Het bestelsysteem van De Refter dat illegaal persoonsgegevens verzamelden van haar gebruikers is aangepast. Bij het plaatsen van een bestelling is het nu enkel verplicht om een e-mailadres in te vullen. De algemene voorwaarden die bij bestellen moeten worden geaccepteerd zijn inmiddels ook in te zien.
Vorig jaar november publiceerde het Algemeen Nijmeegs Studentenblad een artikel waarin duidelijk werd dat het nieuwe bestelsysteem van De Refter illegaal persoonsgegevens verzameld van haar gebruikers. Voor het plaatsen van een bestelling moest een e-mailadres, voor- en achternaam verplicht worden ingevuld en kon optioneel een telefoonnummer worden achtergelaten. Voor het aanmaken van een account moesten nog meer gegevens verplicht worden gegeven. Deze persoonsgegevens zijn niet nodig voor het plaatsen van een bestelling waardoor het tegen de Algemene Verordening Gegevensbescherming (AVG) in gaat. Ook het feit dat de algemene voorwaarden niet in te lezen waren maar wel geaccepteerd moesten worden bij het plaatsen van een bestelling, gaat tegen de AVG in. De Radboud Universiteit (RU) was hiermee in overtreding en riskeerde een boete.
Het systeem is inmiddels aangepast. De algemene voorwaarden zijn in te lezen, er worden geen adresgegevens meer gevraagd en alleen het invullen van een e-mailadres is vereist bij het plaatsen van een bestelling. ‘Deze persoonsgegevens zijn noodzakelijk om vanuit het systeem een bevestiging van de bestelling te kunnen sturen’, staat in een mail van het College van Bestuur (CvB) aan de leden van de medezeggenschap. Dat zou ook het enige zijn waar de gegevens voor worden gebruikt volgens de privacyverklaring van De Refter. ‘Het voldoet hiermee voldoende aan de AVG-richtlijnen’, zegt Annet Les, woordvoerder van de RU. Alle adresgegevens en namen die sinds gebruik van het nieuwe systeem van september tot december zijn verzameld door het systeem zijn afgelopen januari verwijderd.
Evaluatie
Het nieuws van de privacyschending leidde tot schriftelijke vragen van de Universitaire Studentenraad aan het CvB. Zo werd onder meer gevraagd wat het CvB gaat doen om ervoor te zorgen dat meldingen van privacyschending in de toekomst eerder worden behandeld. De universiteit was namelijk al sinds 16 september op de hoogte van de privacyschending door een melding van Radbouddocent Frank van Caspel, maar het systeem bleef destijds onveranderd.
Naar aanleiding van de vragen zijn een aantal privacydeskundigen binnen de RU gevraagd om de situatie rondom het bestelssysteem te evalueren en verbeteren. Die evaluatie heeft in januari dit jaar plaatsgevonden. Op basis van deze evaluatie zijn de functionarissen gegevensbescherming van de RU nauwer gaan samenwerken en zijn veranderingen doorgevoerd zodat vragen die worden gesteld aan de ICT Helpdesk eerder worden beantwoord.
Verder is het bestelsysteem zelf aangepast. Zo zijn de algemene voorwaarden te lezen waarin staat wat er met de gegevens gebeurt. Ook slaat het systeem nu alleen e-mailadressen en telefoonnummers op. De gegevens worden volgens Les in principe zeven jaar bewaard.