Hanzehogeschool Groningen maakt melding van datalek bij tentamensurveillance

De Hanzehogeschool in Groningen gaat melding maken van een datalek bij zijn tentamensurveillance-omgeving. Guest access stond nog ingeschakeld in de videoconferencing-applicatie, waardoor iedereen met een link kon meekijken met de studenten.

Het nieuws kwam aan het licht nadat Gronings stadsblad Sikkom een tip kreeg van een student. De studenten krijgen een link toegestuurd die verwijst naar de digitale ruimte waarin ze worden gesurveilleerd. In deze ruimte kan een surveillant meekijken met webcambeelden van de student en ook de inhoud van hun scherm bekijken. Dat kon de redactie van Sikkom ook, dankzij de uitgelekte link. De software die de Hanzehogeschool gebruikt is Blackboard Collaborate.

Volgens juristen die Sikkom gesproken heeft, is de Hanzehogeschool onder de AVG verantwoordelijk voor het datalek, ondanks dat de aanleiding een lek vanuit een student was, die daarmee het studentenstatuut overtrad. De digitale omgeving is in het beheer van de hogeschool en de onderwijsinstelling is ook degene die het gebruik ervan verplicht.

Naast het informeren van de Autoriteit Persoonsgegevens gaat de Hanzehogeschool studenten nadrukkelijker wijzen op de vertrouwelijkheid van de links en studenten na identiteitscontrole naar een nieuwe surveillance-omgeving verplaatsen voor extra veiligheid. De studenten die mogelijk slachtoffer zijn geworden van dit datalek, worden benaderd door de school.

Sikkom zocht ook contact met de Rijksuniversiteit Groningen, die hetzelfde systeem gebruikt. De RUG claimt dat dit beveiligingsprobleem daar niet aan de orde is, omdat ze guest access uitgeschakeld hebben staan. Dat is de standaardinstelling bij Blackboard Collaborate.

Reacties (141)

William_H 17 januari 2021 13:03

"Volgens juristen die Sikkom gesproken heeft, is de Hanzehogeschool onder de AVG verantwoordelijk voor het datalek, ondanks dat de aanleiding een lek vanuit een student was, die daarme het studentenstatuut overtrad."
Ik mis hier een beetje het feit dat de student misschien dan wel een overtreding heeft gedaan, maar hij wel "gelekt" heeft naar journalisten. Gezien in het licht waarin en hoe studenten gesurveilleerd worden op dit moment, en dat tegengas over dit onderwerp niet gewaardeerd wordt door vele scholen, snap ik dat de student voor deze optie is gegaan. Het is niet alsof hij/zij iets gekraakt heeft en verkocht heeft aan de hoogste bieder op een darknet.

mjtdevries @William_H • 17 januari 2021 13:16

Dat mensen van buiten de hogeschool er bij konden komen was inderdaad door toedoen van een student. Als jij een link naar jouw sessie doorsteurt naar anderen, dan ben je zelf ook medeverantwoordelijk als daardoor anderen kunnen meekijken. (los van de discussie of die link niet beter beschermd had moeten worden met een wachtkamer functie en wachtwoord)

Maar dat verweer is uitermate zwak. Want in het gelinkte artikel van Sikkom is te zien dat die link niet uniek was voor die student. Als ze op dezelfde link blijven zitten dan begint er enige tijd later een nieuw examen met een andere student.

Uiteraard is vanuit de AVG ook niet toegestaan dat andere studenten kunnen meekijken. En daarvoor hoefde niemand een link van zijn eigen sessie door te sturen naar anderen. Je kon gewoon in je sessie blijven zitten.

Daar is geen enkel excuus van de hogeschool voor mogelijk.

androidlovertje @mjtdevries • 17 januari 2021 14:43

Ik ben zelf student aan de Hanzehogeschool. Het is de bedoeling dat je je telefoon achter je neer zet zodat de zijkant van je hoofd, je beeldscherm en je handen zichtbaar zijn. Op je telefoon moet je het linkje openen waardoor je telefoon functioneert als camera. Vervolgens zit je in een sessie met 3 andere studenten en een servant. Het programma Blackboard collaborate is een standaard videobel programma. Dit zorgt er dus voor dat als je achterom kijkt (naar het scherm van je telefoon) je ook mee kan kijken met de andere 3 studenten (die hebben immers ook hun camera aan). Omdat het op je telefoon moet zijn de schermen aardig klein maar de andere studenten zijn nog steeds te herkennen. Bovendien als je niet je telefoon gebruikt maar je iPad of een andere laptop (de servant kan niet zien op wat voor apparaat je zit) dan kan je letterlijk de antwoorden lezen van de andere studenten.

Dat is de grootste ergernis van mij: dat niet alleen de servant maar ook 3 andere studenten zo mee kunnen kijken met mijn tentamen en mijn kamer in kunnen kijken (dit is volgens jou dus instrijd met de AVG). Stel een student schrijft al mijn antwoorden over dan worden we allebei (ik dus ook) aangemerkt als fraudeur. De servanten zitten in meerdere sessies waardoor ze niet altijd iedereen constant in de gaten kunnen houden dit maakt het dus mogelijk om snel de antwoorden van een andere student op te schrijven. Je kunt 3 andere studenten zien dus het beste antwoord uitkiezen. Ook als ze de URL dus wel met een wachtwoord voorzien dan kunnen alsnog 3 studenten mee kijken.

[Reactie gewijzigd door androidlovertje op 24 juli 2024 01:39]

ErwinPeters @androidlovertje • 17 januari 2021 15:37

Ik zou hier niet aan meewerken als ik jou was. Ik zou eens na gaan vragen op welke basis ze je dit kunnen verplichten.

androidlovertje @ErwinPeters • 17 januari 2021 15:45

Iemand uit mijn klas heeft dat gevraagd en de reactie die hij kreeg was: niemand dwingt je om je tentamens te maken.

Je hebt elk jaar voor elk tentamen 2 of 3 kansen om hem te maken en daarvan mag je van 2 gebruik maken. Je wordt dus eigenlijk gedwongen om mee te werken hieraan. Zet je je camera niet aan krijg je een 1 (en dus geen punten waardoor je de eerste kans gemist hebt en nog maar 1 kans hebt) en waarschijnlijk moet je ook naar de examencommissie omdat je niet aan de voorwaarden hebt voldoen.
Maak je je tentamens niet dan haal je je punten niet waardoor je het jaar over kan gaan doen terwijl je wel collegegeld hebt betaald.

Dus het is simpel als student moet je wel.

[Reactie gewijzigd door androidlovertje op 24 juli 2024 01:39]

ErwinPeters @androidlovertje • 17 januari 2021 16:00

Ik zou hier het juridisch loket eens over gaan raadplegen. Als iemand onder het minimum inkomen daarvoor kost het je niets.

androidlovertje @ErwinPeters • 17 januari 2021 16:01

Ik heb net in mijn reactie op biteMARK deze bron gegeven:
nieuws: Rechter: Universiteit mag surveillancesoftware blijven inzetten tijde...

Dus ik denk persoonlijk niet dat dat veel zin heeft.

ErwinPeters @androidlovertje • 17 januari 2021 16:10

Deel van de kamer en andere studenten die meekijken is hier een wezenlijk verschil. Ik vind het een slechte ontwikkelling dat dit soort surveillance de norm wordt.

Arnoud Engelfriet @ErwinPeters • 18 januari 2021 10:26

Ik ben het met je eens, maar juridisch gezien is er op dit moment niet echt meer een argument om hiertegen bezwaar te maken. De rechter heeft laten zien het belang van surveillance zeer veel zwaarder te wegen dan privacyaspecten van studenten.

THA_ErAsEr @ErwinPeters • 18 januari 2021 10:56

Dit wordt toch niet de norm? Dit wordt momenteel gebruikt zodat studenten op een (physisch) veilige manier hun examen/tentamen kunnen doen. Door covid-19

aikebah @androidlovertje • 17 januari 2021 16:14

Denk dat er nog best een kans is dat deze vorm - waarbij niet alleen de surveillant, maar ook de medestudenten, je camerabeeld kunnen zien - niet de juridische toets der kritiek kan doorstaan.
De proctoring/videosurveillance mag dan wel 'acceptabel' geacht zijn, ik betwijfel of dat ook zal gelden voor de mogelijkheid van anderen dan het toezichthoudend personeel en door hen ingeschakelde dienstverleners om jouw camerabeeld te bekijken. Daar zou de privacy dan mijns inziens horen te prevaleren en de hogeschool dus moeten zoeken naar een minder privacy-invasieve vorm van videosurveillance.

TheVivaldi @aikebah • 17 januari 2021 17:14

Of helemaal geen videosurveillance en de tentamens wat meer spreiden zodat ze in kleine groepen op school kunnen worden gemaakt. Kleine groepen zijn goed over het lokaal te verdelen, dus nauwelijks kans op coronabesmetting, en het scheelt een hoop privacygedoe.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 01:39]

aikebah @TheVivaldi • 17 januari 2021 17:22

Dat zou ook een alternatieve optie zijn ja, maar ging mij er vooral om dat 'proctoring software juridisch verdedigbaar' nog niet betekent 'iedere willekeurige variant van videosurveillance kan juridisch door de beugel' en de hogeschool lijkt toch de voorkeur te geven aan 'massaal tentamens op afstand' boven de logistieke en arbeidsintensieve (ieder tentamenslot zal weer een uniek tentamen moeten hebben tegen het onderling doorgeven van de tentamenvragen) in kleine groepen tentamen maken op locatie.

