Op bijna elke straathoek zien we ze wel: beveiligingscamera’s. Aan deze beveiligingsmaatregel zijn strenge regels verbonden. Tijdens de lockdown heeft de Universiteit Leiden besloten om gebruik te maken van surveillancesoftware. Bij elke ingang, van zowel gebouwen als collegezalen, zijn slimme camera’s opgehangen. De reden hiervoor zou zijn om het aantal personen te kunnen tellen. Experts maken zich echter zorgen. De camera’s kunnen namelijk veel meer, maar wat precies? En wat is er juridisch mogelijk?
Slimme camera’s
Met 371 camera’s hield de universiteit sinds 2020 de bezoekersaantallen bij. Ondanks zorgen over de privacy bij de universiteitsraad, is dit camerasysteem met een versneld traject goedgekeurd. Volgens het bestuur zouden er namelijk ‘geen persoonsgegevens worden vastgelegd’. Het zomaar plaatsen van camera’s kan strafbaar zijn, aangezien op de universiteit een informatieplicht rust. Hoewel deze camera’s al een jaar in werking zijn, is dit pas recentelijk bekendgemaakt aan de studenten en medewerkers.
De camera’s zijn gemaakt door de Zwitserse fabrikant Xovis, en kosten 600 euro per stuk. Een flinke investering om enkel bezoekers mee te tellen, maar uit onderzoek van het Leids Universitair Weekblad Mare is gebleken dat de camera’s meer kunnen dan louter bezoekers tellen. Ze zijn namelijk voorzien van kunstmatige intelligentie, waardoor ze looproutes kunnen volgen, leeftijd en lengte kunnen inschatten en geslacht of humeur bekijken. De fabrikant moedigt kopers aan ze te gebruiken voor het handhaven van de afstandsmaatregelen in het kader van social distancing. Ook is recentelijk de mondkapjesdetectie aan de mogelijkheden toegevoegd. Fabrikant Xovis gebruikt zelfs de slogan: ‘Way more than people counting.’
Niveaus van privacy
De camera’s zijn dus tot veel meer in staat, maar of dat ook gebeurt hangt af van de instellingen. Van de 4 niveaus [0-3] is 3 het niveau waarbij gegevens opgeslagen worden over het aantal voorbijgangers. Verder volledig anoniem dus. Op het laagste niveau [0] wordt niks afgeschermd. De universiteit heeft laten weten niveau 1 te hanteren, waarop mensen alleen als silhouetten te zien zijn. De universiteit beweerde dat de camera’s nooit op stand 0 hebben gestaan. Echter, uit gegevens van augustus 2021 is gebleken dat minstens één camera wel op dit niveau stond afgesteld, waardoor wel degelijk mensen in beeld zijn gekomen.
De enige manier om de instellingen van het systeem aan te passen is met een master key. Hoewel volgens Mare het systeem beheerd wordt door het Universitair Facilitair Bedrijf, bezitten zij niet de master key. De instellingen zouden uitsluitend door de leverancier, in opdracht van de universiteit, aangepast kunnen worden.
Dit lijkt de veiligheid te garanderen, maar de inlogpagina van de camera’s was tot twee weken geleden via Google te vinden, en deze was enkel beveiligd met een wachtwoord. Mare heeft ethisch hacker Sijmen Ruwhof gevraagd om naar de pagina te kijken. Volgens hem horen zulke beheerders-inlogschermen niet via openbaar internet beschikbaar te zijn. Naast dat een deel van de gegevens via internet te bereiken was, is zelfs gebleken dat minstens één camera verkeerd was afgesteld, waardoor gebruikers de videobeelden live konden bekijken.
Wat is van rechtswege toegestaan?
