De Hogeschool Arnhem-Nijmegen (HAN) moet een oud-student een schadevergoeding van driehonderd euro betalen wegens een door SQL-injection veroorzaakt datalek waarbij de gevoelige gegevens van studenten en oud-studenten werden gestolen. Volgens de kantonrechter heeft de hogeschool de AVG geschonden omdat het niet vertelde hoe het de persoonsgegevens van de oud-student beveiligde.
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. Van de oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt.
De oud-student eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.
De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. Verder is in de door de hogeschool zelf overgelegde “Leerevaluatie datalek september 2021" als aandachtspunt vermeld dat het volwassenheidsniveau van de hogeschool met betrekking tot de privacy/AVG aandacht verdient. Ook staat daarin dat "de crisis enkele kwetsbaarheden van de hogeschool toont in relatie tot het thema privacy en cyber".
De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd. "Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open", oordeelt de rechter.
De oud-student eiste een vergoeding van duizend euro wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.
"Zijn vertrouwen heeft dus een flinke deuk opgelopen. Ook heeft hij aangegeven dat hij (sterke) emotionele reacties had op het gebeurde (boosheid, spanning en vernedering) en dat hij zich zorgen maakt over wat er met de gegevens wordt gedaan als iemand ze in handen krijgt. Die onzekerheid vreet aan hem", aldus de rechter. Daarnaast zorgt het datalek ervoor dat hij nu nog minder snel gegevens met hulpverleners deelt.
Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van driehonderd euro uit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.