De Raad van Toezicht van de NTR stopt per direct de samenwerking met het bureau dat onderzoek doet naar de interne werkcultuur bij de omroep. Het onderzoek werd uitgevoerd door het CAOP, een kenniscentrum op het gebied van onder meer arbeidszaken en is nu stopgezet. Tijdens het onderzoek bleken er tot twee keer toe gebreken die raakten aan de privacy van de werknemers.
“De ontwikkelingen in juli hebben het vertrouwen in CAOP geen goed gedaan. Na de nieuwe fout van gisteren is dat vertrouwen weg”, schrijft de Raad van Toezicht van de NTR aan het personeel. “Wij zijn als RvT en opdrachtgever ook verantwoordelijk voor deze gang van zaken en dat ligt ons zwaar.” De Raad gaat nu bedenken in welke vorm het onderzoek een vervolg krijgt.
‘Menselijke fout’
Het onderzoek bij de NTR komt voort uit het rapport van de commissie Van Rijn die grensoverschrijdend gedrag bij de publieke omroep onderzocht, in opdracht van de NPO. Daarin werd onder meer de NTR genoemd als het ging om de werksfeer. Medewerkers gaven aan dat het ontbrak aan duidelijk personeelsbeleid en leiderschap. Daarop besloot de Raad van Toezicht van de NTR om een eigen onderzoek te laten uitvoeren door Stichting CAOP. Mediadirecteur Willemijn Francissen trad toen zelf terug om het onderzoek ruimte te geven.
Maar de uitvoering van het onderzoek verliep niet goed. De NTR heeft twee keer een enquête onder werknemers naar de sociale veiligheid op de werkvloer stil moeten leggen. De digitale beveiliging van de vragenlijst bleek niet op orde waardoor de beloofde anonimiteit niet kon worden gegarandeerd. NTR-medewerkers ontdekten dat het mogelijk was, ook voor leidinggevenden, om de antwoorden te bekijken van collega’s die de enquête deels hadden ingevuld. Ook kon een medewerker de enquête invullen voor een andere collega die nog niet had meegedaan. De NTR deed daarop melding van een datalek bij de Autoriteit Persoonsgegevens.
Het onderzoek werd stilgelegd en de beveiliging zou verbeterd worden. Opnieuw ging het mis. Werknemers hadden de nieuwe vragenlijst alleen moeten kunnen invullen na verificatie, met een unieke inlogcode. Maar deze week bleek dat medewerkers ook zonder die code de vragenlijst konden beantwoorden. Daarop werd het onderzoek opnieuw gestopt.
Het CAOP maakt gebruik van de software van Crowdtech. Het NPO-onderzoek van de commissie Van Rijn is eveneens door deze partijen uitgevoerd.
Het datalek kon volgens Stichting CAOP ontstaan door “een menselijke fout”. Er was een belangrijk vinkje niet aan gezet, aldus de stichting. “Hoewel fouten maken, menselijk is, is dit voor een onderzoeksbureau pijnlijk.”
Experts: onverantwoord
Nieuwsuur heeft de informatie van de melders van het datalek en Stichting CAOP voorgelegd aan enkele software-experts. Volgens Erik Poll, universitair hoofddocent digitale veiligheid aan de Radboud universiteit, is er sprake van een fout in de software van Crowdtech. “Het zou nooit mogelijk moeten zijn om bij enquêtes van andere deelnemers te komen, welke opties je nou wel of niet aanvinkt.”
Het aan een klant, in dit geval CAOP, overlaten om een vinkje goed te zetten is onverantwoord, meent Herbert Bos, hoogleraar beveiliging van computersystemen aan de Vrije Universiteit. “Je zegt bij een auto ook niet: je moet deze knoppen indrukken voordat je de weg opgaat, want anders doen de remmen het niet. Er is geen scenario waarbij je zonder remmen de weg op wil.”
Volgens Marco Spruit, hoogleraar geavanceerde datawetenschap aan de Universiteit Leiden, is het “zeer waarschijnlijk” dat ook andere soortgelijke onderzoeken gedaan met software van Crowdtech deze veiligheidsrisico’s kennen. “Dat iemand de URL kan veranderen, dat wil je niet en is technisch onnodig. Ik ben er vrijwel zeker van dat deze bug ook bij het onderzoek van Van Rijn aanwezig was. Het is alleen nu pas aan het licht gekomen.”
‘Geen meldingen over NPO-onderzoek’
Crowdtech wil niet inhoudelijk op de kritiek reageren, maar verwijst naar CAOP. CAOP wil niet ingaan op technische vragen over de software Crowdtech. De stichting stelt dat Crowdtech gecertificeerd is, maar wil geen toelichting geven op specifieke vragen over de onderliggende onderzoeksmethodiek.
Volgens CAOP-woordvoerder Patricia de Broekert staat het datalek van de NTR op zich. “Eerst was er sprake van een menselijke fout en de tweede keer van ongelukkige communicatie. Het heeft niks te maken met de veiligheid van het softwareprogramma.” Beveiligingsbedrijf Fox-IT heeft de vragenlijst en de software na het eerste NTR-onderzoek bekeken en het veilig bevonden, stelt ze. De zaak van de NTR heeft dan ook “niets van doen met de veiligheid van het onderzoek van Van Rijn of andere onderzoeken”.
De NPO laat weten op dit moment geen aanwijzingen of meldingen ontvangen te hebben van (oud-)medewerkers of van het CAOP dat dit destijds ook speelde. “Wij zullen bij CAOP navraag doen of dit ook tijdens dit onderzoek het geval was.”