Onderzoek: slimme camera’s Universiteit Leiden hadden kwetsbaarheden

Uit onderzoek van de Universiteit Leiden blijkt dat de beveiliging van 371 slimme camera’s die tijdens de coronacrisis werden geïnstalleerd, kwetsbaarheden hadden. Als de universiteit de camera’s opnieuw wil inzetten, moet het ook een risicoanalyse uitvoeren.

De redactie van het universiteitsblad Mare kon het onderzoeksrapport, dat momenteel bij de universiteitsraad ligt, inkijken. Daarin staan de resultaten van de penetratietest die begin dit jaar werd uitgevoerd door een extern bureau. Uit die test blijkt dat gebruikers informatie over de slimme camera konden zien, zonder in te loggen. De wachtwoorden waren naar verluidt ook met een onveilige en verouderde versleuteling beveiligd. Volgens Mare voerde Xovis, het bedrijf achter de slimme camera’s, in februari van dit jaar een update door die de kwetsbaarheden heeft verholpen.

Volgens de redactie van het universiteitsblad is er tijdens de penetratietest echter enkel naar de mogelijke veiligheidsrisico’s gekeken die kunnen optreden bij het inloggen op het systeem. Er zou geen onderzoek gedaan zijn naar het onbedoeld gebruik van de sensoren en kwetsbaarheden door ingelogde gebruikers. De universiteit zal dit volgens het blad ook niet verder onderzoeken. “Kwetsbaarheden die zich aan de binnenkant bevinden, maar die niet op afstand te misbruiken zijn, achten wij een verwaarloosbaar risico”, klinkt het daar.

Ricardo Catalan, de functionaris gegevensbescherming van de Universiteit Leiden, stelt in het onderzoeksrapport dat de universiteit een data protection impact assessment, kortweg DPIA, moet doen als het de camera’s opnieuw wil inschakelen. Een DPIA is een analyse die een organisatie moet uitvoeren als er sprake is van gegevensverwerking met een hoog privacyrisico. Zo’n analyse was volgens de man en de universiteit eerder niet nodig. "Deze inschatting was niet juist", stelt Catalan nu.

Volgens de man had de universiteit ook beter moeten communiceren over de slimme camera’s. Zo stelt hij vast dat de universiteit vanaf het begin duidelijk moest maken dat het om slimme camera’s ging en niet om ‘sensoren’ of ‘scanners’ zoals aanvankelijk werd geopperd. Op die manier werd volgens de man de ernst van de privacykwestie onderschat.

De universiteit heeft nog niet besloten of de slimme camera’s opnieuw zullen worden ingeschakeld. Daarvoor wacht het eerst de resultaten van de DPIA af. Zodra die is afgerond, wordt de knoop in overleg met de universiteitsraad doorgehakt.

De Universiteit Leiden begin tijdens de coronacrisis in 2020 met het gebruik van 371 slimme camera’s. Het gaat om Xovix PC2S-camera’s die gebruikt kunnen worden voor het tellen van mensen, maar ook voor het volgens en analyseren van gedrag. De universiteit stelde dat de camera’s enkel werden ingezet als sensoren om het aantal aanwezige studenten vast te leggen. Zo zou er geen gebruik worden gemaakt van beeld. Volgens universiteitsblad Mare stond het privacyniveau van de hardware altijd op een niveau waardoor er meer mogelijk was. Mensen kwamen op dat niveau naar verluidt ook niet herkenbaar in beeld. Eind vorig jaar schakelde de universiteit de slimme camera’s uit naar aanleiding van de onrust die over privacy was ontstaan.