Gomez12 @aikebah • 17 januari 2021 21:04

en arbeidsintensieve (ieder tentamenslot zal weer een uniek tentamen moeten hebben tegen het onderling doorgeven van de tentamenvragen) in kleine groepen tentamen maken op locatie.

Het zal deels ook arbeidsintensief zijn, maar ik denk dat het probleem bij per tentamenslot een uniek examen meer ligt in dat het simpelweg geen gelijke examens zijn.

Als nu de hele woensdag-middag selectie slaagt en de hele donderdag-middag selectie die slaagt niet, dan krijg je altijd de vraag : Hoe verschillend waren die tentamens...

Wh4ck0 @Gomez12 • 18 januari 2021 11:43

Ik denk dat je eerder moet denken aan een tijdslot per vak en dan verspreid over meerdere lokalen. Niet ook nog eens het vak verspreiden over meerdere dagen met meerdere examen versies

peize9 @ErwinPeters • 17 januari 2021 18:58

Er is dus op een bepaald moment een rechtszaak geweest van studenten vs een universiteit. De universiteit heeft gewonnen en dit zal bijna altijd het geval zijn.

Dnomyar96 @androidlovertje • 17 januari 2021 16:25

Dank voor deze informatie. Ik heb een vriend die op de Hanze zit, dus zal hem ook eens navragen over dit onderwerp. En zoals anderen al aangeven, dit mag helemaal niet van het AVG. 1-op-1 kan ik me voorstellen dat het mag, maar niet zomaar met andere studenten erbij. En al helemaal niet als je geen andere keuze hebt.

PrismSub7 @androidlovertje • 17 januari 2021 21:12

Goed om te onthouden voor het volgende jaar, niemand dwingt je inderdaad om tentamens te maken bij de Hanzehogeschool.
Net zoals je zorgverzekering/telefoonabbo, even elk jaar kijken of je niet bij de verkeerde zit. Nu scholen tegenwoordig digitaal zijn is overstappen nog makkelijker.

IHVD @androidlovertje • 18 januari 2021 09:15

Ik ben ook student aan de Hanze, en wat ben ik blij dat onze opleiding inmiddels geen tewntamens meer heeft...
Toen ik het mailtje van Dick binnen kreeg dacht ik al van "daar gaan we weer...". Ik snap dat Hanze er alles aan wil doen om geen studievertragingen op te lopen maar gooi de gebouwen gewoon weer dicht voor in-person classes want dit gaat zo niet goed

biteMark @androidlovertje • 17 januari 2021 15:59

Riekt naar machtsmisbruik?

Edit: waarom 0-mod? Draagt niet bij aan de discussie? Trolling? Of staat het je gewoon niet aan?

[Reactie gewijzigd door biteMark op 24 juli 2024 01:39]

androidlovertje @biteMark • 17 januari 2021 16:00

Ja dat vind ik ook.

Helaas denkt de rechter daar anders over:
nieuws: Rechter: Universiteit mag surveillancesoftware blijven inzetten tijde...

bussie66 @androidlovertje • 17 januari 2021 16:28

Rechters denken wel eens vaker verkeerd. Kinderopvangtoeslagaffaire....

Arnoud Engelfriet @bussie66 • 18 januari 2021 10:27

Die affaire is een zware schande maar heeft met de rechter niets te maken. Ons Parlement heeft een zeer oneerlijke en keiharde wet gemaakt, en de Belastingdienst heeft bewust gekozen voor een criminele uitvoering waarbij echter volledig binnen wettelijke kaders werd geopereerd om mensen te discrimineren en financieel kapot te maken. (Google eens op "afpakjesdag".) De rechter is door de wet vrijwel volledig buiten spel gezet daarbij.

AMD1800 @androidlovertje • 17 januari 2021 16:17

Helaas dat de rechter er anders over denkt. Ik vind dat scholen geen voorwaarden zouden mogen stellen. Alleen al omdat je zonder diploma eigenlijk nergens komt en er dus van afhankelijk bent om brood of tafel te krijgen. Je hebt dus geen keus dan maar te tekenen, ondanks dat je het niet eens bent met de voorwaarden. Ik vind ook dat de Hanze en de Rijksuniversiteit al meerdere keren heeft laten zien dat ze niet kunnen omgaan met de verantwoordelijkheid die ze hebben om de privacy van hun studenten te beschermen.

Ditzelfde geldt ook voor diensten als Whatsapp. En hoezo zijn er eigenlijk voorwaarden aan een zorgverzekering verboden? Die is zelfs hard verplicht.

MennoE @AMD1800 • 17 januari 2021 22:28

Ja ik vind ook dat de overheid geen voorwaarden zou mogen stellen als ik in Nederland wil wonen, zoals wetten en zo. Ik moet toch ergens wonen? Ik heb geen keuze dan die wetten maar te accepteren. Machtsmisbruik!

honey @androidlovertje • 18 januari 2021 12:33

Wat gebeurd er als je verbinding uitvalt of de batterij op is?

Meteen een 1?

grasmanek94 @ErwinPeters • 18 januari 2021 08:53

En wat moet je als student dan doen?

Er zijn niet altijd andere hogescholen binnen een praktische afstand bereikbaar.
School veranderen zet men ook stappen mee terug (verlies van tijd).
Doet men de examens niet dan haal je dit jaar gewoon niet (verlies van tijd).
Ga je een juridische strijd aan, en weiger je mee te doen, moet je achteraf (wss jaar, jaren later) nog eens alles maken, weer tijd verloren. Misschien verlies je wel, want tegenwoordig is menselijkheid blijkbaar bij rechters ook ver gezocht.

Uiteindelijk zit je met alle stappen hier mogelijk zonder een diploma. Een student wordt gewoon geforceerd hieraan mee te werken, of het nou wel/niet legaal, wel/niet ethisch is.
Dit is fout en moet anders, maar anders moet door een duidelijk(er) wettelijk kader waarin (hoge)scholen moeten werken.
Als Nederland alleen maar "robot-rechters" heeft, dan moet de wet maar zo goed mogelijk worden afgebakend op alle mogelijke situaties (en eigenlijk in het voordeel en belang van de burger, de scholen moeten zich maar aanpassen, gezien menselijkheid soms ver gezocht is in de wetgeving).
Helaas helpt niks alle studenten "nu". Als mensen dit NU serieus nemen, zijn we jaren verder.

Het is wel een goed voorbeeld van pure machtsmisbruik, in mijn ogen dan.

[Reactie gewijzigd door grasmanek94 op 24 juli 2024 01:39]

mjtdevries @grasmanek94 • 18 januari 2021 12:38

Je zou het als student ook eens vanuit de andere kant kunnen bekijken.
Wat moet een hogeschool of universiteit dan doen?

Op een fysieke lokatie is er ook iemand die in de gaten houd of mensen niet spieken etc.
Niemand die ooit heeft geklaagd dat ze dat niet acceptabel vinden.
Maar hoe moeten ze dat nu bij een lockdown regelen?

Niets doen? Dan weet je zeker dat er misbruik van word gemaakt.
Jij doet dat natuurlijk niet, maar je collega studenten wel. Dat betekent dat jouw papiertje dan waardeloos word.

Kun je het je voorstellen bij sollicitaties? Oh, je bent afgestudeerd in 2020? Je hoort nog van ons... volgende kandidaat!

Dat er een soort controle moet zijn is volstrekt logisch. Hoe je het doet is een punt van discussie.
Wat studenten hadden moeten doen is samen met hogescholen en universiteiten kijken wat een acceptabele controle is.
Maar nu hebben gezegd dat ze helemaal geen controle willen. Dan zet je jezelf buiten spel. En dan ben je dus ook geen gesprekspartner voor de wijze waarop de controle gedaan word. Niet handig van ze.

grasmanek94 @mjtdevries • 18 januari 2021 14:14

- Open boek tentamens, je mag zoveel internet en boeken gebruiken als je wil (ik heb in mijn schooljaren genoeg toetsen gehad waar men niks had aan internet of boeken, men moest de stof echt begrijpen)

- Persoonlijk project (of paar kleinere projecten), combineer meerdere vakken, elk persoon moet een project maken waarbij alle vaardigheden nodig zijn, beoordeel dit project met 2 (of meer?) docenten, leerlingen moeten keuzes documenteren, verantwoorden, en verdedigen in een gesprek

Hoe hatelijk veel mensen dat ook vinden, het is toch nodig:

- Groepsproject (met verplichte logging van het werk + wijzigingshistorie)

Alles 33% mee tellen, waarvan 2 componenten minimaal een voldoende moeten zijn (maar waarschijnlijk alle drie, als ik scholen ken).

Genoeg oplossingen die laag hangend fruit zijn. Heel dat tentamen gedoe ben ik persoonlijk toch nooit voorstander van geweest (niet 15 jaar geleden, niet 10 jaar geleden, ook niet 5, niet nu, en ook niet in de toekomst). M.i. leren we mensen dan alleen om goed te scoren op een (papieren) test, en dat is dan alles.

Natuurlijk zijn er uitzonderingen, het zal lastig zijn een geschiedenis test met open boek te doen, of niet als een "op papier tentamen". Daarvoor is heus geen invasieve software nodig. Mondelinge toetsen bestaan ook (met zowel voor- en nadelen).

