Software kan gevoelige gegevens duizenden studenten niet wissen
De problemen met onder meer het bewaren van persoonsgegevens worden beschreven door de Functionaris Gegevensbescherming van de Rijksuniversiteit Groningen in een jaarverslag. Een heet hangijzer daarbij is het feit dat de gegevens langer worden bewaard dan nodig, maar ook dat er verkeerd mee wordt omgegaan.
De boosdoeners blijken het veelgebruikte cloudgebaseerde Brightspace dat als online leeromgeving voor studenten dient, het ERP-softwarepakket van AFAS en de applicatie Progress.NET, een informatiesysteem dat inschrijvingen regelt en resultaten en intekeningen voor vakken verwerkt.
Pakhuis zonder inventarisatielijst
De bovengenoemde softwarepakketten worden momenteel door tal van grote (onderwijs)organisaties in Nederland gebruikt. In het verslag van de FG valt te lezen dat het gaat om ‘stapelapplicaties’ waarin gegevens worden opgeslagen, maar ze worden daarna niet geordend, geschikt gemaakt voor archivering of vernietigd.
De werkwijze wordt in het verslag door de Functionaris Gegevensbescherming van RUG vergeleken met ‘een pakhuis zonder inventarisatielijst’: de data worden langer bewaard dan nodig en is verspreid over tal van gegevensdragers. Er zijn daarnaast geen mogelijkheden om archiefplichtige documenten te ontsluiten, terwijl dat wel verplicht is volgens de Archiefwet.
Gevoelige gegevens
De beperkingen van de software leiden tot diverse zorgen. ICT-jurist Mathieu Paapst, lid van de Universiteitsraad van Groningen, geeft in een reactie aan verontrust te zijn over de situatie, omdat er dossiers met gevoelige gegevens worden bijgehouden in de systemen, waaronder bijvoorbeeld studenten die psychische klachten hebben gehad waardoor ze studievertraging opliepen. Gegevens uit de applicaties verwijderen kan alleen door de gehele database te vernietigen, zo stelt hij.
“Ik begrijp niet dat de RUG twee, drie jaar na invoering AVG, deze systemen nog heeft aangeschaft.” De werking van de systemen is volgens Paapst niet alleen in strijd met de verplichte uitvoering van dataminimalisatie. Ook kunnen studenten die een verzoek indienen bij de universiteit om hun informatie te laten verwijderen, nu niet goed geholpen worden. Paapst uitte zijn frustraties hierover eerder op Twitter.
Veelgebruikte software
De aanbesteding van de AFAS Software werd in 2019 aangekondigd met een ronkend persbericht, waarin werd gemeld dat AFAS Software zijn entree maakt in de universitaire wereld. De RUG was daarmee de eerste universiteit die overstapte op het ERP-pakket van AFAS. Zo’n zevenduizend mensen in Groningen werken met de software. Deze wordt in diverse sectoren al langer gebruikt
In 2021 werd de samenwerking met het online leerplatform Brightspace in het leven geroepen, die midden in de coronacrisis tot stand kwam. De Canadese leverancier D2L werd door de RUG geselecteerd vanwege zijn functionaliteit en gebruiksvriendelijkheid, na een test met 90 eindgebruikers. D2L kon tijdens de coronapandemie razendsnel groeien, vele andere organisaties uit de onderwijswereld sloten een vergelijkbare overeenkomst met de Canadezen. Het wordt ook gebruikt bij Radboud Universiteit Nijmegen, Universiteit Leiden, Open Universiteit en diverse hogescholen.
Studenten te volgen voor docenten
Bij Brightspace spelen behalve niet uitwisbare data meer problemen. Zo is het niet alleen onmogelijk om studentgegevens te verwijderen, de studenten worden volgens het jaarverslag ook niet goed geïnformeerd over de verwerking van hun gegevens. Docenten kunnen per individuele student inzien welke documenten geopend zijn en hoe laat zij voor het laatst in de leeromgeving hebben ingelogd. De meeste studenten hebben daar geen weet van en moeten duidelijker geïnformeerd worden. Zo gebeurde het dat een student door een docent werd aangesproken omdat hij volgens Brightspace een document niet gelezen zou hebben.
Het geschetste voorval leidde tot extra controle op de processen die door Brightspace heen lopen. De RUG voert momenteel een audit uit die meer duidelijkheid moet gaan geven over de werking van Brightspace, maar vanwege een 'moeizame samenwerking met de betrokken diensten' duurt de uitkomst daarvan langer dan verwacht.
Geen commentaar
Het Canadese bedrijf Brightspace reageerde niet op interviewverzoeken van AG Connect. Een woordvoerder van het Nederlandse softwarebedrijf AFAS stelt dat de functionaliteit wél bestaat binnen AFAS Profit. "Wij vermoeden dat de FG van Rijksuniversiteit Groningen in het jaarverslag bedoelt dat deze functionaliteit nog niet is ingericht in de applicatie bij de RUG." Volgens de woordvoerder is verwijderen van gegevens de eerste zeven jaar "niet van toepassing, omdat de wet vraagt ze te bewaren de eerste 7 jaar nadat een medewerker uit dienst is."
Rijksuniversiteit Groningen geeft geen antwoord op diverse aanvullende vragen. Een woordvoerder meldt dat er met leveranciers van de genoemde systemen verwerkersovereenkomsten zijn afgesloten die hen verplichten een systeem te leveren dat voldoet aan de AVG. "Daarbij hoort dat de leveranciers geen persoonsgegevens verwerken anders dan noodzakelijk voor de doelen waarvoor de RUG het systeem gebruikt."
De aanbestedingsprocedure kan volgens de woordvoerder niet meer worden teruggedraaid. Zij wijst erop dat de RUG met de leveranciers afspraken heeft gemaakt waaraan zij gehouden kunnen worden, waarbij ook afspraken horen die zien op de bescherming van persoonsgegevens.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee