Onderwijsinstellingen bewaren te veel en te lang bepaalde informatie over studenten en docenten. Dat blijkt uit twee datalekken bij ROC Mondriaan in regio Den Haag en de Hogeschool van Arnhem en Nijmegen (HAN), maar het gaat vaker fout.

Volgens de Europese privacywet moeten gegevens worden verwijderd als ze niet meer nodig zijn, zegt ICT-jurist en hoogleraar Frederik Zuiderveen Borgesius. Maar het gaat bij onderwijsinstellingen en organisaties wel vaker mis. "Hier wordt soms slordig mee omgegaan." Hoe groot de problemen precies zijn, is niet bekend.

De HAN en het ROC werden de afgelopen tijd het slachtoffer van hacks waarbij losgeld werd geëist. In beide gevallen weigerden de scholen te betalen, waarna gegevens werden gelekt.

Deze gegevens waren erg privacygevoelig. In de dataset van het ROC trof NU.nl onder andere sollicitatielijsten, overlijdenskaarten van studenten, klachtenafhandelingen en andere gevoelige gegevens aan. Bij de HAN werden zelfs formulieren met de politieke voorkeur van een honderdtal studenten bewaard. Ook lekten lijsten waarop de functiebeperking van tweeduizend studenten werd vastgelegd.

Iets wat niet altijd mag, zegt Zuiderveen Borgesius. "Gegevens van studenten en docenten mogen alleen bewaard worden, als daar een geldige reden voor is. Ze mogen niet zomaar rondzwerven op een server." Bij lijsten met de politieke voorkeur van studenten, of oude overlijdenskaarten van oud-studenten, is het dan ook maar de vraag of de gegevens bewaard hadden mogen blijven.

Gegevens op andere manier bewaren

De HAN en het ROC zeggen zich nu na de datalekken ook af te vragen of sommige van de gelekte gegevens bewaard hadden mogen blijven. Woordvoerders van beide scholen laten weten onderzoek te doen naar deze kwestie.

"De politieke voorkeur van studenten werd in 2011 gevraagd via een enquête voor een schoolkrant, wat toen iets heel logisch was", vertelt een woordvoerder van de HAN. "Destijds is deze informatie bewaard gebleven, maar door het lek ontstaat nu de vraag of dit wel had gemogen. Die vraag gaan we de komende tijd beantwoorden."

Een woordvoerder van het ROC vertelt dat hetzelfde onderzoek ook wordt gedaan bij de Haagse scholengemeenschap. "We kijken nu heel kritisch naar de gegevens die zijn gelekt, en gaan onderzoeken in hoeverre we in de toekomst anders moeten omgaan met het bewaren van gegevens van studenten en docenten."