Xovis PC2S
Xovis PC2S

Door Jay Stout

Redacteur

Feedback • 22-09-2022 19:19 31

22-09-2022 • 19:19

31

Lees meer

Microsoft waarschuwt voor actief misbruikte kwetsbaarheden in Exchange Server
Microsoft waarschuwt voor actief misbruikte kwetsbaarheden in Exchange Server Nieuws van 30 september 2022
Autoriteit Persoonsgegevens krijgt in 2023 twee miljoen euro extra budget
Autoriteit Persoonsgegevens krijgt in 2023 twee miljoen euro extra budget Nieuws van 21 september 2022
Nederlandse ministerie: niet verlengen CoronaMelder-wet bespaart 535.000 euro
Nederlandse ministerie: niet verlengen CoronaMelder-wet bespaart 535.000 euro Nieuws van 15 september 2022
Amsterdams festival lekt wachtwoorden en persoonsgegevens van 110.000 bezoekers
Amsterdams festival lekt wachtwoorden en persoonsgegevens van 110.000 bezoekers Nieuws van 9 september 2022
AP: persoonsgegevens doorsturen naar kerken moet stoppen
AP: persoonsgegevens doorsturen naar kerken moet stoppen Nieuws van 7 september 2022
Man die persoonsgegevens stal uit GGD-coronasysteem veroordeeld door rechtbank
Man die persoonsgegevens stal uit GGD-coronasysteem veroordeeld door rechtbank Nieuws van 5 september 2022
Universiteit Leiden zet camera's die aanwezigen tellen 'tot nader order' uit
Universiteit Leiden zet camera's die aanwezigen tellen 'tot nader order' uit Nieuws van 9 december 2021
Meer producten en artikelen
Privacy Nederland Universiteit

Reacties (31)

-Moderatie-faq
31
31
22
3
0
5
Wijzig sortering
mrbullet 22 september 2022 22:59
Als je meer achtergrond info wilt hebben waarom deze camera's moesten komen, kan je hier teruglezen.
Godson-2 22 september 2022 20:51
Waarom loopt een universiteit publiek geld uit te geven aan dit soort onzin?

Het tellen van studenten heeft geen of nauwelijks nut. Wat was het doel hiervan? Waren er nog meer doelen die op een later tijdstip ingezet zouden worden zoals agressie detectie?
batavier @Godson-223 september 2022 13:57
Uit de bron waarnaar mrbullet hierboven linkt, heb ik het even voor je op een rijtje gezet:

In eerste instantie waren de camera’s sensoren bedoeld om de anderhalve meter te handhaven/monitoren die nodig was tijdens de coronatijd. Dit middel is op zich al twijfelachtig om het doel te bereiken. Men vergat in eerste instantie de privacy officers in te lichten, er was geen verwerkersovereenkomst en er werd meteen al gedacht aan: “waar kunnen we het nog meer voor gebruiken”. Dus dataminimalisatie was nou ook niet echt een speerpunt, zullen we maar zeggen.

Na het doel ‘anderhalve meter’, werd het doel: registreren van bezoekers omdat de universiteit tijdens corona (gedeeltelijk) open wilde. Op een andere manier registreren was ‘teveel gedoe’. Da’s altijd een goede grondslag voor een verwerking volgens de Avg… :)

Later werd ‘continue bezettingsgraadmeting’ weer van stal gehaald (had men in 2019 al bedacht).

Een van de privacy officers werd uiteindelijk te laat ingeschakeld en met haar (toch wel beperkte advies) is weinig gedaan. Ook met het advies van de tweede privacy officer werd niet echt wat gedaan.

Al tijdens de pandemie worden de camera’s voor meer gebruikt dan alleen registratie van bezoekers: het UFB past schoonmaakroosters en openingstijden aan op de gemeten bezetting.

Kortom, de conclusie staat ook in bovenstaand artikel: apparaten die veel meer konden dan nodig (en dus uitnodigden om ook daadwerkelijk gebruik te gaan maken van de geboden mogelijkheden), heel veel geld voor iets dat overbodig is, overtreding van de Avg, (bewust?) slechte communicatie, meer data willen verzamelen dan nodig (dataminimalisatie was duidelijk iets dat niet aan de orde was), geen DPIA, niet/te laat inlichten van de universiteitsraad.

Wijzig:
Betreffende bron.

