HAN krijgt boete van 175.000 euro wegens slechte beveiliging persoonsgegevens

In dit artikel:

De Autoriteit Persoonsgegevens (AP) heeft de Hogeschool van Arnhem en Nijmegen (HAN) een boete van 175.000 euro opgelegd vanwege gebrekkige beveiliging van persoonsgegevens, wat in september 2021 leidde tot een omvangrijk datalek. Een aanvaller verwierf toegang tot een server van de onderwijsinstelling, eiste losgeld en dreigde de gestolen data te publiceren.

Onderzoek wees uit dat op de server ruim 530.000 unieke e-mailadressen stonden en circa 15.000 records met zwaardere privacygevoelige gegevens, zoals politieke voorkeur, BSN‑nummers, niet-versleutelde wachtwoorden, paspoort- en identiteitsnummer en meldingen over functiebeperkingen en studievertragingen. De AP concludeerde dat de serverbeveiliging niet was afgestemd op de risico’s en dat een databasegebruikersaccount te veel rechten had. Hierdoor kon een kwetsbaarheid in één webapplicatie directe toegang geven tot alle gegevens in de databaseserver.

Bij de geanalyseerde programmatuur bleek er enige aandacht voor SQL‑injectie te zijn, maar die bescherming werd niet consequent toegepast. De HAN stelde dat er een ‘best practices’-beleid en bewustzijn bij programmeurs bestond, maar kon niet aantonen of voor het specifieke formulier dat de hacker misbruikte een risicoanalyse was uitgevoerd of dat het beleid toen werd nageleefd; tevens legde de instelling het beleid niet aan de AP voor.

De boete volgt op de bevinding dat technische en organisatorische maatregelen ontoereikend waren, waardoor grote aantallen zeer gevoelige persoonsgegevens blootgesteld werden en betrokkenen risico liepen op misbruik of identiteitsfraude.