Actueel, Lees

HAN krijgt boete van 175.000 euro voor onvoldoende beveiliging van persoonsgegevens

Tekst: Herman van Deutekom 17.12.25 Leestijd 2 min

De HAN krijgt een boete van 175.000 euro van de Autoriteit Persoonsgegevens (AP) voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Volgens de AP heeft de HAN in het verleden onvoldoende maatregelen genomen om persoonsgegevens van onder meer studenten en medewerkers goed te beveiligen.

Hack in 2021

De AP startte het onderzoek in 2021 naar aanleiding van een hack bij de HAN en schikt nu de zaak met de hogeschool. De HAN gaat geen bezwaar aantekenen tegen de boete, aldus een woordvoerder: “Het is fijn dat we de kwestie eindelijk hebben kunnen afronden en we begrijpen dat hier een boete bij hoort.”

Wat was er gebeurd?

De HAN meldde het datalek indertijd bij de AP. Een hacker had zich via een webformulier toegang verschaft tot een webserver en een databaseserver van de onderwijsinstelling. De hacker dreigde vervolgens de gegevens openbaar te maken en eiste losgeld. De HAN weigerde dit te betalen. Het ging onder meer om persoonsgegevens zoals adressen, namen in combinatie met wachtwoorden of burgerservicenummers (BSN). 

Risico’s in kaart brengen rond bescherming persoonsgegevens

Om persoonsgegevens goed te beschermen moet de organisatie die deze gegevens bewaart en gebruikt, in kaart brengen welke risico’s daarmee gepaard gaan. Ook moet de organisatie beoordelen wat de gevolgen kunnen zijn als die risico’s werkelijkheid worden. Op basis daarvan moet de organisatie beschermende maatregelen nemen.

Beveiliging niet goed afgestemd op risico’s

Volgens de AP ging het hier bij de HAN mis. De digitale beveiliging van de betrokken servers was onvoldoende afgestemd op de risico’s. Ook waren de toegangsrechten van een gebruikersaccount op de databaseserver helemaal niet beperkt. Daardoor kon een kwetsbaarheid in één applicatie op de webserver leiden tot toegang tot alle gegevens in de databaseserver.
Tijdens en na het onderzoek heeft de HAN herstelmaatregelen uitgevoerd om de tekortkomingen te verhelpen. Daarmee heeft de HAN de geconstateerde overtreding beëindigd.

Enkele gedupeerde studenten gecompenseerd

Het datalek zorgde ervoor dat enkele gedupeerde studenten een rechtszaak tegen de HAN hebben aangespannen. Vijf studenten hebben vorig jaar een compensatie ontvangen.

Boete naar beneden bijgesteld

De boete van 175.000 euro die de AP aan de HAN heeft opgelegd, ligt lager dan bij vergelijkbare overtredingen. Bij het bepalen van de hoogte heeft de AP meegewogen dat de HAN zich actief heeft ingezet om de gevolgen voor betrokkenen in kaart te brengen en deze waar mogelijk weg te nemen. Ook heeft de HAN de digitale weerbaarheid versterkt.

HAN geeft voorlichting over gemaakte fouten

Verder waardeert de AP het dat de HAN zich, vanuit de maatschappelijke rol als kennisinstelling, heeft ingezet en zal blijven inzetten om andere organisaties te laten leren van de gemaakte fouten. Zo heeft de HAN voorlichting gegeven aan andere organisaties. In het verlengde daarvan zal de HAN in 2026 een congres organiseren.

Bron: autoriteitpersoonsgegevens.nl

Alle reacties (0)

Reageren? Hou je dan wel aan de spelregels.

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Gerelateerde artikelen