[Reactie gewijzigd door batavier op 23 juli 2024 09:33]

Boele009 @Godson-222 september 2022 21:55
Kunnen roosteren in kleinere of minder lokalen, waardoor ze geen externe ruimtes meer hoeven te huren/er meer ruimtes vrijkomen
mjtdevries @Boele00923 september 2022 17:13
Dat zou alleen zinvol zijn als in de praktijk het merendeel van de studenten niet op komt dagen bij colleges.
Is dat het geval? (in mijn tijd heeeeel lang geleden was iedereen er gewoon)
Boele009 @mjtdevries24 september 2022 08:54
Dat is inderdaad het geval, zeker bij werkgroepen. Colleges valt dit semester wel weer mee, omdat het niet meer wordt opgenomen/gestreamd. Werkcolleges daalt altijd gedurende het semester (begin veel, midden weinig, einde veel). Als je dat dus ipv in 5 lokalen in 3 kan doen, heb je er weer 2 vrij
tw_gotcha @Godson-224 september 2022 06:36
hoeft geen publiek geld te zijn, universiteiten genereren ook andere geldstromen met betaald werk.
Orangelights23 22 september 2022 19:32
Een risico analyse is zeer zeker wat anders dan een DPIA. Een risico analyse heeft als doel om het risico in kaart te brengen om vervolgens te bepalen of en hoe dit risico verminderd kan worden. Een DPIA is een assessment of iets wel/niet voldoet aan wetten zoals de AVG. Benieuwd wat het vervolg zal zijn.
Thijsmans @Orangelights2323 september 2022 09:10
Onjuist, een DPIA is nu juist bij uitstek bedoeld om mitigerende maatregelen te onderzoeken :)

https://www.autoriteitper...on-impact-assessment-dpia
Orangelights23 @Thijsmans23 september 2022 09:27
Een risico assessment is heel wat anders dan een risico analyse, dit is wat ik schrijf :)
mjtdevries @Orangelights2323 september 2022 17:09
Van die site van de AP:
Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Volgens mij is dat precies wat jij een analyse noemt:
Een risico analyse heeft als doel om het risico in kaart te brengen om vervolgens te bepalen of en hoe dit risico verminderd kan worden
Taalkundig gezien heb je wellicht gelijk. Maar in de prakijk worden assessment en analyse nogal eens door elkaar gebruikt. En zoals je ziet is dat zeker bij een DPIA het geval.
Dnnk 22 september 2022 21:34
Hier is vorig jaar inderdaad een uitgebreide discussie over geweest. Men vond bijvoorbeeld dat het goed was om te weten hoeveel studenten er in een ruimte waren om de kachel uit te zetten zodra er niemand was, of in algemenere zin: om ruimte efficienter in te kunnen zetten. De camera's zijn echter geavanceerd en kunnen naast aanwezigheid ook gedrag, geslacht, lengte, humeur en leeftijd bepalen. Dat is op alle fronten te veel data die potentieel in verkeerde handen kan vallen, zeker voor de doeleinden die de universiteit (tot nu toe) heeft met deze camera's. Alle infrastructruur is er nu, het is alleen nog wachten op iemand die het daadwerkelijk wilt gaan inzetten of kwaadwillenden die er misbruik van maken.
aadje93 @Dnnk22 september 2022 23:40
Weet je welke "sensor" ook kan bepalen of er aanwezigheid is, een simpele PIR melder in elke ruimte, liefst meerdere aan elkaar gekoppeld. En alah, je weet of er beweging in de ruimte is.
thomas1907 @aadje9322 september 2022 23:49
Je hebt tegenwoordig ook mmWave "Presence detection" om te zien of er iemand aanwezig is.
Een voorbeeld is de Xiaomi Aqara FP1
https://www.gizmochina.co...eter-wave-radar-unveiled/

[Reactie gewijzigd door thomas1907 op 23 juli 2024 09:33]

GMJansen @Dnnk23 september 2022 00:23
Nou en?
Als het niet herleidbaar nasr de persoon is, is het toch geen enkel probleem?

