image

Hogeschool moet oud-student schadevergoeding betalen wegens datalek

woensdag 4 oktober 2023, 15:28 door Redactie, 7 reacties

De Hogeschool Arnhem-Nijmegen (HAN) moet een oud-student een schadevergoeding van driehonderd euro betalen wegens een door SQL-injection veroorzaakt datalek waarbij de gevoelige gegevens van studenten en oud-studenten werden gestolen. Volgens de kantonrechter heeft de hogeschool de AVG geschonden omdat het niet vertelde hoe het de persoonsgegevens van de oud-student beveiligde.

In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.

Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. Van de oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt.

De oud-student eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.

SQL-injection

De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. Verder is in de door de hogeschool zelf overgelegde “Leerevaluatie datalek september 2021" als aandachtspunt vermeld dat het volwassenheidsniveau van de hogeschool met betrekking tot de privacy/AVG aandacht verdient. Ook staat daarin dat "de crisis enkele kwetsbaarheden van de hogeschool toont in relatie tot het thema privacy en cyber".

De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd. "Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open", oordeelt de rechter.

Schadevergoeding

De oud-student eiste een vergoeding van duizend euro wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.

"Zijn vertrouwen heeft dus een flinke deuk opgelopen. Ook heeft hij aangegeven dat hij (sterke) emotionele reacties had op het gebeurde (boosheid, spanning en vernedering) en dat hij zich zorgen maakt over wat er met de gegevens wordt gedaan als iemand ze in handen krijgt. Die onzekerheid vreet aan hem", aldus de rechter. Daarnaast zorgt het datalek ervoor dat hij nu nog minder snel gegevens met hulpverleners deelt.

Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van driehonderd euro uit.

Reacties (7)
04-10-2023, 15:37 door Anoniem
het verlies aan controle over de gegevens blijvend is

Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.
04-10-2023, 18:24 door karma4
Door Anoniem:
het verlies aan controle over de gegevens blijvend is

Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.

Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.
Dat gaat tegen de basis rechtsprincipes in. Het bedrag lijkt me daarmee verband te houden.
05-10-2023, 08:59 door Anoniem
Door karma4:
Door Anoniem:
het verlies aan controle over de gegevens blijvend is

Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.

Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.

Onschuld valt ook niet aan te tonen als je schuldig bent. Het rapport is daar duidelijk in. SQL injection, kom op zeg. Maar goed, dat de student "vernedering" voelt... je kunt ook overdrijven. Mijn e-mailadres komt ook voor op HaveIBeenPwned, net zoals het e-mailadres van miljoenen anderen. Je moet wel een heel vlotte babbel hebben om hard te maken dat je daardoor vernederd bent.
05-10-2023, 09:47 door Anoniem
"meer privacygevoelige gegevens", waaronder politieke voorkeur

Wat moet een hogeschool met "politieke voorkeur" ?
Volgens de AVG mogen alleen die gegevens worden verwerkt die nodig zijn voor het functioneren van de instelling. Of moeten de VVD getrouwen in de rechter vleugel en de PvdA/Groen Link getrouwen in de linker vleugel studeren?
05-10-2023, 13:37 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem:
het verlies aan controle over de gegevens blijvend is

Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.

Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.

Onschuld valt ook niet aan te tonen als je schuldig bent. Het rapport is daar duidelijk in. SQL injection, kom op zeg. Maar goed, dat de student "vernedering" voelt... je kunt ook overdrijven. Mijn e-mailadres komt ook voor op HaveIBeenPwned, net zoals het e-mailadres van miljoenen anderen. Je moet wel een heel vlotte babbel hebben om hard te maken dat je daardoor vernederd bent.
Het gaat ook niet om een e-mail adres (persoonsgegevens) maar om zijn medische gegevens.
07-10-2023, 21:47 door Anoniem
Door Anoniem:
"meer privacygevoelige gegevens", waaronder politieke voorkeur

Wat moet een hogeschool met "politieke voorkeur" ?
Volgens de AVG mogen alleen die gegevens worden verwerkt die nodig zijn voor het functioneren van de instelling. Of moeten de VVD getrouwen in de rechter vleugel en de PvdA/Groen Link getrouwen in de linker vleugel studeren?

Dat verbaasde mij ook erg.

uit https://privacy-web.nl/nieuws/hacker-han-had-toegang-tot-medische-gegevens-studenten/

Ook data uit een politieke enquête zou gelekt zijn, waardoor van sommige studenten zelfs de politieke voorkeur bij de hacker bekend kan zijn.

Blijkbaar mogelijk de rauwe data van een enquete , voor een (hopelijk beloofde en uitgevoerde) anonimisering.

Waarom die data in eerste instantie nog wel gekoppeld was aan student snap ik dan niet - het lijkt me een uitvoeringsfout.

Modellen waarin je per deelnemer een uniek token (or url ofzo) genereert en die koppeling naar deelnemer direct wist bestaan dacht ik wel voor enquetes.

(je wilt wel enigszins je best doen dat alleen je doelgroep, en 1x per persoon kan invullen, want 'pollfucks' zijn natuurlijk een bekende uitdaging )
08-07-2024, 22:30 door Anoniem
Door karma4: Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.
Dat gaat tegen de basis rechtsprincipes in. Het bedrag lijkt me daarmee verband te houden.
Dit is geen strafrecht, het gaat hier om civiel recht. Daar geldt niet dat de gedaagde onschuldig is tot schuld is aangetoond, daar gaat het om de knoop doorhakken in een geschil waar de partijen niet onderling uitkomen. Dan gaat het om wat de partijen aanvoeren, waar ze elkaar wel en niet tegenspreken, en wat wetboeken erover te zeggen hebben. De uitkomst van dat alles is hier dat de hogeschool twee artikelen uit de AVG heeft geschonden en daar is een schadevergoeding voor vastgesteld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.