Uitspraak
vonnis
RECHTBANK AMSTERDAM
Afdeling privaatrecht, voorzieningenrechter civiel
zaaknummer / rolnummer: C/13/684665 / KG ZA 20-481 HH/LO
Vonnis in kort geding van 11 juni 2020
in de zaak van
1. de medezeggenschapsraad
CENTRALE STUDENTENRAAD VAN DE UNIVERSITEIT VAN AMSTERDAM,
gevestigd te Amsterdam,
2. de medezeggenschapsraad
FACULTAIRE STUDENTENRAAD VAN DE FACULTEIT ECONOMIE EN BEDRIJFSKUNDE VAN DE UNIVERSITEIT VAN AMSTERDAM,
gevestigd te Amsterdam,
3.
[eiser sub 3],
[eiser sub 3],
wonende te [woonplaats] ,
eisers bij dagvaarding van 2 juni 2020,
advocaten mr. W. Brussee te ’s-Gravenhage en mr. S. van Londen te Hilversum,
tegen
de publiekrechtelijke rechtspersoon
UNIVERSITEIT VAN AMSTERDAM,
zetelend te Amsterdam,
gedaagde,
advocaat mr. N.N. Bontje te 's-Gravenhage.
Partijen zullen hierna ook CSR, FSR en [eiser sub 3] en de UvA worden genoemd.
1.De procedure
Op de zitting van 4 juni 2020 hebben eisers de vorderingen zoals omschreven in de dagvaarding toegelicht. De UvA heeft verweer gevoerd. Beide partijen hebben schriftelijke stukken en een pleitnota ingediend. Vonnis is bepaald op vandaag.
Ter zitting waren aanwezig:
aan de kant van de eisers: [naam 1] (CSR), [naam 2] (CSR), [naam 3] (CSR) en [naam 4] (FSR) met mr. Brussee en mr. Van Londen;
aan de kant van de UvA: [naam 5] , hoofd juridische zaken, [naam 6] , directeur Centre for Educational Innovation (Faculteit Economie en Bedrijfskunde) met mr. Bontje en mr. D.R. Stolwijk.
2.De feiten
2.1.
[eiser sub 3] is student aan de Faculteit Economie en Bedrijfskunde (FEB) van de UvA.
2.2.
Op 15 maart 2020 heeft het kabinet besloten om per 16 maart 2020 de scholen en universiteiten te sluiten in verband met de coronacrisis. Daardoor konden vanaf die datum geen tentamens meer worden afgenomen in de gebouwen van de UvA.
2.3.
In verband met de sluiting van de gebouwen heeft de UvA onderzoek gedaan naar de mogelijkheid van
‘online proctoring’; het gebruik van software om toegang te krijgen tot online tentamens en om fraude op te kunnen sporen bij online tentamens.
‘online proctoring’; het gebruik van software om toegang te krijgen tot online tentamens en om fraude op te kunnen sporen bij online tentamens.
2.4.
In de Student Manual Online Proctored Exams (versie 4 juni 2020) staat onder meer het volgende.
(…)
What is online proctoring?
What is online proctoring?
Online proctoring means remote invigilation (surveillance) of an exam that you take in an online assessment platform. (…)
The UvA will make use of Proctorio (…) for online proctoring. Proctorio works via a plugin tool in Google Chrome. This plugin allows us to record you while you take the exam, and analyze the results. The results are analyzed automatically, and if any irregularity is detected a real person will assess the recorded material.(…)
Recording
During the exam, your webcam, microphone, web traffic, screen, mouse- and keyboard activity are continuously monitored.
Additionally, you might be asked to show your room, to check whether you have a clean desk and you are alone.
Browser lock-down
The plugin can ask you to close all web browser windows before starting the exam and prevent you from opening new browser windows and tabs.
The plugin will detect second screens and will prevent you from taking the exam in case you have a second screen attached.
Additional lock-down options which might be turned on for your exam are, amongst others, disabling clipboard functionality, disabling right-mouse clicks and disabling printing functionality.
Verification
The system will execute a check to make sure the webcam, microphone and screen recording are working as supposed.
Also, you will be asked to scan your UvA student ID card at the beginning of the exam.
(…)
The UvA understands that it might feel strange to be recorded during an exam. We understand that we are asking a lot when we ask you to show your room, and may see the files you have on your computer. We provide tips on how to minimize the intrusion into your private space elsewhere in this document.
The most important reason to choose online proctoring as an alternative, is to
minimize study delay for as many students as possible. The UvA has made sure that the footage of the exams can only be viewed by authorized employees. The only purpose to watch the recordings is to check for fraud. After the checks have been completed, all recordings will be deleted automatically after 30 days.
minimize study delay for as many students as possible. The UvA has made sure that the footage of the exams can only be viewed by authorized employees. The only purpose to watch the recordings is to check for fraud. After the checks have been completed, all recordings will be deleted automatically after 30 days.
(…)
What about my privacy?
We understand online proctoring is an invasion of your privacy. We are mindful of this, but have decided to use online proctoring nonetheless. Our main reason is to make sure that exams for which it is hard or impossible to find an alternative form of examination (due to the number of students or the nature of the knowledge and/or skills to be examined) do not cause study delay for large groups of students.
The UvA has a Privacy Statement that describes which data are processed, recorded and stored by Proctorio. It describes how Proctorio handles the data, which rules and regulations apply. (…) Proctorio uses end-to-end zero knowledge encryption, which means they store that data in such a way that they cannot unencrypt and access it themselves, only authorized UvA staff can access the data. (…)
How am I monitored by the proctoring system?
Proctorio records your screen, webcam, audio, keystrokes and some information about your computer system to determine whether
● you are looking away from the screen a lot,
● you leave the area visible via the webcam,
● unpermitted sound can be heard,
● you are using a phone,
● you are opening unpermitted browser tabs or programs,
● you are typing much more or less than fellow students, and
● other people appear on screen. (…)
2.5.
Begin april 2020 heeft de UvA een pilot gehouden waarbij drie (oefen)tentamens werden afgenomen met behulp van online proctoring door middel van software van Proctorio.
2.6.
Ten tijde van de pilot is advies ingewonnen bij de Functionaris Gegevensbescherming (FG) van de UvA, die op 24 april 2020 positief heeft geadviseerd over de inzet van online proctoring gedurende de Covid-19 crisis.
2.7.
Ook heeft de UvA op Proctorio een DPIA (Data Protection Impact Assessment) uitgevoerd. Dat is een instrument om (vooraf) de privacyrisico’s van een gegevensverwerking in kaart te brengen en om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Bij het opstellen van de DPIA zijn onder meer de
Security Officer,de Informatiemanager, de
Privacy Officer, de FG en de
Chief Information Security Officer (CISO)betrokken.
Security Officer,de Informatiemanager, de
Privacy Officer, de FG en de
Chief Information Security Officer (CISO)betrokken.
2.8.
Bij brief van 29 april 2020 heeft de CSR een ongevraagd advies over de inzet van online proctoring gegeven aan het College van Bestuur (CvB) van de UvA. De CSR heeft verklaard ernstig bezwaar te hebben tegen het gebruik van online proctoring. Indien het CvB desondanks toch verder gaat met de implementatie daarvan, dan adviseert de CSR onder meer om een privacy protocol vast te stellen dat aan de student zal worden verstrekt op het moment dat zijn instemming wordt gevraagd voor gegevensverwerking. Ook adviseert de CSR om geen
‘room scan’uit te voeren, en om een alternatief beschikbaar te stellen indien een student niet met proctoring kan of wil werken, zonder dat dit tot studievertraging leidt.
‘room scan’uit te voeren, en om een alternatief beschikbaar te stellen indien een student niet met proctoring kan of wil werken, zonder dat dit tot studievertraging leidt.
2.9.
In een interne memo van de UvA van 1 mei 2020 staat onder meer het volgende.
(…)
Privacy en Security
Privacy en Security
Eis: De gegevens van studenten moet veilig verwerkt worden, in overeenstemming met AVG regels en richtlijnen.
De waarborging van verwerking van de data van studenten volgens de AVG is gecontroleerd aan de hand van het standaardproces dat wordt gevolgd bij de inzet van nieuwe ICT systemen. Er is een Informatie Beveiliging & Privacy rapport en DPIA (uitgebreide risicoanalyse) gemaakt. Er is een Privacy Statement geformuleerd en momenteel wordt de laatste hand aan de verwerkersovereenkomst gelegd. Het lijkt erop dat navolging van de AVG-regels voldoende wordt gewaarborgd door Proctorio, en voldoende kan worden gewaarborgd door de UvA, aangenomen dat de adviezen in deze rapporten worden opgevolgd wat betreft beperken van de toegang, verwijderen van gedownloade data bij beroepsprocedures etc. (…)
Bijlage 4: CISO Advies inzet Proctorio (…)
Voor nu is de CISO van mening dat gezien de grote belangen voor het kunnen tentamineren en de verwachting dat Proctorio half mei een duidelijk handelingsperspectief heeft om de huidige risico’s te mitigeren, voorlopig positief advies te geven voor het gebruik van Proctorio. (…)
2.10.
Op 11 mei 2020 heeft het CvB een formeel besluit genomen om online proctoring met Proctorio in te zetten als toetsmogelijkheid, gedurende de Covid-19 crisis, bij tentamens waar geen passend alternatief voor proctoring kan worden gevonden. In het besluit is opgenomen dat voor de inzet van online proctoring in andere situaties, die niet vallen onder de Covid-19 maatregelen nieuwe besluitvorming is vereist.
2.11.
Bij brief van 18 mei 2020 heeft het CvB gereageerd op het ongevraagd advies van de CSR (2.8). In die brief staat onder meer het volgende.
(…) First of all, we understand very well that you are concerned about the privacy of students when using online proctoring. The Executive Board shares this concern and has therefore paid a lot of attention to privacy issues. The UvA sees online proctoring as a tool that should only be used if there is no good alternative.
Before making a decision on proctoring, the UvA focused on privacy issues in particular. For example, it has been established that the data will only be accessible to authorized UvA staff. The images are encrypted and are stored on servers located in the EU. After thirty days everything is automatically deleted. It has also been established that the images will never be used for anything other than detecting possible fraud. The solution meets GDPR requirements and the Data Protection Officer has given a positive advice. (…)
2.12.
Bij brief van 29 mei 2020 heeft ook de FSR zijn bezwaren tegen online proctoring kenbaar gemaakt aan het CvB.
2.13.
In de Wet op het Hoger Onderwijs en Wetenschappelijk onderzoek (WHW) staat onder meer het volgende.
(…)
Artikel 7.13 Onderwijs- en examenregeling
Artikel 7.13 Onderwijs- en examenregeling
1. Het instellingsbestuur stelt voor elke door de instelling aangeboden opleiding of groep van opleidingen een onderwijs- en examenregeling vast. (…)
2. In de onderwijs- en examenregeling worden (…) de geldende procedures en rechten en plichten vastgelegd met betrekking tot het onderwijs en de examens. Daaronder worden ten minste begrepen: (…)
l. of de tentamens mondeling, schriftelijk of op andere wijze worden afgelegd. (…)
2.14.
In de onderwijs- en examenregeling (OER) van de FEB staat onder meer het volgende.
