Boete voor HAN University of Applied Sciences wegens onvoldoende beveiliging persoonsgegevens
De HAN University of Applied Sciences (HAN) krijgt van de Autoriteit Persoonsgegevens een boete van 175.000 euro opgelegd voor het niet nakomen van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de hogeschool onvoldoende maatregelen had genomen om persoonsgegevens van studenten en medewerkers te beschermen.
Het onderzoek volgde op een hack in 2021, waarbij een hacker via een webformulier toegang kreeg tot een webserver en databaseserver van de HAN. De hacker dreigde de buitgemaakte gegevens openbaar te maken en eiste losgeld. Het ging onder meer om namen, adressen, wachtwoorden en burgerservicenummers (BSN). De HAN weigerde het losgeld te betalen.
Beveiliging niet afgestemd op risico’s
Volgens de AP had de HAN onvoldoende rekening gehouden met de risico’s van het verwerken van persoonsgegevens. Zo waren de digitale beveiliging van de betrokken servers ontoereikend en waren de toegangsrechten van een gebruikersaccount op de databaseserver niet beperkt. Hierdoor kon een kwetsbaarheid in één applicatie leiden tot toegang tot alle gegevens in de database. Het datalek zelf vormt geen directe overtreding van de AVG, maar de onvoldoende beveiliging wel.
De HAN erkent dat het beveiligingsniveau tekortschoot en dat hiermee de AVG is overtreden. Tijdens en na het onderzoek zijn door de hogeschool maatregelen genomen om de tekortkomingen te verhelpen.
Boete en vervolgstappen
De AP meldt bij het bepalen van de boete rekening te hebben gehouden met de inspanningen van de HAN om de gevolgen voor betrokkenen te beperken en de digitale weerbaarheid te versterken. Daarnaast waardeert de AP dat de HAN, als kennisinstelling, andere organisaties helpt leren van de gemaakte fouten. Zo heeft de HAN voorlichting gegeven en plant ze in 2026 een congres over dit onderwerp.
De HAN meldt geen bezwaar te maken tegen de opgelegde boete.
Meer over Security
Over Wouter Hoeffnagel
