Demissionair minister van Onderwijs Van Engelshoven moet opheldering geven over het datalek bij de Hogeschool van Arnhem en Nijmegen (HAN), zoals de schade en kosten die de aanval tot nu toe heeft veroorzaakt. Afgelopen dinsdag meldde de HAN dat het datalek mogelijk veel groter is dan in eerste instantie werd gedacht.

Begin september meldde de HAN dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server heeft gekregen waarop persoonlijke informatie stond.

Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. "Of de hacker daadwerkelijk alle op de server beschikbare data in handen en/of gepubliceerd heeft, is niet bekend", zo stelt de HAN.

Naar aanleiding van het datalek heeft de VVD nu Kamervragen gesteld. "Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?", vragen VVD-Kamerleden Woude en Rajkowski.

Daarnaast moet Van Engelshoven een inschatting geven van de schade en kosten die de aanval tot nu heeft veroorzaakt. "Is het waar dat de HAN een 'makkelijk doelwit' is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?", willen Woude en Rajkowski verder weten.

De minister moet tevens duidelijk maken of ze de mening deelt dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen. "Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligingseisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren?", aldus de vraag van de VVD-Kamerleden. De minister moet binnen drie weken met een antwoord komen.