(…)
Artikel 4.2 Vorm van tentaminering(…)
Artikel 4.2 Vorm van tentaminering(…)
6. De gang van zaken bij toetsing en de richtlijnen en aanwijzingen om de uitslag van tentamens en examens te beoordelen en vast te stellen, staan beschreven in de ‘Regels en Richtlijnen van de examencommissie’ ex artikel 7.12b van de WHW.
(…)
Bijlage I: Regels en richtlijnen examencommissie 2019-2020
De Regels en Richtlijnen van de examencommissie maken geen onderdeel uit van de Onderwijs- en Examenregeling maar zijn aanvullend. De inhoud van deze Regels en Richtlijnen behoort volgens de wet (art. 7.12b lid 3 WHW) tot de exclusieve bevoegdheid van de examencommissie. Op deze bepalingen hebben de Facultaire Studentenraad (FSR), Opleidingscommissies (OC) en de Ondernemingsraad (OR) geen advies- of instemmingsrecht. (…)
Artikel 4.5 – Digitale toetsen
Indien een tentamen digitaal wordt afgenomen is een zodanig alternatieve voorziening voorhanden dat in het geval van een (technische) storing het betreffende tentamen alsnog diezelfde dag kan worden afgenomen. (…)
Artikel 4.7 – Orde tijdens tentamens
1. De examinator dient er voor te zorgen dat er bij een schriftelijke tentaminering voldoende surveillanten worden aangewezen, die erop toezien dat het tentamen in goede orde verloopt. Studenten dienen gedurende het gehele tentamen onder toezicht van een surveillant te staan. (…)
3.Het geschil
3.1.
Eisers vorderen – samengevat – bij vonnis uitvoerbaar bij voorraad:
de UvA per direct te verbieden nog langer tentamens af te nemen waarbij gebruik wordt gemaakt van Proctorio zolang de vereiste instemming van de CSR en/of FSR ontbreekt en de rechtmatigheid van de gegevensverwerking niet is komen vast te staan;
de UvA te verbieden om de middels Proctorio verkregen persoonsgegevens te gebruiken;
de UvA te gebieden om uiterlijk 2 dagen na dit vonnis:
a. gedurende de periode als bedoeld onder 1 de sleutels waarmee zij toegang heeft tot de middels Proctorio verkregen persoonsgegevens van studenten ter bewaring over te dragen aan een notaris;
b. Proctorio te verplichten de in diens bezit zijnde persoonsgegevens middels gebruik van hun programma door de UvA blijvend te vernietigen;
op straffe van een dwangsom van € 20.000,- per dag en met veroordeling van de UvA in de proceskosten.
3.2.
De UvA voert verweer.
3.3.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4.De beoordeling
Ontvankelijkheid
4.1.
Eisers hebben aan hun vorderingen ten grondslag gelegd dat de UvA onrechtmatig handelt door gebruik te maken van online proctoring bij het afnemen van tentamens, omdat de UvA de medezeggenschapsregels niet in acht heeft genomen en niet is voldaan aan de privacywetgeving zodat sprake is van een onrechtmatige inbreuk op de privacy van studenten. [eiser sub 3] vordert voorts een verbod op het gebruik van Proctorio bij zijn volgende tentamen op 12 juni 2020 op de grond dat hij geen toestemming verleent voor het gebruik van zijn persoonsgegevens, en hij vordert een verbod op het gebruik van zijn persoonsgegevens die reeds door middel van Proctorio in handen van de UvA zijn gekomen.
4.2.
De UvA voert aan dat eisers niet kunnen worden ontvangen in hun vorderingen. Voor de CSR en FSR geldt dat zij met hun bezwaren over het niet vragen van instemming terecht kunnen bij de Geschillencommissie medezeggenschap hoger onderwijs en in beroep bij de Ondernemingskamer van het gerechtshof Amsterdam, waarbij de Geschillencommissie ook een spoedprocedure kent. [eiser sub 3] kan bezwaar maken tegen de verwerking van zijn persoonsgegevens en tegen een afwijzing daarvan opkomen bij de bestuursrechter. Ook kan [eiser sub 3] de examencommissie verzoeken om een alternatieve methode van surveillance en tegen een afwijzing van dat verzoek staat beroep open. Gelet op de mogelijkheden die een individuele student heeft, kunnen de CSR en FSR niet dezelfde vraag aan de civiele rechter voorleggen, aldus steeds de UvA.
4.3.
Bij de beoordeling van de ontvankelijkheid is het volgende van belang. De vorderingen van de CSR en FSR zijn gebaseerd op de stelling dat de UvA een besluit heeft genomen zonder daarbij de regels van medezeggenschap in acht te nemen. De UvA voert aan dat zij daarvoor bij de Geschillencommissie hoger onderwijs terecht kunnen en in beroep bij de Ondernemingskamer van het hof Amsterdam. De voorzieningenrechter fungeert als restrechter in alle zaken met een spoedeisend karakter. De aanwijzing van een andere bevoegde rechter of van een speciale rechtsgang maakt de voorzieningenrechter in beginsel niet onbevoegd. Slechts wanneer de andere aangewezen rechter of rechtsgang voldoende rechtsbescherming biedt, zal de voorzieningenrechter de eiser niet-ontvankelijk verklaren. Hiertoe is vereist dat in spoedeisende gevallen een met voldoende waarborgen omklede rechtsgang openstaat waarin de eiser een met het kort geding vergelijkbaar resultaat kan bereiken (HR 16 maart 1990, NJ 1990, 500). Artikel 13 van het Reglement Landelijke Commissie voor Geschillen medezeggenschap Hoger Onderwijs (de zogenaamde Versnelde procedure) kan echter niet worden gezien als een met voldoende waarborgen omklede rechtsgang. In de eerste plaats geeft de klachtencommissie geen bindende uitspraak, maar een advies. In de tweede plaats ziet het advies slechts op de vraag of instemming is vereist voor het nemen van het besluit. Een verbod op het afnemen van tentamens met gebruik van online proctoring kan dus niet langs deze weg worden verkregen. Om die reden is de voorzieningenrechter bevoegd en zijn de CSR en FSR ontvankelijk in hun vorderingen.
