‘Privacy zit bij de UU nog niet goed tussen de oren’

Aan het woord is Artan Jacquet, de functionaris voor gegevensbescherming van de Universiteit Utrecht. In niet mis te verstane bewoordingen reageerde hij eind april onder het artikel van DUB over de discussie in de U-raad over Zoom, proctoring en privacy. Zoom wordt in het onderwijs gebruikt om aan grote groepen studenten online college te geven en proctoring is een manier om online te surveilleren tijdens tentamens.

Jacquet schreef dat de argumenten van de rector om Zoom en proctoring te gebruiken, op hem overkomen als die van een dronken chauffeur. “Ja, het was een felle reactie", zegt hij als DUB hem begin mei spreekt. "Maar wat ik bedoelde te zeggen, was dat jaren geleden sommige automobilisten het onzin vonden dat ze niet met alcohol op achter het stuur mochten kruipen. Ook met een paar glazen op konden ze nog heel goed rijden.  Ze deden het bovendien alleen als het écht niet anders kon, anderen deden het toch ook, er was nog nooit een ongeluk van gekomen, enzovoorts. Nu vindt iedereen het heel normaal dat wie met te veel alcohol in het lijf een auto bestuurt, strafbaar is. De Algemene Verordening Gegevensbescherming bestaat nu vier jaar en dan mag je toch veronderstellen dat iedereen die wet heeft geaccepteerd en volgt?”

De Universiteit Utrecht stelde Jacquet in mei 2018 aan als haar ‘privacywaakhond’. De Algemene Verordening Gegevensbescherming werd toen na twee jaar wennen “afdwingbaar”. Jacquet moet in zijn functie als functionaris gegevensbescherming zorgen dat de universiteit de privacyregels naleeft. Daarover geeft hij gevraagd en ongevraagd advies aan het universiteitsbestuur. Met pijn in zijn hart ziet hij dat privacy nog niet goed tussen de oren van het bestuur lijkt te zitten. “Er wordt nog onvoldoende nagedacht over privacy. Het zou helpen dat wanneer beleidsstukken worden gemaakt, de  vraag 'en hoe zit het met de persoonsgegevensbescherming' standaard op het lijstje staat.”

Er zijn belangrijke stappen overgeslagen

Jacquet beseft dat er situaties op de universiteit zijn waarin privacy een ondergeschikte rol speelt omdat er een groter belang gediend moet worden, zoals bij Zoom of proctoring. “Maar als je vindt dat de privacy moet wijken, dan moet je met een goede onderbouwing en argumenten komen. Die mis ik in de discussie rondom proctoring en Zoom. Het grondrecht op privacy is niet absoluut. Het is geen zero sum game; het is niet óf privacy óf proctoring. Je moet goed bekijken wat het best haalbare is. Daarvoor zijn goede procedures en die kun je ook versneld doorlopen. ”

Andere universiteiten doen dat volgens hem. “Als privacy dan op onderdelen eventueel moet wijken, heb je dat in elk geval degelijk overwogen en kun je goed beargumenteren waarom. In het geval van Zoom en proctoring lijkt me dat dat op deze universiteit echt onvoldoende zorgvuldig gebeurt. Het zijn programma’s die op kleine schaal als pilot werden getest en ineens UU-breed werden uitgerold toen al het onderwijs online moest. Daarbij zijn belangrijke stappen overgeslagen, terwijl we – onder andere van collega-instellingen – wel grote risico's en tekortkomingen kenden. Vooralsnog heb ik dan ook negatief geadviseerd over de inzet van deze programma’s.”

Zoom is zo lek als een mandje, proctoring

Over het programma Zoom kan hij kort zijn. “Dat programma was zo lek als een mandje. Met de andere universitaire privacyfunctionarissen wisselden we in onze Signalgroep een paar weken lang dagelijks berichten uit over nieuwe, bewezen privacy-issues. Dat we dat programma binnen de UU niet verbieden, vind ik slecht. Teams is een goed alternatief en als het goed wordt gebruikt, geeft het ook de vereiste privacy. Voor gemiste functionaliteit bestaan in bijna alle gevallen andere praktische oplossingen. Het argument dat een overstap de werkdruk van docenten verhoogt, is misschien waar, maar niet direct doorslaggevend. Overstappen is altijd even wennen, maar Zoom en Teams lijken op elkaar, dus onoverkomelijk kan het ook weer niet zijn.”

Proctoring zit wat ingewikkelder in elkaar. Voor het gebruik van dit middel kan Jacquet zich nog voorstellen dat het universiteitsbestuur dit programma uiteindelijk verkiest boven de privacy-gevaren. “Maar dan moet de universiteit wel gedegen hebben uitgezocht dat er geen alternatief voor dit programma is en dat heeft ze nog niet gedaan. Daarmee is de universiteit in overtreding.”