Altijd zo'n lekkere gleidende schaal wat wel en niet mag.

[Reactie gewijzigd door GMJansen op 23 juli 2024 09:33]

steven166.sh @Dnnk23 september 2022 08:59
Precies dit, met een kanon op een mug schieten in de zin van privacy. Voor zulke dingen is een DPIA inderdaad vereist om af te wegen of de oplossing proportioneel is voor het probleem en of er geen alternatieven zijn die de privacy minder schaad. Zoals een andere soort sensor die minder vastlegt of dat het überhaupt wel een gegrond probleem is.
moonlander 22 september 2022 19:42
Stel de cameras worden hierdoor onbruikbaar. Gaan ze nog actie ondernemen tegen de fabrikant?
Tomatoman @moonlander22 september 2022 20:10
Het is maar de vraag in hoeverre de risico’s van privacyschending binnen de aansprakelijkheid van de fabrikant vallen of zelfs maar aan de fabrikant verwijtbaar zijn. Om maar een extreem en algemeen voorbeeld te noemen (dat overigens niet in Leiden speelde): als de camera’s op toiletten hangen, is dat een keiharde en waarschijnlijk zelfs strafbare inbreuk op de privacy van de toiletgebruikers. Deze privacyschending is echter niet de schuld van de camerafabrikant, maar komt volledig op het conto van de eigenaar of gebruiker van de camera’s. Een tweede voorbeeld: als de camera-eigenaar in alle camera’s het wachtwoord secret instelt, is dan de fabrikant die aansprakelijk is voor zwakke wachtwoordprotocollen, of de camera-eigenaar die überhaupt niet de moeite neemt om een fatsoenlijk wachtwoordbeleid te gebruiken?
mmjjb @moonlander22 september 2022 20:13
Actie voor wat precies? Volgens bovenstaand artikel zijn de kwetsbaarheden door de fabrikant reeds verholpen.
jdh009 @moonlander22 september 2022 21:41
Ligt aan de gebruikersvoorwaarden, denk dat je uiteindelijk meer kans maakt bij de aannemer die ze geplaatst heeft. Daar heeft de universiteit de producten ook gekocht en is dus het eerste aanspreekpunt voor problemen met het materiaal. Echter, die zal zich ook ingedekt hebben en alleen op hardwarefalen garantie geven. Maar de punten zijn zoals het er naar uit ziet verholpen als ik het goed interpreteer.

[Reactie gewijzigd door jdh009 op 23 juli 2024 09:33]

kodak
@moonlander23 september 2022 09:38
Wat voor actie zou je verwachten?

De universiteit heeft de wettelijke verantwoordelijkheid om al voor aanschaf en gebruik zelf voor privacyrechten van hun klanten op te komen. Dat lijkt nauwelijks tot niet te zijn gedaan. Terwijl je van een universiteit toch juist mag verwachten dat die weten hoe belangrijk goed onderzoek en inhoudelijke kennis is en ze met jaren aan juridisch onderwijs over privacy en bedrijfsverantwoordelijkheid geven wel beter hadden moeten weten dan kennelijk negeren en bagatelliseren.

Daarbij hebben bedrijven niet zomaar veel recht dat een ander bedrijf ze maar een product levert wat aan de verantwoordelijkheid van de koper voldoet.

Natuurlijk valt er actie te ondernemen om misschien te proberen te voorkomen dat andere bedrijven geinformeerd worden dat de producten niet zomaar gebruik maken van de laatste technologie, of dat het niet zomaar slechts sensoren zijn of dat iso9001 niet zomaar zorgt dat het aan de privacy eisen of beveiligingseisen van een koper voldoet. Maar dat heeft waarschijnlijk meer waarde door dat als universiteit gewoon duidelijker publiek duidelijk te maken aan zichzelf en alle mogelijke kopers van dit soort producten.
911GT2 22 september 2022 19:22
Ik vind het vreemd dat men het heeft over in/uitschakelen.
Als privacy echt een issue is zou de vraag moeten zijn: weghalen/ laten hangen.