4.4.
[eiser sub 3] kan volgens de UvA evenmin worden ontvangen in zijn vorderingen. Voor hem staat de weg van het AVG-bezwaar (Algemene Verordening Gegevensbescherming) open tegen verwerkingen van zijn persoonsgegevens die verband houden met toepassing van de surveillancesoftware, dat wil zeggen bezwaar op grond van artikel 21 AVG. Het CvB van de UvA beslist op dat bezwaar en tegen die beslissing staat bestuursrechtelijk beroep open.
Hoewel dit in beginsel juist is, heeft [eiser sub 3] op 12 juni 2020 zijn volgende tentamen, en is niet aannemelijk dat voor die tijd een beslissing van de bestuursrechter kan zijn verkregen. Daarvoor is immers eerst een beslissing van het CvB vereist, die ten tijde van de mondelinge behandeling nog niet was gegeven (of gevraagd). Ook voor [eiser sub 3] geldt dus dat geen andere met voldoende waarborgen omklede rechtsgang open staat, waarmee een met het kort geding vergelijkbaar resultaat kan worden bereikt, namelijk een verbod op tentaminering door middel van Proctorio als ordemaatregel. Om die reden is de voorzieningenrechter als restrechter bevoegd en kan ook [eiser sub 3] worden ontvangen in zijn vorderingen.
Instemmingsplichtig besluit
4.5.
Eisers hebben gesteld dat het besluit om tentamens af te nemen door middel van Proctorio een wijziging van de OER is, waarvoor instemming is vereist van de CSR/FSR. Deze vorm van tentaminering moet worden gezien als het afnemen van tentamens ‘op andere wijze’ in de zin van artikel 7.13 lid 2 sub l van de WHW. Nu die instemming niet is gevraagd is het besluit van het CvB van 11 mei 2020 niet rechtsgeldig, aldus steeds eisers.
4.6.
In artikel 7.13 van de WHW is bepaald dat in de OER de geldende procedures en rechten en plichten worden vastgelegd met betrekking tot het onderwijs en de examens, waaronder ten minste begrepen of de tentamens mondeling, schriftelijk of op andere wijze worden afgelegd. De vorm van tentaminering is geregeld in artikel 4.2 van de OER. Lid 6 van dat artikel bepaalt dat de gang van zaken bij toetsing staat beschreven in de Regels en Richtlijnen van de examencommissie. In de Regels en Richtlijnen van de examencommissie is digitaal toetsen geregeld en is een artikel opgenomen over de wijze van surveillance. Digitale toetsen vinden blijkens mededeling ter zitting al geruime tijd plaats (dus pre Covid-19). Die toetsen worden dan afgenomen in een door de UvA beschikbaar gestelde zaal, waarbij surveillanten rondlopen. Voor het middels een computer toetsen is - anders dan door eisers gesteld - dus geen wijziging van de OER nodig. In de aanhef van genoemde Regels en Richtlijnen is verder expliciet bepaald dat de inhoud daarvan volgens de wet (art. 7.12b lid 3 WHW) tot de exclusieve bevoegdheid van de examencommissie behoort, en dat de verschillende medezeggenschapsorganen geen advies- of instemmingrecht hebben op deze bepalingen. Omdat expliciet is bepaald dat op de regels over surveilleren geen instemmingsrecht bestaat wordt voorshands aangenomen dat dat instemmingsrecht er ook niet is in geval van
onlinesurveillance. Dat de UvA ervoor heeft gekozen bij haar beslissing wel de studentenraden te betrekken getuigt van zorgvuldig handelen, maar maakt niet dat zij daardoor gehouden zou zijn hun instemming te vragen. Vooralsnog leidt deze stelling er dus niet toe dat het besluit niet rechtmatig is genomen.
onlinesurveillance. Dat de UvA ervoor heeft gekozen bij haar beslissing wel de studentenraden te betrekken getuigt van zorgvuldig handelen, maar maakt niet dat zij daardoor gehouden zou zijn hun instemming te vragen. Vooralsnog leidt deze stelling er dus niet toe dat het besluit niet rechtmatig is genomen.
Privacywetgeving
4.7.
Eisers hebben gesteld dat de UvA met het gebruik van proctoring inbreuk maakt op de privacy van studenten en daarmee in strijd handelt met de AVG. Er is geen wettelijke grondslag voor de gegevensverwerking en de UvA kan zich als overheidsorgaan niet beroepen op de uitzondering genoemd in artikel 6 lid 1 sub f AVG. Verder is niet voldaan aan de vereiste doelbinding; de gegevensverwerking gaat verder dan strikt noodzakelijk voor het doel waarvoor de gegevens worden verwerkt, namelijk het tegengaan van fraude. Zo wordt door Proctorio gebruik gemaakt van een
room scan, eye tracking, sound recordingen data-analyse. In Proctorio heeft de UvA de mogelijkheid om verschillende opties ‘aan- en uit te zetten’, maar zij gebruikt alle functies, terwijl dat niet strikt noodzakelijk is. Er zijn bovendien alternatieven beschikbaar, die minder invasief zijn, zoals Zoom live proctoring en Proctor Exam. Ook hebben eisers gesteld dat de noodzaak voor proctoring ontbreekt omdat vanaf 15 juni 2020 weer op de universiteit getentamineerd kan worden. Verder stellen eisers dat de belangenafweging die de UvA op grond van de AVG had moeten maken, niet is terug te vinden in de documenten die aan het besluit van 11 mei 2020 ten grondslag liggen. De veiligheid van de verwerking van persoonsgegevens is in het geding. Pas in juli 2020 is er een audit; tot die tijd is de gebruikte methode niet veilig. Ook is de toegang via de webbrowser tot de server onveilig. Bovendien is er geen verwerkingsovereenkomst, zodat niet duidelijk is dat de gegevens binnen de EU blijven en de verwerker aan Europese regelgeving is gebonden. Proctorio is een Amerikaans bedrijf, en de helpdesk is gevestigd in Servië. De UvA heeft bovendien bepaalde delen van het CISO (Chief Information Security Officer)-advies weggelakt, zodat de beoordeling van de risico’s niet duidelijk is. Ook verwerkt de UvA in strijd met het verbod van artikel 9 AVG bijzondere persoonsgegevens zoals
eyetracking, ademhaling, hoesten en niezen. Om al deze redenen dient het gebruik van Proctorio te worden gestaakt, aldus steeds eisers.