Het moet duidelijk zijn welk doel een tool dient

In tegenstelling tot wat vaak wordt gedacht, is de vraag eigenlijk nooit óf iets mag van de AVG, zegt Jacquet, maar hoe je dat kan inzetten zodat het toch mag onder de AVG. Heel kort samengevat moet sinds de AVG duidelijk worden aangetoond waaróm een bepaald programma gebruikt wordt. Hiervoor moet een stappenplan worden gevolgd. “Eerst moet duidelijk zijn wat het doel is om een bepaalde tool in te zetten. Dan moet worden gekeken of de tool doet waar je het voor inzet, en of het doel ook op een andere manier bereikt kan worden. Daarna of de privacy van de gebruikers gewaarborgd wordt. Daarvoor moet je de software beoordelen, maar bijvoorbeeld ook goede afspraken maken met de leverancier wat er wel en niet met data moet gebeuren.”

Ook moet een dergelijke procedure zijn ingebed in het beleid. “Voor proctoring betekent dit onder andere dat je een goede beslisboom hebt onder welke voorwaarden het ingezet kan worden. En je moet goede instructies maken om te zorgen dat iedereen het veilig en correct kan gebruiken. Over dat alles informeer je betrokkenen helder en beknopt, zodat ze begrijpen hoe en waarom en welke gegevens we van ze gebruiken. Pas als je dat hele veld goed overziet, kun je een zinnig antwoord geven op de vraag: ‘doen’ of ‘niet doen’.”

De UU riskeert een forse boete

Jacquet zegt dat de argumenten van het College van Bestuur op zich hout snijden. “De werkdruk van docenten niet willen verhogen en onderwijsvertraging voorkomen zijn op zich goede redenen om een tool als proctoring te willen inzetten. Maar door privacy-bezwaren aan de andere kant klakkeloos terzijde te schuiven en de uiteindelijke keuzes niet met de verplichte zorgvuldigheid te onderbouwen, benadeelt het CvB de betrokkenen onnodig en riskeert ze een fikse boete. Als de toezichthouder – de Autoriteit Persoonsgegevens (AP) – komt controleren dan moet je je dossier op orde hebben, zo niet dan kan de AP theoretisch een boete uitschrijven ter hoogte van 4 procent van de omzet. Dat zou in het geval van de UU een miljoenenbedrag zijn. Dat is hoe belangrijk we privacy als samenleving tegenwoordig vinden.”

Een deugdelijk tentamen hoeft niet per se een kennistoets te zijn waar proctoring voor wordt ingezet

Jacquet is er bovendien niet van overtuigd dat proctoring nodig is, ook niet in een tijd dat al het onderwijs en tentaminering online moet. “De Universiteit Utrecht heeft als doel om met goed onderwijs en deugdelijke tentamens betrouwbare diploma’s af te leveren. Een deugdelijk tentamen hoeft niet per se een kennistoets te zijn waar proctoring voor wordt ingezet. Maar stel dat je wel een kennistoets wilt uitschrijven, dan moet je ervan op aan kunnen dat studenten niet kunnen spieken. Bij een test door een andere Nederlandse universiteit lukte het ingehuurde werkstudenten om op allerlei manieren te frauderen zonder dat het programma dat de UU wil gebruiken dat ontdekte. Dan doet de tool niet wat je ervan verlangt. Je zou dan nauwelijks extra zekerheid over fraude kopen met veel privacy-schade - dat weegt niet tegen elkaar op.”

Jacquet zegt dat de universiteit inderdaad onderzoekt op welke manier persoonsgegevens in het geding zijn. “ Maar wat te denken van de overname van je bureaublad, inzage in browsergeschiedenis, binnenkomende berichtjes via chatprogramma's. Bij sommige programma's zelfs precieze muis- en oogbewegingen. Maar ook: via de webcam verplicht je hele kamer laten zien – inclusief omstreden boeken in je boekenkast, het kruisje boven je deur, de politieke of pikante poster aan de muur of die rebelse vlag.  En als je je als student voor de camera moet legitimeren zien ze je hele ID. Is dan een oproep je BSN-nummer af te schermen voldoende? Hoe doe je dat eigenlijk, en zou je niet ook bijvoorbeeld je geboorteplaats en het documentnummer moeten afschermen?”

Ik moet vaak tegen mensen zeggen wat er niet goed gaat

De functie van Jacquet is om de universiteit zich aan de privacywetgeving te laten houden. Dat doet hij door gevraagd en ongevraagd het universitaire beleid waar privacy in het spel is, te toetsen aan de regelgeving. Zo moet voorkomen worden dat de UU de wet overtreedt. Hij legt over zijn werk verantwoording af aan de Autoriteit Persoonsgegevens maar zijn salaris wordt betaald door de universiteit. Wat dat betreft is zijn functie dus een wat vreemde eend in de bijt binnen de universiteit. Zijn werk is niet altijd leuk, zegt hij. “Ik moet vaak tegen mensen zeggen wat er niet goed gaat. Vaak krijg ik dan een reactie als ‘kom nou, is die AVG echt zo streng’ of ‘zijn de stappen die we al wel genomen hebben niet een zesje’, maar helaas kunnen we als UU vaak zelfs die magere voldoende niet goed hard maken. Dikwijls is er nog veel werk te verzetten. Daar is proctoring slechts één voorbeeld van.” 

*Uit privacyoverwegingen wil Artan Jacquet niet dat zijn foto op een openbare website wordt gepubliceerd