En soms moet je nou gewoon wat vertrouwen hebben.

Uiteindelijk zijn het de valsspelers die zichzelf hebben, wanneer ze voor werk kiezen waarbij ze gelogen hebben over de vaardigheden die ze bezitten. Dat is dan niet het probleem van de eerlijke mensen, of het onderwijs.
Verder kunnen mensen alle diploma's in de wereld hebben die er bestaan, en nog steeds een baan niet kunnen uitvoeren (helemaal niet, of op een goede manier).
Dus zo zwart wit is het niet.
Iemand aannemen is altijd een risico voor een werkgever.
Verder hebben we ook nog de uitzonderlijke gevallen waarbij mensen een gefabriceerd certificaat of diploma gebruikt om binnen te komen. De leugenaars doen het toch.

Dus geef die leerlingen gewoon wat vertrouwen. Niet iedereen zal vals spelen.

[Reactie gewijzigd door grasmanek94 op 24 juli 2024 01:39]

mjtdevries @grasmanek94 • 18 januari 2021 14:25

Ik heb in het verleden aan de universiteit open boek tentamen vragen gemaakt. En ja, dat is op een heleboel aspecten beter dan de traditionele tentamens.
Maar dat zorgt er in dit geval alleen maar voor dat je niet hoeft te controleren of iemand een boek of spiekbriefje heeft.

Je zult echter nog steeds moeten controleren dat het wel de student zelf is die het tentamen doet en niet iemand anders. Of dat er niet iemand naast zit die hem/haar met het tentamen helpt.
Dus het lost het probleem niet op.

Hetzelfde probleem geld bij persoonlijke projecten. Heeft iemand zelf die keuzes gemaakt, gedocumenteerd etc. Of heeft iemand anders dat gedaan?

Groepsprojecten heb ik altijd zeer twijfelachtig gevonden om iemands competentie te bepalen. Mijn ervaringen daarmee waren niet zo positief.

Helaas dus geen laaghangend fruit.

Of de huidige software de juiste oplossing is, is een heel andere discussie.
Logisch dat er controle nodig is. Maar een systeem waar 3 studenten tegelijk in een call zitten en naar elkaar kunnen kijken en zelfs antwoorden schijnen af te kunnen kijken?
Het is duidelijk dat dat veel beter moet kunnen. Dat lijkt uit snelheid en gemakt zo gekozen te zijn. En als je maar 1 week hebt om zoiets te regelen is dat voor te stellen. Maar dan had er ondertussen een betere oplossing bedacht moeten zijn.

grasmanek94 @mjtdevries • 18 januari 2021 14:33

Ik snap dat het belangrijk is om aan te kunnen tonen dat het diploma naar de juiste persoon gaat, maar ik vind het belangrijker om wat vertrouwen te hebben.

Zelf mocht ik genieten van een (al dan niet perfecte, maar alles heeft haken en ogen) opleiding die weg deed met tentamens. Ik merk dat de mensen daar veel meer leren, vooral in jaar 3 en 4. Die mensen zitten er omdat ze er zelf voor kiezen, en doelen hebben die ze willen bereiken. Dus ze zitten daar niet omdat het moet (en degenen waar waar dat wel voor gold, die vielen in jaar 2 of 3 af).

We onderhouden soms contact, en over het algemeen beschouw ik mijn mede alumni als competente mensen in ons gekozen vakgebied.
De mensen die links- en rechtsom alles deden om niks te doen en door de "toetsen" te komen (die zag ik genoeg), - voor zover ik het weet (kleine wereld) - werken niet in dit vakgebied.

[Reactie gewijzigd door grasmanek94 op 24 juli 2024 01:39]

-The Jackal- @androidlovertje • 18 januari 2021 00:32

Het is een surveillant en niet een servant, dat is totaal iets anders.

jessewjm @mjtdevries • 18 januari 2021 07:59

I ben zelf student aan de Hogeschool Rotterdam. Die zijn van mening dat proctoring software niet gebruikt hoeft te worden. Ziehier een document: https://www.google.com/ur...Vaw261RvoFADSsUB3_ln9Rh1B

Erg blij mee

gorgi_19 @jessewjm • 18 januari 2021 13:43

Dat staat er niet in het document. Ze geven aan dat er verschillende vormen van proctoring zijn, die nu geen van allen zijn toegestaan. De reden:

De beperkingen die
aan online proctoring gesteld worden zijner niet zonder reden. Kort gesteld heeft onze organisatie
beperkte tot geen ervaring op dit gebied en is het domein van online proctoring omvangrijk en
complex.

Oftewel: te weinig ervaring mee, en een te groot afbreukrisico dat het mis gaat om het groot in te ztten.

Ze willen er wel mee gaan starten. Eerst op kleine schaal om ervaring op te doen, om wellicht later breder te implementeren:

Omdat het ervaren belang van online proctoring bij bijvoorbeeld docenten in de huidige situatie groot
en groeiend is en het ook in de (nabije) toekomstige situatie van het onderwijs mogelijk een
levensvatbare oplossing kan worden, wordt gezocht of er mogelijkheden zijn - en zo ja welke - om
online proctoring snel en verantwoord te introduceren. Hiervoor wordt een aantal controleerbare
(kleinschalige) experimenten gestart.

GertMenkel

Networking en security

@mjtdevries • 17 januari 2021 15:34

Dat mensen van buiten de hogeschool er bij konden komen was inderdaad door toedoen van een student. Als jij een link naar jouw sessie doorsteurt naar anderen, dan ben je zelf ook medeverantwoordelijk als daardoor anderen kunnen meekijken. (los van de discussie of die link niet beter beschermd had moeten worden met een wachtkamer functie en wachtwoord)

Daar ben ik het eigenlijk niet mee eens. De hogeschool heeft de plicht de privacy van studenten te waarborgen als ze een programma verplichten voor de afronding van een vak. De student had het niet mogen doen, maar het is in de eerste plek de schuld van de hogeschool dat dit mogelijk was.

Volgens het bericht van de RUG is gasttoegang standaard uitgeschakeld, dit is dus expres ingeschakeld. Dat er geen vorm van authenticatie en authorisatie om in de surveillance"ruimte" te komen, is niet de verantwoordelijkheid van de student.

Nu is het een leerling die een mailtje doorstuurt naar een journalist, straks is het iemand die het mailwachtwoord geraden heeft of iets in die richting. Ik vind de gekozen software sowieso twijfelachtig, en dit toont alleen maar aan hoe blijkbaar na negen maanden coronatoetsen nog steeds geen goed systeem opgezet is voor surveillance.

Dnomyar96 @GertMenkel • 17 januari 2021 16:27

Dit. Ik weet niet hoe complex die URL's zijn waar op geklikt moet worden, maar je kan ook gewoon die URL's gaan raden. De kans dat je er een raad is klein, maar het kan wel, helemaal als je ook meerdere pogingen kan doen.

IHVD @GertMenkel • 18 januari 2021 09:17

"it works so why change it", werd er waarschijnlijk gedacht

t link @mjtdevries • 17 januari 2021 15:50

Oneens. het is uitermate slecht je beveiliging van zn groot privacyrisico te laten afhangen van 1 factor authenticatie. dat is dan ook in strijd met de AVG omdat het naar mijn mening gewoon niet toereikend is voor het risico.

[Reactie gewijzigd door t link op 24 juli 2024 01:39]

mjtdevries @t link • 18 januari 2021 12:14

Vertel eens waar in de AVG staat dat voor dit soort informatie 2 factor authenticatie vereist is.

t link @mjtdevries • 18 januari 2021 17:44

Dat staat er niet letterlijk in. wat er in staat is dat je welwegende maatregelen moet treffen tegenover de privacy risico's. beeld, geluid en zicht op iemands computer is een behoorlijk groot privacy risico, en aangezien de aanvullende maatregelen om ertegen te beschermen kinderlijk eenvoudig zijn, schieten ze daarin in mijn mening behoorlijk tekort. dit is dus exact waarvoor de risk assessment van de AVG bedoelt is, om dit soort dingen eerder in het visier te krijgen.

[Reactie gewijzigd door t link op 24 juli 2024 01:39]

mjtdevries @t link • 18 januari 2021 18:12

Bij medische gegevens is er een NEN norm en daar word aangegeven dat medische data met 2FA beschermt "hoort" te zijn, maar zelfs daar geen verplichting.

We moeten het ook weer niet overdijven. Het gaat om beeld, geluid en zicht specifiek tijdens een tentamen. Dus een korte periode. De camera zet je zelf neer, dus je hebt ook controle over wat er in beeld komt.
En wat betreft geluid wil je toch al niet gestoord worden tijdens een tentamen.
Het risico is wat dat betreft behoorlijk beperkt. Zeker als je zorgt dat er geen mensen van buitenaf bij kunnen. Docenten en medestudenten weten toch al hoe je er uit ziet.