room scan, eye tracking, sound recordingen data-analyse. In Proctorio heeft de UvA de mogelijkheid om verschillende opties ‘aan- en uit te zetten’, maar zij gebruikt alle functies, terwijl dat niet strikt noodzakelijk is. Er zijn bovendien alternatieven beschikbaar, die minder invasief zijn, zoals Zoom live proctoring en Proctor Exam. Ook hebben eisers gesteld dat de noodzaak voor proctoring ontbreekt omdat vanaf 15 juni 2020 weer op de universiteit getentamineerd kan worden. Verder stellen eisers dat de belangenafweging die de UvA op grond van de AVG had moeten maken, niet is terug te vinden in de documenten die aan het besluit van 11 mei 2020 ten grondslag liggen. De veiligheid van de verwerking van persoonsgegevens is in het geding. Pas in juli 2020 is er een audit; tot die tijd is de gebruikte methode niet veilig. Ook is de toegang via de webbrowser tot de server onveilig. Bovendien is er geen verwerkingsovereenkomst, zodat niet duidelijk is dat de gegevens binnen de EU blijven en de verwerker aan Europese regelgeving is gebonden. Proctorio is een Amerikaans bedrijf, en de helpdesk is gevestigd in Servië. De UvA heeft bovendien bepaalde delen van het CISO (Chief Information Security Officer)-advies weggelakt, zodat de beoordeling van de risico’s niet duidelijk is. Ook verwerkt de UvA in strijd met het verbod van artikel 9 AVG bijzondere persoonsgegevens zoals
eyetracking, ademhaling, hoesten en niezen. Om al deze redenen dient het gebruik van Proctorio te worden gestaakt, aldus steeds eisers.
4.8.
De UvA heeft aangevoerd dat zij niet in strijd met het privacyrecht, in het bijzonder de AVG, handelt. Vanwege de overheidsmaatregelen in verband met Covid-19 is het niet mogelijk op de campus te tentamineren. De UvA heeft daarom in zeer korte tijd, maar wel na zorgvuldige afweging en advies van verschillende gegevensbeschermingsdeskundigen, de mogelijkheid van tentaminering op afstand door middel van online proctoring geïntroduceerd. Daarbij neemt zij als uitgangspunt dat alléén van proctoring gebruik wordt gemaakt als geen andere toetsvormen mogelijk zijn, zoals dat het geval is bij bachelor-tentamens voor grote groepen (meer dan 150 studenten) die gericht zijn op kennisreproductie, en bij herkansingen (vanwege fraudegevoeligheid). Bovendien biedt online proctoring een oplossing voor internationale studenten, die vanwege de Covid-19 crisis naar hun thuisland zijn vertrokken en niet naar de campus kunnen komen voor het maken van tentamens. De UvA heeft haar best gedaan om de inbreuk zo beperkt mogelijk te houden. Voorop staat dat de gegevens alleen worden verwerkt om effectief frauduleus gedrag vast te stellen. Met de verwerker (Proctorio) is een verwerkingsovereenkomst gesloten, waarin deze zich onderwerpt aan de Europese privacywetgeving. De gegevens worden opgeslagen op een server in München (Duitsland) en er zullen dus geen gegevens buiten de Europese Unie worden verwerkt of opgeslagen. Bij gebruik van de helpdesk (die in Servië is gevestigd) worden geen gegevens gedeeld, tenzij de student daar toestemming voor geeft. De gegevens worden na 30 dagen automatisch gewist. De student wordt niet live gevolgd tijdens het tentamen, maar er vindt een geautomatiseerde controle plaats. Slechts indien het systeem melding maakt van een onregelmatigheid worden de opnames door een surveillant bekeken. Ook zal de surveillant tijdens het tentamen een steekproefsgewijze controle uitvoeren van de camerabeelden van ongeveer 15% van de deelnemende studenten. Het systeem bepaalt niet of in een voorkomend geval sprake is van fraude, dat oordeel is voorbehouden aan de examencommissie.
In de Student Manual Proctored Exams worden studenten uitgebreid geïnformeerd, er wordt een proeftoets beschikbaar gesteld en er worden tips gegeven hoe studenten kunnen voorkomen dat ongewenst gegevens zichtbaar worden (in de ruimte of op de computer). Aldus steeds de UvA.
4.9.
