image

Studenten HAN krijgen 300 euro schadevergoeding wegens datalek

maandag 8 juli 2024, 11:43 door Redactie, 7 reacties

Vijf studenten van de Hogeschool van Arnhem en Nijmegen (HAN) krijgen wegens een datalek dat zich in 2021 voordeed een schadevergoeding van driehonderd euro. In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.

Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren.

Vorig jaar oktober oordeelde de kantonrechter dat de hogeschool een student wegens het datalek een schadevergoeding van driehonderd euro moet betalen. Kort daarna bleek dat tientallen huidige en voormalige studenten van de HAN overwogen een claim in te dienen tegen de onderwijsinstelling. Volgens De Gelderlander moesten studenten aan strenge voorwaarden voldoen, wat er uiteindelijk voor zorgde dat in totaal zeven slachtoffers een claim indienden.

De juridische afdeling van de HAN oordeelde dat vijf van hen op basis van de uitspraak van de rechter recht hebben op een vergoeding. Eén van deze studenten maakt aanspraak op nog eens driehonderd euro. Aanleiding is een datalek in januari van dit jaar, waarbij gedetailleerde medische gegevens van meerdere studenten op de aanwezigheidslijst voor een tentamen terecht waren gekomen.

Reacties (7)
08-07-2024, 12:08 door Anoniem
ik zie meer in een verzekeringspolis, verplicht aan te gaan door de lekkende waarbij het slachtoffer gevrijwaard wordt van alle misbruik die mogelijk is, nu en in hun verre toekomst dan nu effe 300 euro...

over 20 jaar kan de schade misschien wel 10 miljoen zijn. (wanneer ik kijk wat een patatje met koste toen ik jong was en hoeveel die nu kost, dat doortrekkende met vettaks, aardappelzetmeel-taks, frituurvet-taks enz.. dan kost zo'n pattatje over 20 jaar 1 ton.
08-07-2024, 12:42 door Anoniem
Door Anoniem: ik zie meer in een verzekeringspolis, verplicht aan te gaan door de lekkende waarbij het slachtoffer gevrijwaard wordt van alle misbruik die mogelijk is, nu en in hun verre toekomst dan nu effe 300 euro...

Hoe ga je bewijzen dat misbruik van gegevens in de toekomst komt door het datalek ten tijde van de opleiding. Dat is bijna niet te bewijzen, want je hebt vaak overal accounts met ontzettend veel data lekken...
08-07-2024, 15:23 door Anoniem
Door Anoniem:
Door Anoniem: ik zie meer in een verzekeringspolis, verplicht aan te gaan door de lekkende waarbij het slachtoffer gevrijwaard wordt van alle misbruik die mogelijk is, nu en in hun verre toekomst dan nu effe 300 euro...

Hoe ga je bewijzen dat misbruik van gegevens in de toekomst komt door het datalek ten tijde van de opleiding. Dat is bijna niet te bewijzen, want je hebt vaak overal accounts met ontzettend veel data lekken...

precies en daarom hadden ze maar niet moeten lekken
08-07-2024, 16:01 door Anoniem
We weten dus nu dat de (medische) gegevens van studenten aan instellingen voor het hoger onderwijs €300,= waard zijn. /s
08-07-2024, 19:44 door Anoniem
waaronder politieke voorkeur
Politieke voorkeur? Waarom legt een hogeschool dat vast? En hoe komen ze aan die informatie?
08-07-2024, 19:52 door Anoniem
Door Anoniem: We weten dus nu dat de (medische) gegevens van studenten aan instellingen voor het hoger onderwijs €300,= waard zijn. /s

Dat zou ik er niet voor geven.

Maar het bedrag is niet de waarde van de gegevens, maar de kosten van 'schadeherstel' in een specifiek geval.
Bijvoorbeeld 4 uur psychotherapie om over het "trauma" van op straat liggende gegevens met een therapeut te praten.
09-07-2024, 11:16 door Anoniem
Ik voel er wel wat voor dat als een organisatie lekt, dat ze een minimaal bedrag (bijvoorbeeld 5 euro) moeten betalen aan alle gedupeerden. Dat betekent dat als ze onnodig van 10.000 personen gegevens bewaren, dat dat een potentiële schadepost van 50.000 euro is. Dan leg je de schade op de plek waar het hoort en geef je organisaties een intrinsieke motivatie om hun zooi eens op te ruimen en daardoor bij voorbaat de schade te beperken. Mocht je kunnen aantonen dat je meer schade hebt geleden (zoals nu bij de HAN is gebeurt), dan kun je alsnog deze schade op de huidige manier verhalen.

Als organisaties hun lek niet melden en het komt later toch uit, dan 50 euro per persoon.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.