Ze moeten natuurlijk een wachtwoord en wachtkamer functie gebruiken. Maar om te stellen dat dit zo'n groot privacy risico is dat 2FA verplicht zou moeten zijn is wat mij betreft erg overdreven.

t link @mjtdevries • 19 januari 2021 09:13

Zeker als je zorgt dat er geen mensen van buitenaf bij kunnen

maar dit was dus exact NIET het geval. er is niet gezorgt dat mensen van buitenaf er niet bij konden. dat is exact waarover dit gaat, gast toegang stond aan waardoor mensen van buitenaf toegang hadden.

en een wachtkamer en wachtwoord functie IS 2FA, je moet dan de link en het wachtwoord hebben, dat is twee factor. twee factor authenticatie betekend niet persee dat je OTP of SMS hoeft te gebruiken, het betekend dat je meerdere authenticatiestappen moet doorgaan voordat je toegang hebt. een unieke link en een wachtwoord IS dus twee factor, albeit een niet heel sterke maar dat maakt in dat geval niet heel veel uit. het gaat erom dat als je eerste authenticatielaag faalt, de tweede het opvangt.

[Reactie gewijzigd door t link op 24 juli 2024 01:39]

WoutervOorschot

@mjtdevries • 17 januari 2021 14:42

Uiteraard is vanuit de AVG ook niet toegestaan dat andere studenten kunnen meekijken. En daarvoor hoefde niemand een link van zijn eigen sessie door te sturen naar anderen. Je kon gewoon in je sessie blijven zitten.

Dat lijkt me niet per definitie, anders hebben veel surveillanceconcepten een probleem, want een teams-call met webcam ter surveillance laat ook anderen jou zien (en horen). Maar volgens mij is de AVG sowieso moeilijk toe te passen omdat je geenszins consent kunt geven (gezien je geen keuze hebt als je een diploma wilt), en hebben enkele rechters in NL al laten weten dat ze opnames van studenten geen probleem vinden en redelijkerwijs noodzakelijk vinden.

mjtdevries @WoutervOorschot • 18 januari 2021 12:22

Ja dat is wel per definitie.
De basis van de AVG is:
- je mag persoongegevens verwerken als je een valide reden hebt.
- je mag er niet meer verwerken dan nodig voor het doel
- je moet ze goed beschermen zodat mensen die ze niet nodig hebben er niet bij kunnen komen.
- je moet ze verwijderen wanneer niet meer nodig voor het doel.

Dat er een opname word gemaakt, omdat het niet mogelijk is om traditionele tentamens af te leggen is dus prima te verdedigen. Ook met de AVG.
Je alternatief is dat je geen consent geeft en pas volgende jaar tentamens gaat doen. Wat doe je liever?

Maar dan moet je de mensen die de opname kunnen zien dus beperken tot die mensen die jou moeten kunnen observeren om te controleren dat je niet spiekt etc.
Als een willekeurige mede student kan meekijken, dan is overduidelijk niet aan die voorwaarde voldaan.

DanielsWrath @William_H • 17 januari 2021 13:15

Ja precies, de hanze hogeschool slaat echt compleet de plank mis met hun reactie. Het is van de zotte om dit af te schuiven op de student en niet na te denken dat het een fundamenteel probleem is bij de hanze.

Iemand kan ook op een illegale wijze aan deze link komen en dan is het veel grotere schending van privacy. Ze moeten blij zijn dat het zo aan het licht is gekomen.

dasiro @DanielsWrath • 17 januari 2021 13:25

als je dit merkt en ter goeder trouw bent, meld je dit direct. Pas als er geen reactie op komt, kan je naar de pers stappen. Moest hij die eerste stap hebben overgeslagen, dan is het wel degelijk ter kwader trouw en een overtreding.

WoutervOorschot

@dasiro • 17 januari 2021 14:38

Gezien de berichten uit de hanzehogeschool (zowel webcam, als smartphone met camera allemaal verplicht voor tentamens, en totaal op slot zitten voor overleg of kritiek) snap ik wel dat je naar de pers stapt. Als je als school zodanige dingen eist en dan de beveiliging niet eens op orde hebt vind ik het niet meer dan logisch dat je het meteen bij de pers legt.

Als je een datalek vind mag je dat gewoon melden, daar hoef je helemaal niks bij de veroorzaker voor te melden voordat je iets naar de pers brengt. Anders komt er nooit iets aan het licht.

n4m3l355 @WoutervOorschot • 18 januari 2021 04:21

Het is spijtig dat scholen en universiteiten zich zo opstellen en dat er blijkbaar geen betere alternatieven te boven komen. Het is nog spijtiger dat dezelfde partijen indien een grove fout kenbaar wordt gemaakt, in plaats ze hier iets aan doen, de melder proberen te nagelen aan een schandpaal. We zijn nu bijna een jaar verder, en in plaats van verbetering zien we enkel verslechtering. Ronduit spijtig en schandalig. Dit zijn dezelfde partijen die ook graag les geven in ethiek en rechten.

Pumbaa82 @WoutervOorschot • 18 januari 2021 09:38

Wat bekijkt iedereen het hier zwart-wit.

Waarom had de student niet eerst melding kunnen maken bij de school ?
En als daar niks uit kwam melding maken bij het orgaan dat er voor is: meld.nl

Mocht er dan nog niks gebeuren zou de pers pas nodig zijn.

Voor mij heeft deze student nu zelf waarschijnlijk zijn school regels overtreden.
Hetzelfde dat het uitlenen van je gebruikersnaam en wachtwoord niet zal zijn toegestaan.

Dat er genoeg het niet eens zijn met de gebruikte methode om het tentamen af te nemen kan ik begrijpen.
Maar dat is weer een heel ander verhaal en kun je ook gewoon op genoeg plekken/manieren aan de kaak stellen.

.oisyn Moderator Devschuur® @dasiro • 17 januari 2021 13:33

Dat doet niets af aan het feit dat het datalek er sowieso al is, ook al was het binnen studenten. Waarom krijgen studenten in hemelsnaam een link naar de surveillance omgeving waar ze bij andere studenten op het scherm kunnen kijken?

.edit: dat is de verklaring van Hanze. Het bronartikel spreekt over een aantal gastlinkjes die ten ronde gaan. Het doet vermoeden dat dat niet de persoonlijke links zijn die de studenten zelf ontvangen.

[Reactie gewijzigd door .oisyn op 24 juli 2024 01:39]

blazez @.oisyn • 17 januari 2021 13:42

En/Of een stapje terug doen. Voor een omgeving/applicatie als dit is het natuurlijk (in mijn ogen) heel erg vreemd dat een gast toegang standaard aan blijkt te staan. Ik zou me zo niet een reden kunnen verzinnen om dit standaard aan te hebben staan. Dat is toch vragen om problemen.
Het lijkt mij logischer dat in zulke omgevingen (vooropgesteld dat ik de software/omgevingen totaal niet ken) standaard een gast toegang gesloten heeft staan. Pas als je dit voor een functie nodig hebt ga je dit (bewust) open zetten.

marcieking

@blazez • 17 januari 2021 17:43

[De RUG geeft aan dat] ze guest access uitgeschakeld hebben staan. Dat is de standaardinstelling bij Blackboard Collaborate.

dasiro @.oisyn • 17 januari 2021 14:24

the human factor is in deze het lek, zonder te weten of die gastlink en de persoonlijke dezelfde is, kan je er geen uitspraak over doen. Voor hetzelfde geld heb je een inlogpagina met student, docent, surveillant en gast als keuzes.

init @.oisyn • 17 januari 2021 15:38

Het zijn inderdaad geen persoonlijke linkjes. Je krijgt als student gewoon een Excel sheet opgestuurd met allerlei linkjes, en moet de link gebruiken waar je naam bij staat.

[Reactie gewijzigd door init op 24 juli 2024 01:39]

Wenest @init • 17 januari 2021 19:11

Ook zijn de linkjes steeds het zelfde en deze worden niet veranderd voor andere tentamens.

Beheermeneer @.oisyn • 17 januari 2021 15:44

Meekijken EN meeluisteren zelfs

addo2 @dasiro • 17 januari 2021 13:58

uuhm, ja als je "ten goeder trouw bent" heeft een sterke wederzijdse relatie aan. Misschien is het probleem bij de Hanze in dit geval groter dan alleen de verzonden linkjes... Op dat moment is het makkelijk om te stellen dat "student X" een verkeerde keuze heeft gemaakt omdat er meer routes zijn die vriendelijker overkomen.

De geschetste routes hebben als groot risico om als lastpost/zondebok te worden gekarakteriseerd. Elke student heeft een afhankelijkheidsrelatie met zijn docent. Elke student heeft een afhankelijkheidsrelatie met zijn opleiding. Op het moment dat je geen vertrouwen hebt in de "organisatie" en je het idee hebt als zondebok te worden gebruikt is dit de meest verstandige keuze.

Ik zou willen dat ik toentertijd verstandig genoeg was om deze (naar mijn mening verstandige keuze) te hebben gemaakt.

Blokker_1999

Datalek
Networking en security
Nederland

@dasiro • 17 januari 2021 13:30

Het is voor vele mensen niet altijd duidelijk waar je dit moet melden. Daarnaast zorg je er door het inlichten van de pers ook voor dat het niet in de doofpot kan verdwijnen.

aZuL2001 @Blokker_1999 • 17 januari 2021 13:33

Directeur/Rector is een goede start.
Conrector een goede tweede.
Vertrouwenspersoon goede derde.

zomaar0iemand @aZuL2001 • 17 januari 2021 14:20

Of gewoon bij de DPO? De Hogeschool van Amsterdam heeft bijvoorbeeld een DPO waar dit soort dingen gemeld kunnen worden.