Bij de beoordeling geldt het volgende. Als de UvA gebruik maakt van online proctoring is zij verantwoordelijk voor de verwerking van persoonsgegevens. Volgens de AVG is de verwerking van persoonsgegevens slechts rechtmatig indien aan tenminste een van de voorwaarden van artikel 6 lid 1 is voldaan. De UvA heeft zich in eerste instantie beroepen op artikel 6 lid 1 sub f AVG, maar heeft ter zitting gesteld dat hoe dan ook sprake is van een situatie als bedoeld in artikel 6 lid 1 AVG, nu vast staat dat de UvA gegevens mag verwerken in het kader van examens, op grond van het bepaalde sub e of sub f. Niet in geschil is dat de UvA een overheidsinstantie is, zodat zij zich, gezien de tekst van de AVG niet kan beroepen op de f-grond van artikel 6 lid 1 AVG.
De achtergrond daarvan is dat een overheidsinstantie niet een nieuwe publieke taak mag creëren op grond van ‘gerechtvaardigde belangen’, omdat die taak wettelijk geregeld moet zijn. Artikel 6 lid 1 sub e AVG geeft een grondslag indien de verwerking noodzakelijk is voor de vervulling van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Daarvan is sprake wanneer overheidsinstanties hun bij wet geregelde taak uitvoeren (een zogenoemde publieke taak). Het is hiervoor niet noodzakelijk dat de publieke taak of de gegevensverwerking uitputtend is geregeld in een wet in formele zin, voldoende is dat de hoofdlijnen kenbaar zijn in de wet.
In dit geval is de publieke taak van de UvA geregeld in, dan wel te herleiden naar een wettelijke taak, namelijk haar taak om onderwijs te verzorgen, examens af te nemen en diploma’s te verstrekken, waarbij de kwaliteit van dat onderwijs en van de te verstrekken diploma’s is gewaarborgd. Deze taak is uitgewerkt in de WHW, en de bevoegdheid om gegevens te verwerken in het kader van examens is nader uitgewerkt in de OER en in de Regels en richtlijnen van de examencommissie. Het gebruik van online proctoring moet dan wel noodzakelijk zijn, zoals in sub e omschreven. Het door de UvA in haar besluiten genoemde gerechtvaardigde belang ziet de voorzieningenrechter dan ook in deze sleutel.
Noodzaak
4.10.
Als gevolg van de Covid-19 crisis en de door de overheid genomen maatregelen ter voorkoming van besmetting is het voor de UvA niet mogelijk (geweest) om op de campus tentamens af te nemen. Om te voorkomen dat studenten studievertraging oplopen is zij op zoek gegaan naar een alternatief. In veel gevallen is dat alternatief gevonden in de vorm van open boek-tentamens, essays of andere inleveropdrachten. Voor een aantal gevallen, zoals multiple choice bachelor-tentamens, die zijn gericht op kennisreproductie en waaraan grote groepen studenten deelnemen, zijn die alternatieven niet geschikt. Ook na 15 juni 2020 blijft de maatregel dat het hoger onderwijs zoveel als mogelijk op afstand wordt gegeven van kracht, waarbij tentamens ook digitaal kunnen worden afgenomen. Ook dan zal het dus nog niet mogelijk zijn dit soort tentamens op de campus te laten plaatsvinden. Vanaf 15 juni 2020 zijn slechts beperkt onderwijsactiviteiten op locatie toegestaan, waaronder examens en tentamens, voor een beperkt aantal studenten en gedurende beperkte tijdstippen op de dag, en voor zover dit online niet afdoende kan. Ook hier geldt dat rekening gehouden moet worden met de algemene instructies van RIVM en GGD. (https://www.rijksoverheid.nl/onderwerpen/coronavirus-covid-19/ouders-scholieren-en-studenten-kinderopvang-en-onderwijs/hogescholen-en-universiteiten-hoger-onderwijs). De door eisers in de dagvaarding aangedragen alternatieven volstaan niet, omdat deze niet een voor kennisreproductie geschikte toetsmethode bieden, en naar het oordeel van de UvA evenmin in voldoende mate voorzien in waarborgen voor een goede, betrouwbare en eerlijke tentaminering. Dat oordeel van de UvA is voorshands begrijpelijk. In die zin is voldoende aannemelijk dat er op dit moment noodzaak bestaat om tentamens online af te nemen.
4.11.
Vaststaat dat op grond van de OER en de Regels en richtlijnen van de examencommissie studenten gedurende het gehele tentamen onder toezicht van een surveillant dienen te staan. De vraag is hoe dat vormgegeven kan worden als studenten thuis online tentamens maken en of het gebruik van online proctoring daarbij noodzakelijk is. Hoewel het om een kleine minderheid van de studenten zal gaan, is fraude bij tentamens van alle tijden. Niet voor niets is in de OER en de Regels en richtlijnen van de examencommissie uitgebreid geregeld wat wel en niet is toegestaan tijdens tentamens, op welke wijze gesurveilleerd wordt, hoe wordt vastgesteld dat sprake is van fraude en wat daar de gevolgen van zijn. Dat er maatregelen nodig zijn bij een tentamen dat studenten vanuit huis op hun eigen computer maken is dan ook evident. De kwaliteit van het onderwijs en de waarde van het diploma dienen immers gewaarborgd te worden.
Door eisers zijn alternatieven voorgesteld, waaronder het afleggen van een belofte voorafgaand aan tentamens. Dit laatste kan niet als serieus alternatief worden beschouwd. Studenten zijn op grond van de geldende examenreglementen reeds gehouden om niet te frauderen, maar desondanks komt fraude voor.
Uit door de UvA overgelegde stukken blijkt dat bijvoorbeeld antwoorden worden opgezocht in online leeromgevingen, antwoorden worden gedeeld in WhatsApp-groepen, en dat er studenten zijn die gezamenlijk in één ruimte tentamens maken of hun tentamen door een ander laten maken.
4.12.
Op grond van het vorenstaande is voorshands voldoende aannemelijk dat er bij online proctoring gedurende de periode dat als gevolg van de Covid-19 crisis geen tentamens op de campus kunnen plaatsvinden, sprake is van een noodzakelijke gegevensverwerking in de zin van artikel 6 lid 1 sub e AVG.
