image

Slachtoffer datalek HAN eist duizend euro schadevergoeding

zondag 10 september 2023, 12:25 door Redactie, 10 reacties

Een oud-student van de Hogeschool van Arnhem en Nijmegen (HAN) eist wegens een datalek waar de onderwijsinstelling in 2021 mee te maken kreeg een schadevergoeding van duizend euro. In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren.

Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond. Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.

Van de oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt. Hij eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wil daar niet in mee gaan. Wel kreeg de oud-student een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen.

Daarop spande de oud-student een rechtszaak aan. "Ik dacht dat dit vertrouwelijk was", liet hij deze week tegenover de rechter over zijn mogelijk gestolen data weten. De advocaten van de HAN vinden dat de oud-student geen zaak heeft. Zo is niet vastgesteld dat zijn gegevens zijn buitgemaakt of misbruikt en zou de server voldoende zijn beveiligd.

"De hack vond plaats op de server die al achter zwaar getroffen maatregelen zit. Vergelijk het met toegangswegen tot een kluis. Elke toegangsweg heeft een ander slot. Maar de hacker ging onderdoor via een tunnel en kwam zo binnen", aldus de advocaten. De rechter doet op 4 oktober uitspraak, zo meldt de Gelderlander.

Reacties (10)
10-09-2023, 13:15 door Wim ten Brink
Wacht even... De database bewaarde ook de politieke voorkeur van de leerlingen? Mag dat eigenlijk wel volgens de AVG? Dat is informatie waarmee men leerlingen kan discrimineren door b.v. de PVV-leerlingen uit te sluiten en de PVDA-leerlingen voor te trekken.
Ik zou eigenlijk willen voorstellen dat deze school wordt gesloten om de gehele IT-afdeling goed door te pluizen op gevoelige informatie die ze niet hadden mogen verzamelen. En dan een forse boete ervoor terwijl de in beslag genomen hardware wordt vernietigd omdat deze in een misdrijf is betrokken. En diegenen die verantwoordelijk waren voor dit IT-beleid zouden beboet moeten worden, eventueel met celstraffen.
Maar goed, misschien iets te extreem? Hoe dan ook, het beleid van deze school moet grondig onderzocht worden.
10-09-2023, 13:55 door Anoniem
Falen in het verzamelen van (bijzondere) persoonsgegevens, falen in de bewaartermijn van gegevens, falen in het beveiligen van (bijzondere) persoonsgegevens, die hadden versleuteld moeten zijn. Falen in het laten controleren van de server.

Zoals Wim hierboven zegt, verantwoordelijken straffen met vrijheidsstraf. De schade zou ook verhaald kunnen worden op personen.

https://web.archive.org/web/20220528171557/https://www.han.nl/over-de-han/datalek/
https://web.archive.org/web/20220528165229/https://www.han.nl/nieuws/liveblog/index.xml

Dat er niet zou zijn vastgesteld dat gegevens gelekt zijn, lijkt een ongeldig excuus als een hele database van formulieren exposed was en de aanvaller daarmee afperste. Die aanvaller is het er om te doen om die gegevens te verzamelen, en dat zou die misschien niet gedaan hebben? Dat is een onwaarschijnlijk verhaal.
10-09-2023, 14:01 door Anoniem
ik heb daar lang geleden gewerkt, en men was vooral bezig met een pissing-contest tussen A en N, en het adminwachtwoord van af-en-toe gestolen werkstations was het adminwachtwoord van alle servers. Ja maar Vlans, ja maar firewalls.
Tuurlijk. Accident waiting to happen.

De oud student heeft gewoon gelijk, maar op vorm kan hij verliezen. Jammer dat HAN niet gewoon hun fail toegeeft en met een plan/planning komt om gestructureerd alle data te wipen waarvoor ze geen verwerkingsgrond hebben, inclusief de backup van die data, de kopietjes van die data, en de voordezekerheidnogeenbackup's.
Dat is veel werk, maar ze vinden vast wel ergens een stagiair.

Het probleem zit bovenin, en in de laag eronder. De rest zijn uitvoerders die hun best doen.
10-09-2023, 15:30 door Anoniem
Wat doet een universiteit met een politieke voorkeur?
10-09-2023, 16:07 door Anoniem
Door Wim ten Brink: Wacht even... De database bewaarde ook de politieke voorkeur van de leerlingen? Mag dat eigenlijk wel volgens de AVG? Dat is informatie waarmee men leerlingen kan discrimineren door b.v. de PVV-leerlingen uit te sluiten en de PVDA-leerlingen voor te trekken.
Ik zou eigenlijk willen voorstellen dat deze school wordt gesloten om de gehele IT-afdeling goed door te pluizen op gevoelige informatie die ze niet hadden mogen verzamelen. En dan een forse boete ervoor terwijl de in beslag genomen hardware wordt vernietigd omdat deze in een misdrijf is betrokken. En diegenen die verantwoordelijk waren voor dit IT-beleid zouden beboet moeten worden, eventueel met celstraffen.
Maar goed, misschien iets te extreem? Hoe dan ook, het beleid van deze school moet grondig onderzocht worden.
Men moet dit soort datalekken met harde hand bestraffen, van boven naar beneden iedereen aanpakken die direct of indirect betrokken is voor het datalek.
Raad van toezicht, bestuur directie, hoofd IT, enz.
Buitgemaakte gegevens zijn ergens, niemand weet waar, wie er over kan beschikken, wat zijn de gevolgen voor de houders van deze gegevens.
10-09-2023, 16:17 door Anoniem
Door Wim ten Brink: Wacht even... De database bewaarde ook de politieke voorkeur van de leerlingen? Mag dat eigenlijk wel volgens de AVG? Dat is informatie waarmee men leerlingen kan discrimineren door b.v. de PVV-leerlingen uit te sluiten en de PVDA-leerlingen voor te trekken.
In 95% van de gevallen zijn alleen algemene persoonsgegevens gelekt. In het privacystatement van HAN staat dat onderzoeksgegevens verwerkt worden, en dat daar bijzondere persoonsgegevens bij zitten die altijd op basis van uitdrukkelijke toestemming van de betrokkene worden verwerkt. Wie weet liep er net een onderzoek waarin naar politieke voorkeur werd gevraagd en zaten die gegevens geheel of gedeeltelijk in het lek.
10-09-2023, 20:23 door Anoniem
Door Anoniem:
Door Wim ten Brink: Wacht even... De database bewaarde ook de politieke voorkeur van de leerlingen? Mag dat eigenlijk wel volgens de AVG? Dat is informatie waarmee men leerlingen kan discrimineren door b.v. de PVV-leerlingen uit te sluiten en de PVDA-leerlingen voor te trekken.
In 95% van de gevallen zijn alleen algemene persoonsgegevens gelekt. In het privacystatement van HAN staat dat onderzoeksgegevens verwerkt worden, en dat daar bijzondere persoonsgegevens bij zitten die altijd op basis van uitdrukkelijke toestemming van de betrokkene worden verwerkt. Wie weet liep er net een onderzoek waarin naar politieke voorkeur werd gevraagd en zaten die gegevens geheel of gedeeltelijk in het lek.