TheVivaldi @aZuL2001 • 17 januari 2021 17:20

Dat is wel een beetje overdreven, want dan zit je misschien al weken verder terwijl het lek er gewoon nog is. Stuur het dan gewoon aan alledrie tegelijk en als één van hen het niet oppakt, alsnog naar de pers.

Iozay @aZuL2001 • 17 januari 2021 17:42

Of voor de Hanzehogeschool op deze pagina kijken:
https://www.hanze.nl/nld/...en-beveiligingsincidenten

Dan komt het vast goed :-)

Pumbaa82 @Blokker_1999 • 18 januari 2021 09:44

Vindt je dat anno 2021 nog een legitiem argument ?
Als je iets wil vinden: google

Melden datalek
melden overtreding avg

Niet echt onduidelijk lijkt me.

TheekAzzaBreek @DanielsWrath • 17 januari 2021 13:38

Ja precies, de hanze hogeschool slaat echt compleet de plank mis met hun reactie. Het is van de zotte om dit af te schuiven op de student en niet na te denken dat het een fundamenteel probleem is bij de hanze.

Dat was de mening van door Sikkom geraadpleegde juristen, ik lees hier niets over de mening van de school op dit punt. Heb jij ander info?

.oisyn Moderator Devschuur® @TheekAzzaBreek • 17 januari 2021 13:42

Hier niet, staat in het bronartikel.

Allereerst had de student deze mail met link – waardoor een buitenstaander toegang kon krijgen tot de online surveillance omgeving – niet door mogen sturen. Dit staat in het Studentenstatuut Hanzehogeschool. Wij gaan onze studenten hier nadrukkelijker op wijzen. Als Hanzehogeschool hebben wij de verantwoordelijkheid om onze online tentamens veilig te laten verlopen. Dit is vandaag niet goed gegaan en dat gaan we verbeteren. We gaan een extra controle inbouwen in de surveillanceomgeving waarbij de student na controle van de identiteit in een nieuwe surveillanceomgeving wordt geplaatst die beveiligd is. Hiermee verkleinen wij de kans dat derden onrechtmatige toegang krijgen tot onze omgeving

kodak

Networking en security
Datalek
Nederland

@DanielsWrath • 17 januari 2021 15:45

Je kan moeilijk beweren dat de student voor dit geval geen aanleiding was, als die de link bewust aan een ander heeft doorgegeven en kon weten dat dat niet was toegestaan. Dat heeft niets met afschuiven te maken. Daarbij zegt de school dat het de verantwoordelijkheid neemt, dat is al helemaal geen afschuiven.

Waar je wel twijfels over kan hebben is waarom voor de aanleiding alleen is genoemd dat een student iets heeft doorgegeven. Een datalek lijkt namelijk al te bestaan als je als school onvoldoende maatregelen neemt om lekken te voorkomen, en dat kan moeilijk alleen zijn dat je als school wat in de statuten op neemt wat een ander niet mag doen en maatregelen noemt die kennelijk niet blijken te werken. Organisatorische maatregelen alleen zijn niet genoeg. Er horen ook technische maatregelen genomen te worden. En die maatregelen horen dan ook voldoende te zijn. Over die aanleidingen lees ik weinig terug in de reactie. Ik zou niet zeggen dat dat afschuiven is, maar het lijkt wel een gebrek aan inzicht te zijn wat je onder aanleiding kan verstaan, of bijvoorbeeld een ander inzicht in wat je als school belangrijk lijkt te vinden om te noemen als het om aanleiding gaat.

ALittleTooLate @William_H • 17 januari 2021 13:15

Ik mis hier een beetje het feit dat de student misschien dan wel een overtreding heeft gedaan, maar ...

Weegt natuurlijk ook niet op tegen het te grabbel gooien van de privacy duizenden studenten. Voor de student zelf idd de beste optie om het probleem opgelost te zien, zonder zelf in de problemen te komen.

kodak

Networking en security
Datalek
Nederland

@ALittleTooLate • 17 januari 2021 16:22

Waarom denk je dat dit de beste optie was? Als je een beveiligingslek wil melden dan krijg je daar namelijk de gelegenheid toe bij de Hanzehogeschool. Dat wil zeggen dat je het lek kan melden zonder dat het meteen grote gevolgen voor je heeft. De hogeschool schrijft zelf:

Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je.

https://www.hanze.nl/nld/...-vulnerability-disclosure
Als de student het lek goed onderzocht heeft en zelf ook voldoende rekening heeft gehouden met wat echt niet kan dan had het ook eerst opgelost kunnen worden om daarna duidelijk te maken wat het lek was. Dus misschien kan je beter de vraag stellen wat de student zelf allemaal gedaan heeft voordat die eerst naar de krant ging?

ALittleTooLate @kodak • 17 januari 2021 17:04

Met die voorwaarden kun je alle kanten op. Zou zomaar negatieve gevolgen kunnen hebben voor die student. Waarom zou je dat risico willen lopen?

kodak

Networking en security
Datalek
Nederland

@ALittleTooLate • 17 januari 2021 17:22

Je kan over alle regels wel zeggen dat je er alle kanten mee op kan als je echt geen zin hebt om risico te lopen. Of dat realistisch is lijkt me meer de vraag. Dat lijkt me in veel gevallen niet en ook hier lees ik niet dat het echt een probleem is. Als een bedrijf of hogeschool al aan dit soort mogelijkheden doet dan geeft dat juist aan dat ze vertrouwen geven en vragen. Noem anders maar bedrijven op die hier aan doen en waar iemand echt in de problemen is gekomen. Dat lijkt gewoon nauwelijks voor te komen, tenzij de melder echt al te ver was gegaan. Je mag ook wel wat meer vertrouwen in een ander hebben als ze zoveel moeite doen om duidelijk te maken dat ze bereid zijn om naar je te luisteren om problemen op te lossen. Dus ik ben hier wel heel benieuwd wat die student nu al gedaan had voordat die naar de krant ging.

ALittleTooLate @kodak • 17 januari 2021 19:59

Tja, Iedereen weet wat er met klokkenluiders gebeurd.

Dus ik ben hier wel heel benieuwd wat die student nu al gedaan had voordat die naar de krant ging.

Je kent de student niet eens en denkt meteen al dat hij een crimineel is. Ga er maar van uit dat dit soort grote instellingen dezelfde aannames maken.

kodak

Networking en security
Datalek
Nederland

@ALittleTooLate • 17 januari 2021 20:42

Je reactie over klokkenluiders kan je niet zomaar toepassen omdat het je beter bevalt. Ik gaf je aan dat het tot nu toe niet voor lijkt te komen dat iemand bij dit soort meldingen in de problemen komt, tenzij iemand duidelijk te ver is gegaan. Dat iemand die een probleem aangeeft niet zomaar in de problemen kan komen is namelijk juist een van de doelen van dit soort regels en mogelijkheid om te melden. Dan kan je het wel gaan generaliseren naar klokkenluiders, maar als je dat zo loos doet dan lijkt dat geen gepast argument en draagt dat niet bij.

Als iemand vraagt wat iemand gedaan heeft om het datalek te ontdekken dan is dat absoluut geen beschuldiging. Het lijkt me daarbij eerder correct om zulke vragen te stellen, in tegenstelling tot het meteen maar concluderen dat iemand die een kritische vraag stelt tegen zou zijn. Als er geen kritische vragen meer gesteld mogen worden kunnen we studeren en discussie wel afschaffen. Ik vind je reactie zwaar ongepast.

Gomez12 @kodak • 17 januari 2021 21:18

Je reactie over klokkenluiders kan je niet zomaar toepassen omdat het je beter bevalt.

Klopt, maar hetzelfde gaat op voor jouw volgende opmerking :

Ik gaf je aan dat het tot nu toe niet voor lijkt te komen dat iemand bij dit soort meldingen in de problemen komt, tenzij iemand duidelijk te ver is gegaan.

Te ver is gegaan is namelijk minimaal situatie-afhankelijk als het al niet per definitie subjectief zou zijn.

Bijv in dit geval, is een linkje naar de pers lekken "duidelijk te ver gaan", ik denk van niet...

kodak

Networking en security
Datalek
Nederland

@Gomez12 • 17 januari 2021 23:04

@Gomez12 je gaat nu een situatie waarbij iemand helemaal geen voorbeeld geeft en gaat generaliseren vergelijken met een situatie waarbij ik bij de situatie en het onderwerp blijf en ook nog met een argument kom?

De discussie is of de student een overtreding heeft begaan en waarom de student het niet eerst bij de hogeschool zou melden als daar gelegenheid voor is (als je als student niet te ver bent gegaan bij onderzoeken). Als er gelegenheid is om het eerst samen op te lossen, dan vind ik het tenminste de vraag waard waarom iemand daar dan geen gebruik van maakt en liever naar een ander stapt. Het is niet zomaar beter om naar een ander te gaan in plaats van er samen uit proberen te komen.

Gomez12 @kodak • 18 januari 2021 11:43

Als er gelegenheid is om het eerst samen op te lossen, dan vind ik het tenminste de vraag waard waarom iemand daar dan geen gebruik van maakt en liever naar een ander stapt.