4.13.
Vervolgens dient te worden beoordeeld of de gegevensverwerking bij het gebruik van Proctorio voldoet aan de overige vereisten van de AVG, zoals de basisbeginselen genoemd in artikel 5 AVG. Zo dient de verwerking te voldoen aan de beginselen van rechtmatigheid, behoorlijkheid en juistheid, en aan het doelbindingsprincipe. Verder dient de verwerking op grond van artikel 5 lid 1 sub c toereikend, ter zake dienend en beperkt te zijn tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. Ook dient de opslag van gegevens beperkt te blijven en dient de beveiliging gewaarborgd te worden.
4.14.
In de eerste plaats is voldoende aannemelijk dat de UvA een verwerkingsovereenkomst heeft gesloten met de verwerker (Proctorio), krachtens welke de verwerker gebonden is aan de AVG. De UvA heeft deze niet overgelegd, maar gebleken is dat wel de mogelijkheid van inzage aan de CSR is verstrekt. Verder heeft de UvA een zorgvuldig onderzoek gedaan voorafgaand aan de implementatie van Proctorio. Zo is een risicoanalyse uitgevoerd met betrokkenheid van verschillende gegevensbeschermingsfunctionarissen/- organen, de DPIA. Deze analyse is geen eenmalige exercitie, maar een voortdurend proces, waarbij de risico’s op privacy inbreuk zoveel als mogelijk teruggebracht worden. Uit de DPIA en de bijlagen bij de interne memo van 1 mei 2020 blijkt dat de verschillende gegevensbeschermingsfunctionarissen (de FG en de CISO) voorlopig hun goedkeuring hebben gegeven aan de inzet van online proctoring met Proctorio. Verder hebben uitvoerige pilots plaatsgevonden, en zijn de studentenraden betrokken bij het onderzoek.
Niet voldoende is betwist dat de opslag van de versleutelde gegevens plaatsvindt in München (Duitsland), dus binnen de Europese Unie en dat voor zover gebruik wordt gemaakt van de in Servië gevestigde helpdesk, daarbij geen gegevens worden gedeeld tenzij de student daar toestemming voor geeft. Daarmee is voldaan aan artikel 46 lid 2 onderdeel c AVG.
4.15.
Dat bij online proctoring met Proctorio het beeldscherm van de student zichtbaar wordt en een webcam wordt ingezet die een student in zijn persoonlijke omgeving registreert en waarbij de student kan worden gevraagd zijn omgeving en zijn bureau te laten zien (dit lijkt voor eisers het grootste probleem te zijn) is gelet op het voorgaande onontkoombaar. Hoe is anders vast te stellen dat de student geen boeken, aantekeningen of telefoon op of bij zijn bureau heeft liggen, wat bij tentamens op de campus door de surveillant wordt nagegaan. Overigens geldt in de uitzonderlijke situatie door de huidige Covid-19 crisis voor een groot deel van de werknemers wereldwijd, die vanuit huis werken, dat zij noodgedwongen via videobellen hun persoonlijke omgeving met hun collega’s en werkgever delen. Ook de opslag van de gegevens is noodzakelijk, nu het systeem alleen dan de gegevens met elkaar kan combineren en surveillanten alleen dan de mogelijkheid hebben om zorgvuldig te bekijken of sprake is van fraude. Live monitoren van webcams en beeldschermen door middel van bijvoorbeeld Zoom, zoals door de studenten genoemd, is bij groepen van meer dan 150 studenten praktisch niet mogelijk, althans dat kan van de UvA niet worden verwacht, los van de vraag of er software is die dat mogelijk maakt. Voor een kleine groep zou een surveillant de webcams kunnen bekijken, maar andere schermen die een student heeft geopend kunnen daarmee niet worden gezien, en ook is niet zichtbaar wat de student op zijn of haar bureau heeft liggen. Voor grote (uit de aard) fraudegevoelige tentamens is Zoom dus niet geschikt. Bovendien zou kunnen worden gesteld dat live monitoren van alle studenten meer invasief is dan proctoring door middel van Proctorio, waarbij het grootste deel van de camerabeelden en beeldschermgegevens niet wordt bekeken.
4.16.
De verwerking door de UvA dient alleen ter authenticatie en om effectief frauduleus gedrag vast te stellen. Studenten worden niet live gevolgd tijdens het maken van tentamens, er wordt geen gebruik gemaakt van
eye trackingof het vastleggen van ademhaling, stresslevel of biometrische gegevens. Van de verwerking van bijzondere gegevens in de zin van artikel 9 AVG is dan ook geen sprake. Voor wat betreft de
roomscan heeft de UvA aangevoerd dat in feite sprake is van een
deskscan, nu de student wordt gevraagd om de omgeving in zijn kijkrichting te laten zien. Het grootste deel van de beelden wordt nooit bekeken. Na afronding van het tentamen kan de surveillant de studentenkaart zien, die de student voor het maken van het tentamen via de webcam heeft moeten laten zien, evenals een score die in percentages aangeeft in hoeverre de student afwijkend gedrag heeft vertoond, zoals veel wegkijken (wat kan duiden op spiekbrieven of appen met medestudenten) of veel omgevingsgeluid (wat kan duiden op gesprekken via de telefoon of met een aanwezige medestudent). Voorshands is niet gebleken dat er een andere of verdergaande data-analyse plaatsvindt van de gegevens. Slechts indien het systeem significant afwijkend gedrag registreert kan de surveillant de vastgelegde video-, geluid- en/of browseropnamen raadplegen. Daarnaast kan een surveillant achteraf een steekproef uitvoeren ten aanzien van de
desk scan. Daarbij wordt gebruik gemaakt van een URL, waarvan de levensduur is beperkt tot één uur en waarop moet worden ingelogd door middel van multifactorauthenticatie. De verwerker (Proctorio) heeft geen toegang tot de gegevens. Op die manier is de veiligheid zoveel mogelijk gewaarborgd. Verder vindt geen
eye trackingplaats, maar wordt slechts geregistreerd of een gezicht recht naar voren kijkt of niet recht naar voren.