Volgens de Autoriteit Persoonsgegevens, de instantie die persoonsgegevens beschermt, is cameratoezicht wel toegestaan op school. Er wordt echter erkend dat de inbreuk op de privacy groot is, waardoor de camera’s alleen gebruikt mogen worden als zij aan bepaalde voorwaarden voldoen. Twee eisen staan centraal: de onderwijsinstelling moet een gerechtvaardigd belang hebben voor het gebruik van de camera’s, en het gebruik moet noodzakelijk zijn. Als er een andere, minder ingrijpende mogelijkheid bestaat, dan moet de onderwijsinstelling eerst die nagaan. Verder mogen de camerabeelden alleen bekeken worden door medewerkers met een bepaalde functie, wat op de Universiteit Leiden niet het geval was
Wat hangt de universiteit nu eigenlijk boven het hoofd? De Autoriteit Persoonsgegevens is bevoegd om sancties op te leggen indien organisaties de privacywetgeving overtreden. Iedere student of medewerker kan bij de Autoriteit Persoonsgegevens een verzoek tot handhaving indienen, wat kan resulteren in een boete. Deze kan oplopen tot een bedrag van 20 miljoen euro. Een boete die zo hoog is komt niet veel voor, maar er worden wel flinke boetes uitgedeeld. Zo heeft TikTok afgelopen zomer wegens de schending van privacy van kinderen een boete van 750.000 euro opgelegd gekregen. De universiteit zou dus, door het gebruik van de camera’s, een fikse boete kunnen krijgen.
Blokkade
Veel studenten zijn teleurgesteld door de gebrekkige communicatie van de universiteit, die dit inmiddels heeft toegegeven. Er is een petitie gestart tegen het gebruik van de camera’s, die inmiddels al meer dan 1500 keer ondertekend is. Ook is dinsdagmiddag 7 december door studenten de ingang van het Lipsiusgebouw geblokkeerd. Ze kregen bijval van meer dan 160 medewerkers van de universiteit, die zich ook zorgen maken over het waarborgen van de privacy. Hun doel was om in gesprek te gaan met de universiteit. Volgens initiatiefnemer Wiebes is het een probleem dat de veiligheid van de gegevens niet gegarandeerd is, en hij is bang dat de gegevens kunnen uitlekken. Inmiddels hebben alle studenten en medewerkers een uitgebreide mail ontvangen waarin het belang van de camera’s wordt benadrukt. Toch heeft de universiteit besloten de privacyinstellingen van de camera’s op de hoogste, en meest anonieme, stand te zetten.
Huidige situatie
Vanwege de onrust die over de privacy is ontstaan, heeft de universiteit besloten de camera’s tijdelijk uit te schakelen. In een brief van de Universiteitsraad werd donderdag bij het College van Bestuur aandacht gevraagd voor de bezorgdheid onder studenten en medewerkers. Verder stond in de brief dat niet alleen de feitelijke privacy van belang is, maar ook het gevoel van privacy op de campus. Volgens de universiteit geeft dit ruimte om grondiger onderzoek te doen naar het camerasysteem, waar ze een derde partij voor willen inschakelen. Wanneer dit onderzoek gaat plaatsvinden is nog niet bekend. Wel heeft de voorzitter van het College van Bestuur, Annetje Ottow, laten weten zo snel mogelijk in gesprek te willen met studenten en medewerkers die zorgen hebben. Mare heeft wel kunnen bevestigen dat de camera’s vóór de uitschakeling daadwerkelijk op niveau 3 waren ingesteld. Dit hebben ze kunnen nakijken omdat de camera’s nog steeds via openbaar internet benaderbaar waren.
Conclusie
Het gebruik van camera’s is dus toegestaan, maar in Leiden zijn er nog enkele gebreken. De beveiliging is niet in orde en de camera’s registreerden tot voorkort meer dan alleen bezoekersaantallen. Dit spoorde de studenten aan om het heft in eigen handen te nemen. Na de petitie en de blokkade heeft de Universiteit Leiden aangegeven in gesprek te willen gaan met studenten. Inmiddels zijn de camera’s zelfs tijdelijk uitgeschakeld. Wat de gesprekken met de universiteit gaan opleveren zal de tijd ons leren.
Bronnen
https://www.mareonline.nl/achtergrond/opeens-hangen-er-overal-slimme-cameras-en-die-zien-alles/
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/foto-en-film/cameratoezicht-op-school
https://www.leidschdagblad.nl/cnt/dmf20211122_87997044?utm_source=google&utm_medium=organic
https://www.leidschdagblad.nl/cnt/dmf20211119_53414660?utm_source=google&utm_medium=organic
https://www.omroepwest.nl/nieuws/4491779/studenten-blokkeren-gebouw-universiteit-leiden
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/het-werk-van-de-ap
https://autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties
https://nos.nl/artikel/2408868-universiteit-leiden-schakelt-omstreden-camera-s-voorlopig-uit