Zolang je maar kunt aantonen wie toegang heeft, waarom je ze nodig hebt en wanneer je ze verwijderd en naar de gebruikers communiceert dat je ze hebt, is er geen probleem denk ik.
Opvolgen van het leerproces lijkt me een goede reden.
Meer info op https://docs.moodle.org/dev/GDPR_for_Administrators