eye trackingof het vastleggen van ademhaling, stresslevel of biometrische gegevens. Van de verwerking van bijzondere gegevens in de zin van artikel 9 AVG is dan ook geen sprake. Voor wat betreft de
roomscan heeft de UvA aangevoerd dat in feite sprake is van een
deskscan, nu de student wordt gevraagd om de omgeving in zijn kijkrichting te laten zien. Het grootste deel van de beelden wordt nooit bekeken. Na afronding van het tentamen kan de surveillant de studentenkaart zien, die de student voor het maken van het tentamen via de webcam heeft moeten laten zien, evenals een score die in percentages aangeeft in hoeverre de student afwijkend gedrag heeft vertoond, zoals veel wegkijken (wat kan duiden op spiekbrieven of appen met medestudenten) of veel omgevingsgeluid (wat kan duiden op gesprekken via de telefoon of met een aanwezige medestudent). Voorshands is niet gebleken dat er een andere of verdergaande data-analyse plaatsvindt van de gegevens. Slechts indien het systeem significant afwijkend gedrag registreert kan de surveillant de vastgelegde video-, geluid- en/of browseropnamen raadplegen. Daarnaast kan een surveillant achteraf een steekproef uitvoeren ten aanzien van de
desk scan. Daarbij wordt gebruik gemaakt van een URL, waarvan de levensduur is beperkt tot één uur en waarop moet worden ingelogd door middel van multifactorauthenticatie. De verwerker (Proctorio) heeft geen toegang tot de gegevens. Op die manier is de veiligheid zoveel mogelijk gewaarborgd. Verder vindt geen
eye trackingplaats, maar wordt slechts geregistreerd of een gezicht recht naar voren kijkt of niet recht naar voren.
De gegevens worden na 30 dagen automatisch verwijderd. Met deze bewaartermijn kan de surveillant binnen de nakijktermijn van doorgaans 15 dagen de gegevens bekijken als er vermoedens zijn van onregelmatigheden in het tentamen. Als sprake is van een vermoeden van fraude worden de gegevens van de betrokken student bewaard totdat eventuele juridische procedures zijn afgerond en maatregelen zijn genomen. Met deze maatregelen en onder deze omstandigheden is voldoende aannemelijk dat is voldaan aan de vereisten van artikel 5 AVG. Zeker gezien de korte tijd die de UvA heeft gehad om in de huidige uitzonderlijke situatie een oplossing te vinden voor de problemen als gevolg van de sluiting van de universiteiten heeft zij zorgvuldig gehandeld. Daarbij heeft de UvA tijdens de zitting ook naar voren gebracht dat voortdurend wordt geanalyseerd of een versoepeling van de coronamaatregelen moet leiden tot een andere afweging ten aanzien van de inzet van online proctoring.
4.17.
De conclusie is dat de gegevensverwerking door de UvA berust op de grondslag van artikel 6 lid 1 sub e van de AVG, en dat de verwerking voldoet aan de door de AVG gestelde zorgvuldigheidseisen. De handelwijze van de UvA is daarmee niet onrechtmatig. In het midden kan dan blijven of de studentenraden wel ontvankelijk zijn in hun vordering voorzover die ziet op de rechtmatigheid van de gegevensverwerking. Op grond van artikel 3:305a Burgerlijk Wetboek kan alleen een stichting of vereniging met volledige rechtsbevoegdheid een rechtsvordering instellen die strekt tot bescherming van gelijksoortige belangen van andere personen, voor zover zij deze belangen ingevolge haar statuten behartigt en deze belangen voldoende zijn gewaarborgd. De studentenraden zijn immers geen stichting of vereniging met volledige rechtsbevoegdheid.
4.18.
Op grond van het vorenstaande is voorshands niet gebleken dat de UvA bij het nemen van het besluit tot inzet van online proctoring in strijd heeft gehandeld met de medezeggenschapsrechten van (een van) de studentenraden, en ook niet dat de UvA handelt in strijd met het bepaalde in de AVG. Er is dan ook geen grond om bij wijze van ordemaatregel het gebruik van online proctoring met Proctorio door de UvA te verbieden. De vorderingen zullen dus worden afgewezen.
4.19.
Dat online proctoring met Proctorio voorshands rechtmatig wordt geoordeeld, betekent niet dat [eiser sub 3] verplicht is het tentamen op 12 juni 2020 te maken. Het is zijn eigen keuze om dat te doen. Zoals door de UvA naar voren is gebracht kan [eiser sub 3] de examencommissie verzoeken om een alternatieve methode van surveillance. Dat hij daarbij (mogelijk) studievertraging oploopt maakt dit niet anders.
4.20.
Eisers zullen als de in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van UvA worden begroot op:
- griffierecht € 656,00
- salaris advocaat
980,00
980,00
Totaal € 1.636,00
5.De beslissing
De voorzieningenrechter
5.1.
weigert de gevraagde voorzieningen,
5.2.
veroordeelt eisers in de proceskosten, aan de zijde van UvA tot op heden begroot op € 1.636,00,
5.3.
verklaart dit vonnis wat betreft de kostenveroordeling uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. H.C. Hoogeveen, voorzieningenrechter, bijgestaan door mr. L. Oostinga, griffier, en in het openbaar uitgesproken op 11 juni 2020. [1]