Dat is dus de generalisatie die jij maakt omdat je niet genoeg inhoudelijke kennis heb (ik ook niet hoor)

Straks heeft de student al 3 eerdere meldingen gedaan op school en nul op het rekest gekregen, dat weet jij niet, dat weet ik niet. Maar het is wel bepalend voor of iemand het eerst bij school gaat melden of niet.

.oisyn Moderator Devschuur® @kodak • 18 januari 2021 01:45

En lees nu androidlovertje in 'nieuws: Hanzehogeschool Groningen maakt melding van datal... eens. Je loopt duidelijk tegen een muur aan bij Hanze. Dan is de pers de enige route om ze de ernst van het probleem in te laten zien (of iig onder druk te acteren)

[Reactie gewijzigd door .oisyn op 24 juli 2024 01:39]

mjtdevries @.oisyn • 18 januari 2021 12:49

Extreem kort door de bocht.

Als je totaal geen controle wilt, dan loop je tegen een muur aan. En dat is ook volkomen terecht, want het is van de zotte dat studenten helemaal geen controle willen bij tentamens.

Daaruit kun je absoluut niet concluderen dat je ook tegen een muur aan zou lopen als je een security/privacy issue aankaart wat ze heel makkelijk kunnen oplossen, zonder dat de controle minder word.

.oisyn Moderator Devschuur® @mjtdevries • 18 januari 2021 13:16

En dat is ook volkomen terecht, want het is van de zotte dat studenten helemaal geen controle willen bij tentamens.

Hoe kom je aan de conclusie dat dát is waar het om ging bij het geval waar ik naar verwees?

[Reactie gewijzigd door .oisyn op 24 juli 2024 01:39]

BiLLY_daKid @William_H • 17 januari 2021 13:45

Misschien een stomme vraag, waarom niet eerst melden bij betreffende onderwijsinstelling en direct naar de pers??

ari @BiLLY_daKid • 17 januari 2021 23:38

De vraag is of die stap inderdaad overgeslagen is. Er zijn wel wat argumenten voor te bedenken:

het probleem kan worden weggelachen ('dit is geen serieus probleem');
het kan tijden duren voordat je melding wordt opgepakt;
het kan tijden duren voordat het probleem daadwerkelijk wordt opgelost;
door het te melden raakt jouw naam eraan verbonden, als het dan daarna aan de pers gelekt wordt kan men vermoeden dat jij gelekt hebt met alle gevolgen van dien.

SunnieNL

@William_H • 17 januari 2021 14:25

De vraag is een beetje of de link te herleiden is. Is aan de hand van de link het eenvoudig om een andere geldige link te genereren door een derde persoon? Anders is er wat mij betreft ook niet zo veel aan de hand.
Als je via de link die de student krijgt, alleen de ruimte van die student kan zien, dan is het gewoon stom van hem om hem door te sturen. Thuisbezorgd werkt op dezelfde manier. Stuur die link van de tracker door en je kunt de bezorger volgen tot het huis van de persoon die besteld heeft. Is dan dat systeem zo lek als een mandje?

Mocht de link toegang geven tot meer 'ruimtes' dan die van die student, dan is het wel een fout in het systeem.
Als ik een product koop en ik stuur de link door om bij de bestelstatus te komen en iemand kan daar meekijken, dan is dat toch ook mijn probleem? Mocht je met die link ook andere bestelstatussen volgen, dan is het een fout in het system. Die info mis ik even in het artikel (of ik heb er overheen gelezen).

fietser1997 17 januari 2021 13:17

Dit is de email de de studenten hebben gehad als antwoord op het nieuws artikel.

Beste student,

We zijn door een journalist erop geattendeerd dat hij tijdens tentamens vanuit de online surveillance omgeving kon toekijken. Aangezien studenten in beeld waren, is dit een inbreuk op de privacy. Dit hoort niet en we betreuren dit. Het heeft geen effect op de tentamen(resultaten) omdat deze in een andere omgeving zijn ingevuld.

Wanneer een buitenstaander kennis heeft kunnen nemen van beeld en/of naamgegevens van studenten, dan is dit een datalek. Vanzelfsprekend hebben wij het datalek gemeld bij de Autoriteit Persoonsgegevens. Heb jij een vermoeden dat er gegevens van jou zijn verkregen door derden tijdens een online tentamen? Dan kun je dit melden via ict-security@org.hanze.nl.

Vanaf aanstaande maandag 18 januari hoef je alleen in de tentamenomgeving van Blackboard in te loggen en niet in de online surveillance omgeving. Dit is dezelfde werkwijze als voor de herfstvakantie. De link die je voor de online surveillance omgeving hebt gekregen werkt vanaf maandag niet meer.

Met vriendelijke groet,

Namens het College van Bestuur

~naam verwijderd

[Reactie gewijzigd door fietser1997 op 24 juli 2024 01:39]

Beheermeneer @fietser1997 • 17 januari 2021 15:40

Nu gaan mijn tentamens niet door. Zeer vervelend aangezien het hun fout is om gebruik te maken van guest links in BB.

Beste studenten en medewerkers,

Als gevolg van het datalek op de surveillance omgeving van de online tentamens, kunnen wij komende week van maandag tot en met woensdag geen gebruik maken van de surveillance omgeving van de Hanzehogeschool voor onze online toetsen. Onze tentamens zijn niet ingericht om zonder surveillance afgenomen te worden.

Daarom heb ik besloten om de online tentamens die voor ons instituut gepland staan op maandag 18 januari, dinsdag 19 januari en woensdag 20 januari uit te stellen naar een later moment.

De fysiek geplande tentamens gaan wel door.
Aan de docenten het verzoek om dit bericht ook op Blackboard te plaatsen voor de klassen die dit betreft.

We vinden de ontstane situatie voor iedereen heel vervelend en we proberen zo snel mogelijk met een goede werkbare oplossing te komen.

Groet en dank voor ieders medewerking

*Hanze medewerker*

[Reactie gewijzigd door Beheermeneer op 24 juli 2024 01:39]

Dnomyar96 @Beheermeneer • 17 januari 2021 16:32

Dat is wel heel vervelend, helemaal voor de studenten die in februari moeten gaan stagelopen en nu niet meer zeker zijn of ze de cijfers wel op tijd binnen hebben.

DaaNMageDDoN @fietser1997 • 17 januari 2021 17:13

OK dus we lekken ook nog een email die aan de studenten is gericht met iedereen hier inclusief naam van de verzender?
Is er dan niemand hier die zich bij het lezen van deze post net zoals ik even achter de oren krabt?
Ik kan me niet voorstellen dat onder die naam niet ook nog een handtekening en een verhaal stond over hoe die email alleen bestemd was voor waar die aan verzonden was (en uiteraard niet afdrukken om bomen te sparen

). Nee ik ben geen student medewerker.
Grootte van de impact is geen argument, het principe is wat mij betreft hetzelfde, je lekt. Misschien nog wel ernstiger aangezien het in de context van een discussie daarover gaat, behoorlijk bewust met dat onderwerp geboeid, toch deze informatie delen.
Serieus benieuwd naar wat anderen hiervan vinden.

Anoniem: 162126 17 januari 2021 12:56

nadrukkelijker wijzen op de vertrouwelijkheid van de links en studenten na identiteitscontrole naar een nieuwe surveillance-omgeving verplaatsen voor extra veiligheid

URLs als vertrouwelijk beschouwen is natuurlijk überhaupt niet verstandig (understatement).

dasiro @Anoniem: 162126 • 17 januari 2021 13:21

de inhoud van de mails en blackboard zijn voor studenten vertrouwelijk, die mogen ze niet zomaar beginnen uitdelen aan anderen. Ik kan me niet voorstellen dat je de URL voor een student zomaar kan gokken, dus die is wel degelijk vertrouwelijk.

Ik schat dan ook eerder in dat we niet van 'slachtoffers' maar 'daders' moeten spreken.

Blokker_1999

Datalek
Networking en security
Nederland

@dasiro • 17 januari 2021 13:27

Tsjah, tussen niet mogen en niet doen zit een wereld van verschil. Daarnaast is het nog maar de vraag hoe die URLs gestructureerd zijn en of er geen bruteforcing mogelijkheden bestaan. Het feit dat iemand doelbewustr guest access heeft ingeschakeld waardoor dit mogelijk is geworden is eigenlijk zorgwekkend en toont nogmaals het gebrek aan kennis aan over avg en bescherming van de persoonlijke levenssfeer van anderen.

blazez @Blokker_1999 • 17 januari 2021 13:45

Ik ken de software of/of de omgevingen niet, maar de vraag zou dan zijn of de guest access door iemand is ingeschakeld of dat deze bij een default installatie al aan staan (lijkt me vreemd).
Zou dus wel een mooi onderzoek waard zijn om na te gaan wie en waarom deze gast toegang aangezet heeft (als het niet default open staat)

Kroesss @blazez • 17 januari 2021 13:52

Het artikel geeft aan dat de standaard-instelling voor guest-acces uit is.

aikebah @blazez • 17 januari 2021 16:26

Als die expliciet uitgezet is is het een zeer grove fout (secure defaults overrulen met een insecure aangepaste setting), maar zelfs als hij default aanstaat (volgens andere reacties lijkt dat niet het geval) en niet is uitgezet is het alsnog een grove fout (niet aanpassen van insecure defaults - als beheerder hoor je ook de defaults te kennen en op hun security impact te beoordelen).
Ongeacht de default zit de hogeschool hier dus fout.

sdevos13 @dasiro • 17 januari 2021 13:27

URLs zijn natuurlijk nooit vertrouwelijk. Zelfs een afgevangen HTTPS request waarvan de payload encrypted is bevat de URL in plain-text.

