Antwoord schriftelijke vragen : Antwoord op vragen van de leden Van Raan en Van Esch over het bericht dat journalisten stiekem konden meekijken bij online tentamens

Antwoord van Minister Van Engelshoven (Onderwijs, Cultuur en Wetenschap) (ontvangen
22 maart 2021) Zie ook Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 1617

Vraag 1

Kent u de berichten «Journalisten konden stiekem meekijken met online tentamen» en
«Datalek: iedereen kan meekijken bij online tentamens van Hanzehogeschool»?1
2

Antwoord 1

Ja.

Vraag 2, 3, 4 en 5

Klopt het dat journalisten zomaar konden meekijken in de woonkamers van studenten
en daarbij ook namen en studentnummers te zien kregen? Zo nee, hoe zit het dan?

Klopt het dat deze journalisten zich niet hoefden te identificeren en er geen wachtwoorden
nodig waren? Zo nee, hoe zit het dan?

Klopt het dat de surveillanten niet doorhadden dat er journalisten meekeken met het
tentamen?

Kunt u een feitenrelaas opstellen over dit datalek?

Antwoord 2, 3, 4 en 5

Studenten ontvingen voorafgaand aan het betreffende tentamen een link naar de surveillance
omgeving. Doordat een student een «»open guest link»» naar de surveillance omgeving
deelde, kon een journalist meekijken in de online surveillance omgeving. In deze omgeving
zijn studenten met naam in beeld en worden ze door de surveillant één voor één om
identificatie gevraagd. De surveillant vraag elke student om de studentenkaart te
tonen voor de camera. Deze worden vervolgens vergeleken met de namen en studentnummers
van de studenten die in de surveillanceruimte zouden moeten zitten. Indien een persoon
zich niet kan identificeren wordt deze persoon uit de surveillanceruimte verwijderd.
De surveillant heeft de journalist één keer gevraagd om zich te identificeren en vervolgens
om de omgeving te verlaten. De tweede keer is de journalist uit zichzelf vertrokken.
De journalist heeft de Hanzehogeschool geattendeerd op een datalek in de surveillance
omgeving. De Hanzehogeschool heeft naar aanleiding hiervan het datalek gemeld bij
de Autoriteit Persoonsgegevens. Vervolgens is het lek gedicht en is de tentamenplanning
aangepast. Studenten die direct betrokken waren, zijn geïnformeerd over het feit dat
een journalist toegang heeft gehad tot hun surveillancesessie en dat hij mogelijk
beelden, namen en studentnummers heeft kunnen vastleggen. De Hanzehogeschool heeft
excuses aangeboden aan de studenten en aangegeven dat het lek gemeld is de bij de
Autoriteit Persoonsgegevens.

Alle studenten van de Hanzehogeschool zijn op de hoogte gesteld van het datalek, en
de melding bij de Autoriteit Persoonsgegevens. Studenten zijn geïnformeerd door hun
eigen opleiding over doorgang en vorm van toetsen.

De Hanzehogeschool heeft op dit moment een nieuwe manier van online surveillance ingericht
en daarmee de veiligheid verbeterd. Elk tentamen vindt plaats in een veilige toetsomgeving
binnen Blackboard Collaborate. De toegang tot de surveillanceomgeving is beveiligd
met een accountnaam en wachtwoord. Alleen studenten die ingeschreven staan voor het
tentamen, de docent en surveillanten hebben toegang tot de omgeving. De nieuwe surveillanceomgeving
en de procedures zijn doorgelicht en getest.

Vraag 6

Wat is uw boodschap aan de getroffen studenten?

Antwoord 6

Elke vorm van het lekken van persoonlijke informatie is onwenselijk en zorgelijk.
Ik kan me voorstellen dat de studenten van de Hanzehogeschool geschrokken zijn toen
het datalek bij hen bekend werd. Ik heb de Hanzehogeschool gesproken en ik heb begrepen
dat de surveillance omgeving inmiddels is aangepast.

Vraag 7

Wat zijn de vervolgstappen in deze casus?

Antwoord 7

De Hanzehogeschool Groningen heeft de studenten geïnformeerd over het datalek en aangegeven
dat het datalek gemeld is bij de Autoriteit Persoonsgegevens. Daarnaast heeft de Hanzehogeschool
haar excuses gemaakt en studenten continu op de hoogte gehouden over of tentamens
wel of niet doorgingen en in welke vorm.

De Hanzehogeschool heeft inmiddels een nieuwe wijze van online surveillance ingericht
en getest. Zowel de toets als de surveillance bevinden zich in een beveiligde omgeving
waar de student alleen met zijn/haar persoonlijke inloggegevens in kan.

Vraag 8

Wat is uw inzet om er voor te zorgen dat dit datalek het laatste incident was met
online tentamens?

Antwoord 8

Zoals ik eerder heb aangegeven zijn datalekken zorgelijk en onwenselijk. Door de coronacrisis
is in de afgelopen maanden bij de instellingen veel extra (ICT-)inzet gepleegd op
het faciliteren van onderwijs en werken op afstand, maar ook op de daarmee gepaarde
veiligheidsrisico’s. Tegelijkertijd was er veel aandacht voor het vergroten van bewustwording
rondom security- en privacy in relatie tot nieuwe digitale tools zoals privacy en
security rond videobellen, juiste tools voor online samenwerken, gebruik van een vpn
om veilig thuis te kunnen werken, hoe gebruik te maken van wifi bij online samenwerken,
phishing én online proctoring. Ook met het oog hierop heeft SURF samen met de instellingen
een basismodule voor het Digitaal Brevet ontwikkeld, één voor studenten en één voor
medewerkers: een e-learning tool voor de sector om bewustwording en vaardigheden op
het gebied van security en privacy te leren en te toetsen. Hiernaast overleggen hogescholen
en universiteiten regelmatig met elkaar over verschillende technologische ontwikkelingen
en veiligheidsaspecten.

Ik wil de NVAO en de Inspectie vragen om een thematisch onderzoek te doen naar de
kwaliteit van online onderwijs in het HO in de coronacrisis. Ik ben aan het verkennen
of online tentaminering ook onderdeel kan zijn van dit onderzoek. Daarbij kan bijvoorbeeld
de inzet en kwaliteit van online proctoring onderzocht worden.

Vraag 9

Kunt u een overzicht verschaffen van alle bij u bekende privacyschendingen en overige
incidenten met online tentamens?

Antwoord 9

Hoger onderwijsinstellingen dragen vanuit hun wettelijke taak de verantwoordelijkheid
om de kwaliteit van de (online) examens en de onderdelen daarvan te waarborgen. Indien
zich incidenten voordoen waarbij de kwaliteit niet gewaarborgd kan worden is het aan
de betreffende examencommissie om in te grijpen. Hierbij is geen rol weggelegd voor
mijn ministerie. Ik registreer daarom geen incidenten bij online tentamens.

Vraag 10

Herinnert u zich de diverse waarschuwingen voor datalekken bij online tentamens?

Antwoord 10

De AVG stelt hoge eisen aan zorgvuldige verzameling en verwerking van persoonsgegevens,
alsook aan de beveiliging en opslag van persoonsgegevens. Datalekken zijn nooit helemaal
uit te sluiten, hoe goed een online systeem ook is ingericht. Daarom is het van groot
belang dat instellingen zelf regelmatig controleren of de proctoring en online surveillance
software voldoende beveiligd is.

Vraag 11 en 12

Herinnert u zich dat u destijds geen concreet antwoord gaf toen de leden Van Raan
en Van Esch aan u vroegen welke garanties u heeft dat «derden, zoals bijvoorbeeld
de softwareleverancier, hackers, inlichtingendiensten of andere partijen geen toegang
hebben tot de te verzamelen informatie»?3

Kunt u deze vraag van een actueel antwoord voorzien?

Antwoord 11 en 12

In mijn vorige beantwoording heb ik aangegeven dat bij het gebruik van proctoring
(en dus ook online surveillance) het van groot belang is dat de gegevens van studenten
beschermd zijn. De afspraken die instellingen met de betrokken bedrijven en leveranciers
maken, dienen in overeenstemming te zijn met de AVG. Daarnaast gaf ik aan dat ik de
online veiligheid van studenten enorm belangrijk vind. Daarom heb ik instellingen
opgeroepen om maatregelen te (blijven) nemen om de online veiligheid van studenten
te vergroten, zeker wanneer zij nieuwe digitale tools gebruiken. In mijn brieven van
14 februari 2020 inzake cyberveiligheid in het onderwijs4 en van 3 juli 2020 inzake het onderzoek naar de cyberaanval op de Universiteit Maastricht5 heb ik uiteengezet welke maatregelen hoger onderwijsinstellingen hebben genomen om
de cyberveiligheid te vergroten. Deze maatregelen betreffen een breed spectrum: het
gaat zowel om het vergroten van het veiligheidsbewustzijn bij alle betrokken partijen,
als om het verbeteren van detectie en het toedelen van de verantwoordelijkheid op
de juiste niveaus binnen de instelling. Dit antwoord is nog steeds actueel.

Vraag 13, 14 en 15

Erkent u dat de huidige wet- en regelgeving kennelijk niet heeft kunnen voorkomen
dat er een grove privacyschending heeft plaatsgevonden?

Is deze vaststelling voor u aanleiding om wet- en regelgeving te herzien? Kunt u dat
toelichten?

Erkent u dat de privacy van studenten in de praktijk kennelijk niet gewaarborgd is?
Zo nee, waarom niet?

Antwoord 13, 14 en 15

Zoals ik al aangaf in mijn vorige antwoorden, is het helemaal uitsluiten van datalekken
niet mogelijk. Daarom is het van groot belang dat instellingen maatregelen blijven
nemen om de online veiligheid van studenten te vergroten. Voor de specifieke stappen
en maatregelen verwijs ik u naar het antwoord op vraag 12. De AVG stelt al hoge eisen
aan zorgvuldige verzameling en verwerking van persoonsgegevens en aan de beveiliging
en opslag daarvan. Voor wat betreft de inzet van online proctoring is het heel belangrijk
dat instellingen zich aan de AVG regels houden, en zo de privacy van studenten waarborgen.
Er is op dit moment geen aanleiding voor het herzien van wet- en regelgeving, maar
ik roep instellingen nadrukkelijk op om de AVG op te volgen en daarbij gebruik te
maken van de richtlijnen van de AP en SURF.

Vraag 16

Welke consequenties heeft deze vaststelling wat u betreft voor het organiseren van
tentamens in de nabije toekomst?

Antwoord 16

Zoals ik heb aangegeven bij vraag 13, 14 en 15 roep ik instellingen nadrukkelijk op
om de AVG op te volgen en daarbij gebruik te maken van de richtlijnen van de AP en
SURF.

Ik wil de NVAO en de Inspectie vragen om een thematisch onderzoek te doen naar de
kwaliteit van online onderwijs in het HO in de coronacrisis. Ik ben aan het verkennen
of online tentaminering ook onderdeel kan zijn van dit onderzoek. Daarbij kan bijvoorbeeld
de inzet en kwaliteit van online proctoring onderzocht worden.

Vraag 17, 18, 19 en 20

Erkent u dat het in de praktijk – met de nodige aanpassingen – in principe nog steeds
mogelijk is om veilige fysieke tentamens te organiseren? Zo nee, waarom niet?

Herinnert u zich dat de leden Van Raan en Van Esch aan u vroegen om «onderwijsinstellingen
te helpen om zo snel mogelijk op veilige wijze tentamens te organiseren, zonder dat
daar spionagesoftware bij komt kijken zodat de privacy van studenten niet wordt aangetast»?

Kunt u deze vraag nogmaals beantwoorden, inclusief een actuele stand van zaken van
de wijze waarop onderwijsinstellingen aan de slag zijn met het organiseren van veilige
fysieke tentamens?

Welke middelen gaat u de onderwijsinstellingen ter beschikking stellen om veilige
fysieke tentamens te organiseren?

Antwoord 17, 18, 19 en 20

Het is sinds de zomer van 2020 voor onderwijsinstellingen mogelijk om tentamens op
locatie te organiseren, zolang zij de richtlijnen van RIVM in acht nemen. Ook in de
huidige lockdown mogen onderwijsinstellingen tentamens op locatie organiseren. Veel
instellingen organiseren ook een deel van de tentamens op locatie. Daarnaast wordt
op dit moment kennis opgedaan hoe sneltesten kunnen bijdragen aan het nog verder vergroten
van de veiligheid voor studenten en medewerkers in het fysieke onderwijs, waaronder
bij tentamens.

Het is echter wel aan de instellingen om op basis van de specifieke omstandigheden
te bepalen welke toetsingsvorm en -locatie geschikt is voor hetgeen ze willen toetsen.
Daarbij dienen instellingen een afweging te maken, waar zij voldoende aandacht moeten
besteden aan de toetsingsvorm en de privacy van de student. Maar instellingen dienen
ook voldoende aandacht te besteden aan de veiligheid van de student, de werkdruk binnen
de instelling en de organiseerbaarheid van de tentamens. Hierdoor kan het voorkomen
dat een instelling een online tentaminering als een beter alternatief beschouwt dan
een tentamen op locatie.

Toelichting:

Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Futselaar
(SP), ingezonden 20 januari 2021 (vraagnummer 2021Z01044).