I disse dage midt i sommerens eksamen-storm installerer elever fra Aalborg- og Syddansk Universitet overvågningsprogrammet Exam Monitor hver gang, de tager en skriftlig eksamen.
Det obligatoriske program holder øje med snyd, men nogle studerende er bange for, at overvågningen krænker deres privacy.
»Det her krydser grænserne, krænker mine personlige rettigheder og er uacceptabelt!« skrev en elev fra Aalborg Universitet på Reddit og fortsatte:
»Dette kan vel ikke være lovligt: At blackmaile studerende til at installere Spyware.«
Lovlighed afhænger af programmet
Exam Monitor tager screenshots, logger hvilke processer, der har kørt på computeren, ser i udklipsholderen, tjekker, om den er i et virtuelt miljø, og samler data om netværksadresser. Elever må ikke deltage i eksamen, hvis ikke de bruger programmet.
It-advokat Martin Von Haller, partner hos Bird & Bird, mener ikke, at proceduren strider mod loven.
»Universitet kan godt stille krav til redskaber. Hvis programmet ene og alene har de funktioner, som universitetet har angivet, og er inaktivt før og efter eksamen, så kan jeg ikke se, at der skulle være noget ulovligt i det,« siger han og pointerer, at det i sidste ende kommer an på, om programmet overvåger mere, end der er nødvendigt eller ej.
»I lyset af, at mange offentlige virksomheder ikke har et overblik over software, kan der være en risiko for, at studerende tager forkert medicin,« uddyber Martin Von Haller.
SDU: Overvåger kun det vi må
SDU har udviklet Exam Monitor, som de i dag også drifter.
»Vi ønsker ikke, at overvåge mere end højst nødvendigt. Vi logger det, vi vurderer, er nødvendigt at logge,« siger it-chef på SDU, Kurt Gammelgaard Nielsen.
Ved eksamensstart downloader eleven programmet, som kører på Java Webstarter, og når eksamen slutter, stopper og sletter programmet sig selv på computeren. Java giver mulighed for at se browserhistorik og se ned i mapper. Men den mulighed bruger Exam Monitor ikke:
»Hvis eksamen er fra 10:00 til 14:00, vil vi have hele web-historikken i tidsrummet, men vi kigger ikke på, hvad studerende gør før eller efterfølgende. Vi kigger heller ikke ned i mapper på den studerendes computer,« understreger Kurt Gammelgaard Nielsen og tilføjer, at studerende også via Exam Monitors hjemmeside kan gå ind og se deres egne logs.

Data opbevares i fem år
Et lovmæssigt springpunkt er som sagt, om der kun samles det nødvendige data. Et andet er ifølge Martin Von Haller, at data slettes ’i det øjeblik det ikke længere har et formål at opbevare det’.
SDU vedtog mandag, at forlænge opbevaring af studerendes data fra seks måneder til fem år. Aalborg Universitet, som er den anden store bruger af Exam Monitor, opbevarer stadig kun deres data i 6 måneder efter eksamen.
Årsagen, til at SDU holder på data fem år frem, er ifølge Kurt Gammelgaard Nielsen, at man i nogle aktuelle sager gerne ville se på logs, der lå længere tilbage i tiden end de seks måneder.
Christian Panton: Det ligger til den forkerte side
Er det virkelig nødvendigt at samle og opbevare så meget data i så lang tid?
Det spørgsmål stiller internetaktivist og datalog Christian Panton sig selv. Han mener, at det i Exam Monitors tilfælde ’ligger til den forkerte side’, ligesom det virker ’inversivt og unødvendigt’ at opbevare data i fem år.
»De indsamler vildt meget data og bør se på, i hvilken grad det er nødvendigt for at kunne sikre eksamen,« siger han til Version2, og tilføjer at screenshots i sig selv alligevel burde vise, alt hvad der foregår på elevens computer.
Ifølge Kurt Gammelgaard Nielsen kan udklipsholderen indeholde snyd, der ikke kan fanges med screenshots. De to ting er dog heller ikke nok i sig selv, og der er brug for den yderligere data Exam Monitor samler, ifølge Kurt Gammelgaard.
»Vi har vurderet, at screenshots og indblik i udklipsholder ikke er nok på baggrund af nogle sager haft, og det vi ved, studerende kan,« siger han.
Store mængder data udgør en risiko
Om data kan reduceres eller ej, ser Christian Panton to risici forbundet med at opbevare og behandle det.
Først er der privatlivs aspektet i forhold til om de, der tjekker for eksamenssnyd, ikke misbruger oplysninger. For det andet er der risikoen for, at serveren bliver kompromitteret, og personfølsom data ender i hænderne på en hacker.
Her vil screenshots blandt andet kunne indeholde private billeder og hackeren vil kunne se, hvilke programmer, der er installeret på computeren.
»Det er altid interessant for dem med onde hensigter, da et gammelt program har sårbarheder,« uddyber Christian Panton.
Derfor foreslår han at overføre og gemme data krypteret samt have en offline nøgle, som kan bruges til at dekryptere et eksamenssæt ad gangen uden for systemet.
»Så ville det ikke eskalere, hvis den server blev hacket,« uddyber Christian Panton.
Sådan beskytter SDU sine data
På SDU er overførsler mellem server og computer krypteret. For at beskytte data, når det ligger ukrypteret på serveren, er serveren placeret i et rum med overvågning, netværkssikkerhed og logning af, hvem der går ind i rummet hvornår.
Ifølge Kurt Gammelgaard Nielsen er der en til to personener per fakultet som tjekker prøver. De får adgang med et login men kun til deres eget fakultets prøver, da der er funktionsadskillelser i systemet, som også sikrer det yderligere.
Christian Panton er dog ’lidt bekymret for, at det løber løbsk’ og ser helst, at man finder et alternativ.
»Jeg synes ikke, at det er den rette vej gå. Der er en tendens til at fikse ting med overvågning,« siger han.