Het Hof Amsterdam heeft op 1 juni 2021 uitspraak gedaan over het gebruik van Proctorio op de Universiteit van Amsterdam (UvA). De uitspraak komt er kortgezegd op neer dat de inzet van online proctoring noodzakelijk is om fraude bij online tentamens tegen te gaan. In deze blog behandelen we belangrijke elementen uit de uitspraak.
Proctorio is een tool waarmee ‘afwijkend gedrag’ bij het maken van online tentamens kan worden gesignaleerd. De oplettende docent heeft hiermee plaats gemaakt voor een ‘online surveillant’. Leerlingen worden tijdens het maken van een examen continu gecontroleerd. Proctorio neemt de webcam, microfoon, webverkeer, scherm, muis- en toetsenbordactiviteit op. Ook kan worden gevraagd om een ‘deskscan' te doen, om te controleren of de leerling toch niet stiekem papieren met aantekeningen voor zijn of haar neus heeft liggen. Een onmiskenbare inbreuk op de privacy van leerlingen. Dat is zeker.
Met Proctorio worden persoonsgegevens verwerkt. Leerlingen worden immers constant met beeld en geluid in de gaten gehouden. Dat is nogal wat. Door het verhoogde risico van de gegevensverwerking, typisch een geval waarbij het uitvoeren van een Data Protection Impact Assessment (DPIA) broodnodig is. Niet mag worden vergeten dat het observeren van gedrag ook op de DPIA-lijst staat die is opgesteld door de Autoriteit Persoonsgegevens (AP).
Uit de uitspraak valt op te maken dat de UvA een DPIA heeft uitgevoerd. Bij het opstellen van de DPIA zijn onder meer de Security Officer, de Informatiemanager, de Privacy Officer, de FG en de Chief Information Security Officer (CISO) betrokken. De UvA heeft dus goed voorwerk gedaan. Niet geheel onbelangrijk. Zo hebben we bijvoorbeeld in de Manfield-zaak kunnen zien dat het je wordt aangerekend als er geen gedocumenteerd verhaal op de plank ligt waarin de privacyzaken, waaronder noodzakelijkheid, zijn getoetst. Zonder DPIA sta je simpelweg met 1-0 achter. Twijfelt u of een DPIA nodig is? Altijd doen. Een DPIA is naast een wettelijke verplichting ook gewoon een heel mooi middel om overzicht te krijgen ten aanzien van de privacyrisico’s.
Uit de uitspraak blijkt dat taak van algemeen belang of openbaar gezag (artikel 6 lid 1 sub e) als grondslag voor het gebruik van Proctiorio is aangewezen. Om op deze grondslag te varen dient het gebruik van Proctorio noodzakelijk te zijn. De UvA voert hiertoe aan dat iedereen, gelet op de Covid-19 maatregelen, thuis moet blijven. Om de examens toch door te laten gaan is het noodzakelijk om online tentamens aan te bieden. Het voorkomen van fraude is daarbij eveneens noodzakelijk voor een eerlijke en betrouwbare examinering. Er is geen alternatief voorhanden. Het is van essentieel belang om de grondslag en de noodzaak van de gegevensverwerking op orde te hebben. Dat dit ook mis kan gaan zagen we recent nog aan de boete die werd opgelegd aan gemeente Enschede.
Verder oordeelt het Hof dat de UvA zorgvuldig omgaat met de gegevens. Daarbij is van belang dat de gegevens versleuteld worden opgeslagen op servers in Amsterdam en München. Het personeel van de UvA – die zijn geautoriseerd en een geheimhoudingsovereenkomst hebben ondertekend – kunnen de score voor afwijkend gedrag zien. Pas bij significant afwijkend gedrag worden de gegevens geraadpleegd. De gegevens worden maximaal 30 dagen na afname van het examen bewaard, tenzij er sprake is van een vermoeden van fraude.
Kan van beeldmateriaal gezegd worden dat er bijzondere persoonsgegevens, zoals ras of religie, worden verwerkt? Om bijzondere persoonsgegevens te mogen verwerken is een uitzondering op het verwerkingsverbod nodig, bijvoorbeeld toestemming. Het vinden van een uitzondering is regelmatig een lastig karwei. Ook in deze zaak kon dat voor UvA roet in het eten gooien. Toestemming kan immers maar moeilijk in vrijheid worden verkregen en het is nog maar zeer de vraag of er een andere uitzonderingsgrond kan worden aangewezen waar de UvA zich op zou kunnen beroepen. De rechter zegt hier echter over dat beelden niet zonder meer zijn aan te merken als bijzondere persoonsgegevens. Daarbij is van belang dat het niet aannemelijk is dat het verkregen beeldmateriaal is gericht op persoonskenmerken, zoals ras of religie. Ook is niet te voorzien dat er onderscheid zal worden gemaakt op basis van dit soort persoonskenmerken. Geen bijzondere persoonsgegevens dus. Dergelijke overwegingen kennen we ook uit de richtlijnen over cameratoezicht van de AP (pagina 25 t/m pagina 27).
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.