Het is algemeen bekend dat camera's remote ingeschakeld kunnen worden.
CyBeR @911GT222 september 2022 19:45
Nouja succes daarmee als ze geen stroom hebben.
kodak
22 september 2022 20:08
Dit lijkt op een typisch geval van overal verantwoordelijkheid afschuiven en andere prioriteiten hebben dan privacybescherming en kwaliteit van de beveiliging.

De fabrikant verkoopt hun producten met camera's en real-time mee kunnen kijken liever als sensoren die de laatste security gebruikt. De kwaliteit hang kennelijk vooral af van ISO9001, wat niets zegt over hoe goed de privacy en de producten beschermd zijn. Bij de eerste de beste test bleek dat dus niet zomaar te kloppen.

De klant, waar veel gebruikers van afhankelijk zijn, lijkt dat kennelijk zomaar zonder controle over te nemen en had ook geen aandacht voor privacy en dus de wettelijke eisen of kwaliteit van de beveiliging van die apparatuur. Kennelijk koopt men liever maar wat in omdat het kan dan zekerheid te hebben of men wel krijgt waarom is gevraagd en nodig is?

De verantwoordelijke functionaris stelt dat ze betrokken waren maar onvoldoende aandacht hadden. En lijkt dit vervolgens af te schuiven op de coronaperiode, terwijl drukte juist geen wettelijk excuus is om kennelijk maar niet door te vragen.
Boele009 22 september 2022 21:56
Ze worden dus nu niet meer gebruikt, en sinds vorige week lopen er surveillanten rond die elke 2 uur in elk lokaal het aantal studenten komt tellen. Toch grappig als een docent verbaasd is wanneer er iemand binnenkomt, rondkijkt en weer weg gaat.
Silent7 22 september 2022 19:37
mooi dat een universiteitsblad het ontdekt, goede journalisten, let je op @WoutF das jouw alma mater, tech journalisten in de dop :D

oh en 371, lijkt Londen wel :)

[Reactie gewijzigd door Silent7 op 23 juli 2024 09:33]

sweetdude @Silent723 september 2022 09:45
371 camera's is toch niet zo'n gek aantal, 1 per patiënt die in isolatie ligt?

Deze zijn bedoeld om met minder risico meer patiënten in de gaten te kunnen houden lijkt mij. zo hoeft het personeel minder vaak blootgesteld te worden en voorkom je ook voor een deel kruisbestuiving (kamertje in, kamertje uit, volgende)
Silent7 @sweetdude23 september 2022 09:51
Voor een ziekenhuis snap ik je punt.
Maar het artikel zegt:
". De universiteit stelde dat de camera’s enkel werden ingezet als sensoren om het aantal aanwezige studenten vast te leggen. "
sweetdude @Silent723 september 2022 09:57
woops, my bad. ik had LUMC in mijn hoofd zitten toen ik de titel las.

Maar als het puur voor aanwezigheidsdetectie is kan ik het ook nog wel begrijpen dat je aantallen per ruimte wil weten om eventueel de luchtbehandeling beter in te stellen of desnoods het ontruimingsalarm te laten gaan. In de corona tijd werd niet altijd even goed met de aantallen en afstanden rekening gehouden, maar is een bedrijf wel verantwoordelijk voor de handhaving.
Tweak_ers @Silent725 september 2022 10:17
Op dit moment worden weer handmatige tellingen uitgevoerd. Personen die heel de dag mensen tellen in kamers en zalen…
HakanX 22 september 2022 23:06
De grootste kwetsbaarheid is de persoon die het heeft doorgedrukt om AI camera's te installeren welke aan gedragsanalyse doen..

Als we als het ware een virus/malwarescan op het personeel zouden kunnen uitvoeren, zou er een dikke rode uitroepteken op zijn kop staan en verwijderd worden. Daarmee zou de rest al niet gebeurd zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq