HAN-college maakt lijst van gestolen gegevens bekend en komt met vervolgonderzoek

Bijna 10.000 versleutelde en niet-versleutelde wachtwoorden, 400 BSN-nummers, 183 paspoort- of ID-gegevens en dik 2000 meldingen over functiebeperkingen bij studenten. Dat is de belangrijkste schade die de HAN heeft opgelopen door het datalek bij de HAN van begin september. Volgens het CvB is het onderzoek naar de hack zo goed als afgerond.

Uit dit onderzoek blijkt dat een hacker via een webformulier op één server van de HAN kon inbreken. Op de server stonden veel data, waaronder ruim 530.000 unieke mailadressen. Of de hacker daadwerkelijk alle data in handen en/of gepubliceerd heeft, is niet bekend. Gisteren is het CvB begonnen met het informeren van de getroffenen.

Waarschuwing voor phishing
Aangezien de meeste buitgemaakte gegevens algemene persoonlijke gegevens betreft (naam, adres, woonplaats, e-mailadres, telefoonnummer) waarschuwt het CvB dat medewerkers en studenten wiens gegevens gestolen zijn, mogelijk slachtoffer kunnen worden van phishing. Het CvB adviseert deze groep mensen alert te zijn.

Functiebeperking
Bij ongeveer 3% van de gegevens is sprake van meer privacygevoelige persoonsgegevens. Daarbij gaat het bijvoorbeeld om paspoort- en ID-kaartnummers en informatie van studenten met bijzondere omstandigheden, zoals een functiebeperking. Hoewel het CvB het ontzettend vervelend vindt dat deze persoonlijke gegevens zijn gestolen, benadrukt woordvoerder Maurice Chattelin dat het niet om volledige medische dossiers gaat. “Studenten kunnen, wanneer ze extra ondersteuning nodig hebben, dit bij hun studie aangeven op een formulier op de website. Dat kan gaan om mensen met een fysiek of psychisch probleem. Maar een bijzondere omstandigheid kan ook zijn dat iemand topsporter of ondernemer is.” Op het formulier dat op de HAN website te vinden is, kunnen studenten aangeven dat ze te maken hebben met ADHD, dyslexie, autisme of een chronische ziekte als de ziekte van Crohn. In een vrij tekstveld kan de student daar verder over uitweiden.

Psychische problematiek
En dat is precies wat tweedejaars Pabo Deeltijdstudent Marit in juli 2020 heeft gedaan toen ze zich aanmeldde voor haar opleiding. “Ik heb het gisteren gecheckt, inmiddels is het online formulier aangepast. Vorig jaar werd er nog gevraagd om je problematiek te specificeren. Er was toen nog een groter tekstveld.”
Psychiatrische diagnoses heeft ze toen niet ingevuld: “Dat voelde voor mij toen al niet goed, maar de verschillende problematiek heb ik wel aangevinkt en mijn fysieke beperking en chronische ziekte heb ik gespecificeerd. Door wat ik verder heb aangevinkt weet de HAN ook dat ik ADHD en andere psychische problematiek heb.”

“Ik ben bij sollicitaties niet verplicht dit te melden, maar straks kan iedereen mijn psychische problematiek bij wijze van spreken gewoon op internet vinden”

Wat is er gelekt?
Wat Marit vooral vreemd vindt, is dat ze zelf moest uitzoeken wat ze een dik jaar geleden ook alweer had ingevuld en wat er dus gelekt is. “Ook vind ik dat er erg makkelijk wordt gedaan over het lekken van deze ontzettend persoonlijke informatie. Excuses, daar moeten we het maar mee doen, terwijl mijn psychische problematiek best wel een drempel kan zijn bij bijvoorbeeld het vinden van werk. Ik ben bij sollicitaties niet verplicht dit te melden, maar straks kan iedereen het bij wijze van spreken gewoon op het internet vinden.”

Vraag naar functiebeperking
Chattelin legt desgevraagd uit: “De HAN vraagt naar deze gegevens zodat er binnen de opleiding rekening mee kan worden gehouden en biedt allerlei hulpmiddelen, voorzieningen en aanpassingen zodat studenten hun opleiding zo goed mogelijk kunnen volgen.”
De betroffen personen zijn volgens het CvB inmiddels geïnformeerd.

Nog niet helemaal afgerond
Voor een kleine groep slachtoffers, 2% van de mogelijk getroffen gevallen, gaat het onderzoek nog door. De reden voor dit aanvullende onderzoek, is dat het om gegevens gaat die samen met andere partijen zijn verzameld. Met die partijen is nadere afstemming nodig. Wel is duidelijk dat het voor deze groep voornamelijk om algemene persoonsgegevens gaat.

Compliance onderzoek
Ook komt er nog een vervolgonderzoek, aldus Chattelin: “Nadat we de schade hebben onderzocht, slachtoffers op de hoogte hebben gebracht en onze wonden hebben gelikt, is de vervolgvraag: al die gegevens die op de server stonden, mocht dat er wel allemaal staan? Begrijp me goed, er zijn gegevens die je heel lang mag bewaren, maar andere gegevens ook weer niet. Dit compliance onderzoek, zoals dat heet, daar gaan we nu mee verder.”

Hier begon het mee: HAN gaat niet in op afpersing, persoonsgegevens online

Toen vroegen we ons af: Maken studenten en medewerkers zich zorgen over de HAN-hack?

Gerelateerd: “Pas op, je bent online interessanter dan je denkt”, over socialmediawijsheid.

Laatste nieuws over de hack bij de HAN: HAN compenseert vijf gedupeerden van datalek 2021