Het is belachelijk dat er geen authenticatie is ingeschakeld bij een systeem dat een dergelijke inbreuk op de privacy van de gebruiker maakt.

hcQd @sdevos13 • 17 januari 2021 13:32

Zelfs een afgevangen HTTPS request waarvan de payload encrypted is bevat de URL in plain-text.

Alleen de naam van de server (SNI), niet de hele URL. En zelfs die kan tegenwoordig versleuteld worden.

dasiro @sdevos13 • 17 januari 2021 13:30

normaalgezien wel, maar door de guest acces dus niet meer helemaal. Of dit opzettelijk, dan wel een configuratiefout is, laat ik in het midden.

supersnathan94

Datalek

@dasiro • 17 januari 2021 14:32

Dat kon de redactie van Sikkom ook, dankzij de uitgelekte link. De software die de Hanzehogeschool gebruikt is Blackboard Collaborate.

Sikkom zocht ook contact met de Rijksuniversiteit Groningen, die hetzelfde systeem gebruikt. De RUG claimt dat dit beveiligingsprobleem daar niet aan de orde is, omdat ze guest access uitgeschakeld hebben staan. Dat is de standaardinstelling bij Blackboard Collaborate.

Standaard staat het dus uit. Iemand moet het dus aangezet hebben. Dat er iets is fout gegaan staat dus buiten kijf. Of dsar nog intenties of onwetendheid achter zat laat ik ook in het midden.

HackingDutchman 17 januari 2021 18:18

Waarom maken ze geen openboek tentamens?

Bij mij (UTwente) zeggen de docenten dat ze niet kunnen meekijken op al mijn schermen en maken er daarom een openboek tentamen van, geen surveillance meer nodig.

[Reactie gewijzigd door HackingDutchman op 24 juli 2024 01:39]

Nathan13877 @HackingDutchman • 17 januari 2021 20:14

Bij mij (TU Delft) worden verreweg de meeste toetsen op die manier gemaakt; er wordt veel meer getoetst op begrip dan exacte kennis. Ik denk wel dat de resultaten hierdoor iets verschuiven, voor mijn gevoel zijn de toetsen een stuk makkelijk, maar andere vinden ze juist een stuk lastiger. Na afloop van de toets word er ook nog een mondeling afgenomen bij een willekeurige selectie van studenten (min. 10%), waarbij je je eigen antwoorden moet kunnen uitleggen. Deze manier van toetsen werkt echter niet met elk vak. Bij mij worden de pure wiskunde vakken (Calculus, Lineare Algebra, etc.) wel afgenomen met proctoring. Tools als WolframAlpha maken een open-boek (en dus praktisch open-internet) examen onmogelijk. Deze examens zijn voor mij hierdoor wel een stuk stressvoller, want het komt nog wel eens voor dat de Proctoring software random issues heeft, maar ik begrijp de keuze wel.

mjtdevries @HackingDutchman • 18 januari 2021 12:55

Omdat een openboek tentamen geen volledige oplossing is.
(en natuurlijk omdat het meer werk voor de docenten is

)

Je hebt dan geen surveillance nodig om te controleren of iemand een boek of spiekbriefjes gebruikt.
Maar je hebt nog steeds surveillance nodig om te kijken of het wel Pietje is die het tentamen doet, en niet iemand anders.
Of dat er iemand naast Pietje zit die hem helpt het tentamen te doen.

Hoe ga je dat dan oplossen?

mclegodude 17 januari 2021 17:24

Mooie toevoeging misschien, het gros van de tentamens wordt uitgesteld waardoor studenten in de knel komen met stage. https://www.sikkom.nl/han...lek-studenten-zijn-woest/

stenman21 @mclegodude • 17 januari 2021 18:43

ja hartstikke hinderlijk eerst werd beloofd dat de tentamens door zouden gaan zonder surveillance maar nu dus dit.

peize9 17 januari 2021 18:53

Is sowieso ook gewoon slecht geregeld.

We krijgen een grote Excel lijst met alle namen van alle studenten die mee doen aan het tentamen + studentnummer en een link naar het specifieke kanaal. Elke student kan elke session joinen, dit was ook vragen om moeilijkheden.

Voor nu zijn alle online tentamens zonder online "surveillance", wat nu wel jammer is aangezien ik net al mijn toetsen heb gehad. Volgens mij is de specifieke toets waar Sikkom de foto's van heeft gemaakt zelf een toets geweest die ik heb gemaakt deze week... Het maken van de online surveillance toetsen was sowieso al niet erg leuk en wat stressvoller.

Ook misschien nog interessant om te zien, onze instructievideo die we gekregen hebben: https://youtu.be/xO5DfTkkXG4

[Reactie gewijzigd door peize9 op 24 juli 2024 01:39]

SPee @peize9 • 17 januari 2021 19:52

Wel vreemd dat ze dat niet via een persoonlijke portal doen waar je moet inloggen met je studentenaccount. Dan zit het achter een login én beperk je de verspreiding van de link.

peize9 @SPee • 17 januari 2021 19:57

Het is sowieso allemaal erg apart geweest. Er werd ons ook verzekerd dat alles veilig was enzo, toen ik dit zag wist ik al dat het niet goed zat, maar dat was niet belangrijk en we werden nog steeds verplicht de toets onder surveillance te maken.

Aan de andere kant beter dan die in lokaal "corona proof" tentamens waarbij je alsnog met 100 man op een kluitje stond.

laurens0619 17 januari 2021 22:01

Ja het is fout dat de optie aanstond maar pff wat een instelling.
Laten we het nou ook niet groter maken dan het is. Kijk een makkelijk te raden link vind ik wel wat anders, dan zet je de deur open maar Als ze persoonlijke links hadden gebruikt, dan had je die waarschijnlijk ook naar de krant kunnen doorsturen en dan hadden ze ook mee kunnen kijken. Verschil is dan alleen dat ze kunnen achterhalen wie er gelekt heeft.

We krijgen een klote virus over ons heen en de scholen proberen zo snel mogelijk en creatief op te schalen om het onderwijs digitaal door te laten gaan. Ja dan worden misschien shortcuts genomen en sommige zaken vergeten. Is dit dan de tijd om te denken: ik stap naar de krant?

Ik vind dat mensen in deze tijd wel wat meer vergevensgezind mogen zijn. Meld dat de volgende keer lekker aan je leraar. Die moet natuurlijk daarna security bellen en de stappen doorlopen inclusief melding. Maar op deze manier beetje sensatie zoeken

[Reactie gewijzigd door laurens0619 op 24 juli 2024 01:39]

Ome Ernst 17 januari 2021 12:41

Heel bijzonder dat "guest access" aanstond, doordat iemand het bewust aan heeft gezet.
Imho vragen om problemen.

Daoka @Ome Ernst • 17 januari 2021 12:48

Je laat het klinken alsof het expres gedaan is. Dit kan natuurlijk per ongeluk aangeklikt zijn of dat men de functie verkeerd had begrepen. Zoiets als dat de student de guest is (omsat ze van buiten inloggen) en alleen maar mag staan als er examens beginnen (zodat de studenten kunnen inloggen op het systeem).

Lukse @Daoka • 17 januari 2021 12:53

Je klinkt alsof je het wil goedpraten.
Als men software gebruikt met zo'n grote invloed op de privacy van een student, mag ik verwachten dat men weet hoe de software werkt en de verschillende functies niet verkeerd begrijpt.

Oon

@Lukse • 17 januari 2021 13:49

Ik vind dit wel een belangrijk punt dat speelt bij heel veel scholen. Proctoring software en de processen eromheen gaan heel ver, tot sommige diensten waar je echt eerst met je webcam de hele ruimte moet laten zien en nooit zelf uit beeld mag. Als voor één seconde je internet uitvalt is je tentamen daarmee dus al ongeldig verklaard.

Dat maakt dit toch wel iets waar m.i. enorm streng op gecontroleerd moet worden, want je zit gewoon bij mensen thuis binnen mee te kijken, maar dan op hele grote schaal. Belachelijk dat er scholen zijn die zelf de keuze hebben om guest access aan te zetten, hiervoor zou het gewoon verplicht moeten zijn dat een expert/consultant de omgeving instelt en zou de school geen toegang moeten krijgen tot die instellingen. Het bedrijf waar ik voor werk maakt vergelijkbare software maar met veel minder risico, en er zijn functies waar klanten gewoon niet aankunnen, want ze hebben niet de kennis om hier correct mee om te gaan. Voor dit soort software zou dat dus helemaal gelden.

GertMenkel

Networking en security

@Oon • 17 januari 2021 15:42

Het ergste vind ik nog wel dat het allemaal de echte afkijkers nog niet eens tegenhoudt ook niet. Uit communicatie van de Universiteit Twente heb ik vernomen dat ze alle welbekende proctoringoplossingen hebben geprobeerd in een soort wargames met een groep studenten en dat de studenten in alle software die destijds een optie was, in staat waren om af te kijken of andere onzin uit te halen. Je zult een webcam op iedereens hoofd moeten monteren wil je een gedreven afkijker tegenhouden, en zelfs kan dan nog mee worden gesjoemeld.