Jij hebt niet gelezen hoe oud de data was op het moment van stelen. Veel te oud. Hoe dan ook, bijzondere persoonsgegevens vereisen bijzondere bescherming en daar is hier geen sprake van. Wie bewaart die data nou jarenlang op een publieke server? HAN heeft hier op bijzonder wijze incompetentie getoond.
10-09-2023, 22:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Wim ten Brink: Wacht even... De database bewaarde ook de politieke voorkeur van de leerlingen? Mag dat eigenlijk wel volgens de AVG? Dat is informatie waarmee men leerlingen kan discrimineren door b.v. de PVV-leerlingen uit te sluiten en de PVDA-leerlingen voor te trekken.
In 95% van de gevallen zijn alleen algemene persoonsgegevens gelekt. In het privacystatement van HAN staat dat onderzoeksgegevens verwerkt worden, en dat daar bijzondere persoonsgegevens bij zitten die altijd op basis van uitdrukkelijke toestemming van de betrokkene worden verwerkt. Wie weet liep er net een onderzoek waarin naar politieke voorkeur werd gevraagd en zaten die gegevens geheel of gedeeltelijk in het lek.

Jij hebt niet gelezen hoe oud de data was op het moment van stelen. Veel te oud. Hoe dan ook, bijzondere persoonsgegevens vereisen bijzondere bescherming en daar is hier geen sprake van. Wie bewaart die data nou jarenlang op een publieke server? HAN heeft hier op bijzonder wijze incompetentie getoond.

Die data is daar waarschijnlijk ooit neergezet door een onderzoeker. Een onderzoeker die nu al lang niet meer bij die instelling werkt. En op die server staat een enorme bulk data waarvan niemand weet wat het allemaal is, van wie het allemaal is, hoe belangrijk/waardevol het is. Dus niemand durft het op te ruimen, want als je weggooit blijkt het opeens wel belangrijk/waardevol. Dus blijft het eeuwig bestaan.
11-09-2023, 08:41 door Anoniem
Dit staat in de tekst:
niet versleutelde wachtwoorden
En dan dit:
"De hack vond plaats op de server die al achter zwaar getroffen maatregelen zit."
Als je de wachtwoorden niet hasht vraag ik me af wat dan de andere zware maatregelen dan zijn.
11-09-2023, 14:58 door Wim ten Brink
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Wim ten Brink: Wacht even... De database bewaarde ook de politieke voorkeur van de leerlingen? Mag dat eigenlijk wel volgens de AVG? Dat is informatie waarmee men leerlingen kan discrimineren door b.v. de PVV-leerlingen uit te sluiten en de PVDA-leerlingen voor te trekken.
In 95% van de gevallen zijn alleen algemene persoonsgegevens gelekt. In het privacystatement van HAN staat dat onderzoeksgegevens verwerkt worden, en dat daar bijzondere persoonsgegevens bij zitten die altijd op basis van uitdrukkelijke toestemming van de betrokkene worden verwerkt. Wie weet liep er net een onderzoek waarin naar politieke voorkeur werd gevraagd en zaten die gegevens geheel of gedeeltelijk in het lek.

Jij hebt niet gelezen hoe oud de data was op het moment van stelen. Veel te oud. Hoe dan ook, bijzondere persoonsgegevens vereisen bijzondere bescherming en daar is hier geen sprake van. Wie bewaart die data nou jarenlang op een publieke server? HAN heeft hier op bijzonder wijze incompetentie getoond.

Die data is daar waarschijnlijk ooit neergezet door een onderzoeker. Een onderzoeker die nu al lang niet meer bij die instelling werkt. En op die server staat een enorme bulk data waarvan niemand weet wat het allemaal is, van wie het allemaal is, hoe belangrijk/waardevol het is. Dus niemand durft het op te ruimen, want als je weggooit blijkt het opeens wel belangrijk/waardevol. Dus blijft het eeuwig bestaan.
En dat is het probleem! Je mag persoonsgegevens niet langer bewaren dan strict noodzakelijk. Data voor een onderzoek moet na het onderzoek worden verwijderd of in ieder geval offline gehaald worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.