Scholen bewaren bepaalde gegevens over studenten en docenten te lang. Dat blijkt uit het datalek bij de Hogeschool van Arnhem en Nijmegen en uit het datalek bij ROC Mondriaan in regio Den-Haag. Bij onderwijsinstellingen gaat het vaker mis. ICT-jurist en hoogleraar Frederik Zuiderveen Borgesius bevestigt dit tegenover NU.nl
Bewaartermijn persoonsgegevens
In de Europese privacywet AVG is geen concrete bewaartermijn voor persoonsgegevens opgenomen. Onderwijsinstellingen en organisaties mogen zelf bepalen hoe lang ze gegevens bewaren. Ze mogen deze gegevens echter niet langer bewaren dan noodzakelijk. Borgesius laat aan NU.nl weten dat onderwijsinstellingen en organisaties hier soms slordig mee omgaan.
Onderwijsinstellingen vaker doelwit van hackers
Nederlandse scholen zijn steeds vaker doelwit van hackers. In september kreeg een hacker toegang tot persoonsgegevens van de Hogeschool Arnhem Nijmegen (HAN). De hacker had onder andere toegang tot medische gegevens en politieke voorkeuren van studenten. Ook meldingen over functiebeperking of studievertraging zijn gelekt.
Eerder ging het ook al mis bij de Haagse onderwijsinstelling ROC Mondriaan. In augustus was de MBO-school doelwit van een hackaanval. Bij dit datalek werden privacygevoelige gegevens, zoals overlijdenskaarten en klachtenafhandelingen, gelekt.
Geen losgeld
Beide onderwijsinstellingen weigerden losgeld te betalen. Omdat de scholen niet wilden betalen, werden de gegevens gelekt. De personen van wie de gegevens zijn gelekt kunnen slachtoffer worden van phishing. Criminelen gebruiken deze gegevens namelijk om (ex-)studenten geld afhandig te maken.
De overheid overweegt een verbod voor verzekeraars om losgeld te vergoeden. Door te betalen wordt het verdienmodel van cybercriminelen in stand gehouden. Op dit moment onderzoekt het ministerie van Justitie en Veiligheid onder meer de mogelijkheden om verzekeraars te verbieden om losgeld te vergoeden.
Alleen bewaren met geldige reden
Volgens Borgesisus mag privacygevoelige informatie niet zomaar bewaard worden. “Gegevens van studenten en docenten mogen alleen bewaard worden, als daar een geldige reden voor is. Ze mogen niet zomaar rondzwerven op een server”, aldus Borgesius. Voor formulieren met politieke voorkeuren en overlijdenskaarten is het de vraag of deze bewaard hadden mogen blijven.
Een woordvoerder van de HAN laat aan NU.nl weten dat een schoolkrant om de politieke voorkeur van studenten vroeg in 2011. De krant heeft deze informatie bewaard, maar door het datalek vraagt de school zich af of de gegevens wel bewaard hadden mogen blijven. De HAN gaat dit verder onderzoeken.
Een woordvoerder van het ROC laat aan NU.nl weten eenzelfde soort onderzoek te starten bij de Haagse scholengemeenschap. De woordvoerder geeft aan dat het ROC kritisch gaat kijken naar de gegevens die zijn gelekt. Ze gaan onderzoeken hoe ze in de toekomst beter kunnen omgaan met het bewaren van gegevens van studenten en docenten.
