Er is op dit moment geen aanleiding voor het herzien van wet- en regelgeving, maar ik roep instellingen nadrukkelijk op om de AVG op te volgen en daarbij gebruik te maken van de richtlijnen van de AP en SURF.

16. Welke consequenties heeft deze vaststelling wat u betreft voor het organiseren van tentamens in de nabije toekomst?

Zoals ik heb aangegeven bij vraag 13, 14 en 15 roep ik instellingen nadrukkelijk op om de AVG op te volgen en daarbij gebruik te maken van de richtlijnen van de AP en SURF.

Ik wil de NVAO en de Inspectie vragen om een thematisch onderzoek te doen naar de kwaliteit van online onderwijs in het HO in de coronacrisis. Ik ben aan het verkennen of online tentaminering ook onderdeel kan zijn van dit onderzoek. Daarbij kan bijvoorbeeld de inzet en kwaliteit van online proctoring onderzocht worden.

17. Erkent u dat het in de praktijk – met de nodige aanpassingen – in principe nog steeds mogelijk is om veilige fysieke tentamens te organiseren? Zo nee, waarom niet?

18. Herinnert u zich dat de leden Van Raan en Van Esch aan u vroegen om “onderwijsinstellingen te helpen om zo snel mogelijk op veilige wijze tentamens te organiseren, zonder dat daar spionagesoftware bij komt kijken zodat de privacy van studenten niet wordt aangetast”?

19. Kunt u deze vraag nogmaals beantwoorden, inclusief een actuele stand van zaken van de wijze waarop onderwijsinstellingen aan de slag zijn met het organiseren van veilige fysieke tentamens?

Welke middelen gaat u de onderwijsinstellingen ter beschikking stellen om veilige fysieke tentamens te organiseren?

Antwoord vragen 17, 18, 19 en 20.

Het is sinds de zomer van 2020 voor onderwijsinstellingen mogelijk om tentamens op locatie te organiseren, zolang zij de richtlijnen van RIVM in acht nemen. Ook in de huidige lockdown mogen onderwijsinstellingen tentamens op locatie organiseren. Veel instellingen organiseren ook een deel van de tentamens op locatie. Daarnaast wordt op dit moment kennis opgedaan hoe sneltesten kunnen bijdragen aan het nog verder vergroten van de veiligheid voor studenten en medewerkers in het fysieke onderwijs, waaronder bij tentamens.

Het is echter wel aan de instellingen om op basis van de specifieke omstandigheden te bepalen welke toetsingsvorm en -locatie geschikt is voor hetgeen ze willen toetsen. Daarbij dienen instellingen een afweging te maken, waar zij voldoende aandacht moeten besteden aan de toetsingsvorm en de privacy van de student. Maar instellingen dienen ook voldoende aandacht te besteden aan de veiligheid van de student, de werkdruk binnen de instelling en de organiseerbaarheid van de tentamens. Hierdoor kan het voorkomen dat een instelling een online tentaminering als een beter alternatief beschouwt dan een tentamen op locatie.


1) AOb, 18 januari 2021, ‘Journalisten konden stiekem meekijken met online tentamen’, https://www.aob.nl/nieuws/journalisten-konden-stiekem-meekijken-met-online-tentamen/

2) Sikkom, 15 januari 2021, Datalek: iedereen kan meekijken bij online tentamens van Hanzehogeschool’, https://www.sikkom.nl/datalek-iedereen-kan-meekijken-bij-online-tentamens-van-hanzehogeschool/?harvest_referrer=https%3A%2F%2F

3) Aanhangsel Handelingen, vergaderjaar 2020-2021, nr. 846


Toelichting:
Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Futselaar (SP), ingezonden 20 januari 2021 (vraagnummer 2021Z01044).


[1] Kamerstuk 31288 nr. 832

[2] Kamerstuk 31288; 26643, nr. 872