Ik vind het heel denigrerend hoe opleiding voor onderhand volwassen mensen dit soort spionagetroep afdwingt en dan zelf nog niet eens in staat is om de software veilig in te stellen. Van mij mogen studenten wel weer in actie komen tegen dit soort praktijken.

Oon

@GertMenkel • 17 januari 2021 20:52

Ik heb toevallig laatst een stukje interessante discussie mogen volgen waar het hier ook over ging. Ook bij de meest ingrijpende proctoring tools is het heel eenvouding om vals te spelen. Het is helemaal niet moeilijk om iets net buiten beeld te laten (of omgekeerd op je bureau) terwijl je je webcam ronddraait om je omgeving te laten zien, en deze daarna (weer buiten beeld) om te draaien zodat de inhoud zichtbaar is.

Daarmee vind ik het alleen maar kwalijker dat ze hier zo ver in gaan. Ze kunnen nou eenmaal nooit echt zeker weten dat iemand niet afgekeken heeft, dus waarom de hele privacy opgeven om de kans een klein beetje kleiner te maken? Maak dan van alle tentamens gewoon open boek, en zet er evt. een strenger tijdslimiet op. Er zullen niet veel tentamens zijn waar je met een boek doorheen komt zonder dat je een beetje bekend bent met de stof, en als dat wel zo is dan kan ik me niet voorstellen dat het een belangrijk genoeg onderwerp is voor zulke extreme maatregelen.

matthieucalu @Oon • 17 januari 2021 18:31

Blackboard Collaborate is in de eerste plaats niet bedoeld voor surveillance of het afnemen van examens maar is een soort van Zoom of Teams, maar dan geïntegreerd in het LMS waar ook alle lesmateriaal en dergelijke op staat.

In eerste instantie wordt dit gebruikt om online lessen te geven. Zelf ben ik ook docent (in België dan) en wij gebruiken dit hiervoor ook. De Guest Acces kan per les/sessie aan of uit worden gezet (staat standaard uit). Dit verbieden is ook geen oplossing, want we hebben die wel degelijk nodig. Een voorbeeld hiervan is een les gegeven door een gastdocent.

Het wordt inderdaad ook gebruikt voor examens. Als je die Guest Access niet aanzet, krijg je ook geen link. Dan moet de student via het LMS (Blackboard) zelf gaan zoeken naar de sessie. Ik vermoed dat ze dit daarom aangezet hebben. Maar eigenlijk is het geen probleem om geen link te hebben. Studenten kunnen immers in het LMS aan hun vakken en de bijhorende sessies en normaal zouden ze het ondertussen al gewoon moeten zijn om die te vinden. Als je dan nog eens werkt met break-out rooms die je zo instelt dat enkel de surveillant studenten kan toevoegen aan de rooms, is het probleem van onbevoegde toegang helemaal uitgesloten. Enige is natuurlijk wel nog dat de studenten elkaar ook zien.

Zelf doe ik op die manier mijn mondelinge examens, maar ik laat enkel de student die op dat moment examen heeft toe tot de break-out room. De volgende student wacht gewoon even in de hoofdruimte tot ik hem of haar binnen laat. Ik merk daarbij dat veel studenten hun camera en geluid pas aanzetten als ik ze in de examenruimte zelf binnenlaat, maar dat is perfect OK en niemand anders dan ik als docent kan hen zien of horen.

Oon

@matthieucalu • 17 januari 2021 20:57

Het klinkt voor mij dan vooral alsof de verkeerde software op de foute manier gebruikt wordt, en een heel groot stuk gebrek aan kennis. Daarom ook mijn punt over afschermen/verplichte consultant, ik merk dat veel leerkrachten nu gedwongen worden met software te werken die ze helemaal niet kennen (zo ook de juf van ons kind in groep 3, die heel Classroom onderspamt alsof het Facebook is, en de basisschool die helemaal niks heeft ingericht behalve dat we toegang hebben tot één kanaal voor de juiste groep).

Het zou super zijn als de overheid gewoon een budget beschikbaar zou stellen (voor scholen of voor de leveranciers) om training te verzorgen. Ik weet niet precies hoe ik dit voor me zou zien en wat de voorwaarden zouden moeten zijn, maar ik weet wel dat nu de kwaliteit van het onderwijs op lager niveaus enorm achteruit gegaan is (wij kunnen beter ons kind zelf lesgeven dan de amper verstaanbare 480p filmpjes van de juf opzetten), en dat op hoger niveau vooral de waarde van de waardepapieren omlaag gaat omdat er slecht gecontroleerd wordt en toch veel gerommel blijkt te gebeuren. Dat laatste is lastig op te lossen, maar als alle omgevingen die nu ineens opgezet en gebruikt worden netjes afgesteld zouden worden door een consultant die hier de nodige kennis voor heeft, en de mensen die deze omgevingen gebruiken voor hun werk de nodige training zouden krijgen, dan zouden veel problemen al afgevangen worden.

Daoka @Lukse • 17 januari 2021 13:58

Goed praten wil ik het zeker niet. Maar ik besef wel dat men fouten kan maken en niet dat alles gelijk als expres gezien hoeft te worden. Zonder het hele verhaal te weten wil ik er nog wel van uit gaan dat er gewoon een onschuldige foutje begaan is. Ik kan bijvoorbeeld bedenken dat de personen die het in de gaten moet houden thuis zelf de software zou moeten installeren volgens een instructie lijst en dat iemand 1 regel vergeten is te volgen. Of dat bijvoorbeeld zo iets is afgedwongen door policies en dat de beheerder perongeluk (doordat alles in 1 keer zelf moest gebeuren) de guest account heeft aangezet in plaats van de optie erboven/eronder.

Ik kan ieder geval geen reden bedenken waarom iemand dit expres zou willen aanzetten. Lijkt me niet dat iemand hieraan geld zou kunnen verdienen ofzo.

Anoniem: 696166 @Lukse • 17 januari 2021 13:55

Je klinkt alsof je het wil goedpraten.

Nee, hij klinkt alsof hij ruimte voor nuance laat en zich niet laat leiden door de weinige en eenzijdige info die ons hier te beschikking wordt gesteld en op basis waarvan hij niet meteen pek en veren wil bovenhalen.
Maar dat is een weinig populaire insteek tegenwoordig.

Ome Ernst @Daoka • 17 januari 2021 13:00

Ik ken Blackboard Collaberate niet, maar gezien het een hoge school is, mag ik toch hopen dat dit allemaal
door een volwaardige ICT afdeling word beheerd, en niet door "de wiskunde leraar, want die was technisch". Een "guest access" instelling is iets wat ICT hoort te beheren en kan me niet voorstellen dat een
ICT-er niet weet wat de gevaren daarvan kunnen zijn.

milte001 @Ome Ernst • 17 januari 2021 13:15

Op zo'n instelling worden waarschijnlijk duizenden colleges per dag gegeven. Deze gaan allemaal online via BB collab. Tot enkele maanden geleden was dit echt een stuk van BB dat zelden tot nooit werd gebruikt. De ICT-afdeling is echt niet groot genoeg om de overgang van voornamelijk offline naar voornamelijk online te kunnen faciliteren. Dit heeft dus tot gevolg dat dit zeker aankomt op docenten, vele van hen zullen beperkte training hebben gehad en hebben geen ICT achtergrond.

Firestorm @milte001 • 17 januari 2021 13:54

Dat is wellicht een reden, maar nog steeds geen excuus om het aan te zetten.

milte001 @Firestorm • 17 januari 2021 14:02

Scherp gelezen, misschien is het je opgevallen dat ik ook niet op dat bericht antwoord geef? /s

Zelf maak ik vaak BB-collab sessies aan. Hier enkele redenen wanneer ik het aan zet:
* Gastcolleges
* Stage- en afstudeer presentaties waar ook bedrijsbegeleiders bij zijn
* Voorlichtingen voor toekomstige studenten
Allemaal activiteiten waarbij gasten van buiten de instelling toegang nodig hebben. Belangrijk verschil met de tentamens is dat het hierbij niet verplicht is dat iedereen zijn webcam aan heeft.

pc_masterrace 17 januari 2021 12:53

Er komen volgende week tentamens aan, en we hebben bericht gekregen dat er überhaupt geen online surveillance zal zijn voor de komende 2 a 3 weken

adje123 @pc_masterrace • 17 januari 2021 13:12

Wordt een open boek tentamen dus?

pc_masterrace @adje123 • 17 januari 2021 13:31

onofficieel dan wel

sebasmac 17 januari 2021 12:50

Openheid zou gewaardeerd worden. Lijkt erop dat ze eerst de schuld willen afschuiven op een student, na advies van een jurist snel zoeken om te kijken of het een standaard instelling blijkt te zijn. Om vervolgens maar met de staart tussen de benen het naar buiten te brengen...

Bijzonder verhaal.

kodak

Networking en security
Datalek
Nederland

@sebasmac • 17 januari 2021 17:42

Hoe schuiven ze volgens jou de schuld af als ze letterlijk stellen dat ze onder de AVG verantwoordelijk zijn? Een aanleiding noemen is niet het zelfde als schuld afschuiven.

Op dit item kan niet meer gereageerd worden.

Hanzehogeschool Groningen maakt melding van datalek bij tentamensurveillance

Lees meer

Reacties (141)

Sorteer op:

Weergave: