De RUG kan gegevens van studenten en medewerkers in verschillende softwarepakketten niet zomaar wissen. Daarmee voldoet ze niet aan de Algemene Verordening Gegevensbescherming (AVG) en de Archiefwet.
Dat blijkt uit antwoorden van het universiteitsbestuur op vragen van universiteitsraadslid Mathieu Paapst, in het dagelijks leven universitair docent IT- en privacyrecht.
In softwarepakketten zoals AFAS en Brightspace worden verschillende soorten persoonsgegevens bewaard. Naar nu blijkt heeft de universiteit onder meer problemen met het archiveren en het verwijderen van gegevens.
Regelgeving
Daarmee voldoet de universiteit niet aan de regelgeving over het verwijderen van persoonsgegevens en ook niet aan de Archiefwet, die juist regels stelt voor gegevens die bewaard en gearchiveerd moeten worden.
Zo blijkt dat gegevens van studenten en medewerkers niet zomaar verwijderd kunnen worden en hebben docenten inzage in het onlinegedrag van studenten op Brightspace, zonder dat de studenten hiervan op de hoogte zijn.
Technisch onmogelijk
Volgens de universiteit is het in de huidige pakketten ‘technisch onmogelijk’ om bijvoorbeeld gegevens te verwijderen. Maar dat klopt niet, stelt softwarebedrijf AFAS in een artikel van IT-blad AG Connect.
‘In de applicatie van de RUG is het wel degelijk mogelijk om het proces uit te voeren, maar waarschijnlijk door ontbrekende kennis, ervaring of tijd heeft de RUG dit nog niet gedaan’, zegt Hans Roozen (proces- en applicatiemanager van AFAS) in het artikel.
De RUG bekijkt nu hoe dit op te lossen. ‘We hebben ook andere systemen waarmee we archiveren en er is vervolgens breder gekeken hoe we het beste kunnen voldoen aan de bewaartermijnen van gegevens van de diverse systemen’, zegt woordvoerder Anja Hulshof. ‘We willen dit zorgvuldig doen en dat kost tijd.’