Slachtoffer datalek HAN eist duizend euro schadevergoeding
Een oud-student van de Hogeschool van Arnhem en Nijmegen (HAN) eist wegens een datalek waar de onderwijsinstelling in 2021 mee te maken kreeg een schadevergoeding van duizend euro. In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren.
Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond. Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Van de oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt. Hij eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wil daar niet in mee gaan. Wel kreeg de oud-student een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen.
Daarop spande de oud-student een rechtszaak aan. "Ik dacht dat dit vertrouwelijk was", liet hij deze week tegenover de rechter over zijn mogelijk gestolen data weten. De advocaten van de HAN vinden dat de oud-student geen zaak heeft. Zo is niet vastgesteld dat zijn gegevens zijn buitgemaakt of misbruikt en zou de server voldoende zijn beveiligd.
"De hack vond plaats op de server die al achter zwaar getroffen maatregelen zit. Vergelijk het met toegangswegen tot een kluis. Elke toegangsweg heeft een ander slot. Maar de hacker ging onderdoor via een tunnel en kwam zo binnen", aldus de advocaten. De rechter doet op 4 oktober uitspraak, zo meldt de Gelderlander.
Ik zou eigenlijk willen voorstellen dat deze school wordt gesloten om de gehele IT-afdeling goed door te pluizen op gevoelige informatie die ze niet hadden mogen verzamelen. En dan een forse boete ervoor terwijl de in beslag genomen hardware wordt vernietigd omdat deze in een misdrijf is betrokken. En diegenen die verantwoordelijk waren voor dit IT-beleid zouden beboet moeten worden, eventueel met celstraffen.
Maar goed, misschien iets te extreem? Hoe dan ook, het beleid van deze school moet grondig onderzocht worden.
Zoals Wim hierboven zegt, verantwoordelijken straffen met vrijheidsstraf. De schade zou ook verhaald kunnen worden op personen.
https://web.archive.org/web/20220528171557/https://www.han.nl/over-de-han/datalek/
https://web.archive.org/web/20220528165229/https://www.han.nl/nieuws/liveblog/index.xml
Dat er niet zou zijn vastgesteld dat gegevens gelekt zijn, lijkt een ongeldig excuus als een hele database van formulieren exposed was en de aanvaller daarmee afperste. Die aanvaller is het er om te doen om die gegevens te verzamelen, en dat zou die misschien niet gedaan hebben? Dat is een onwaarschijnlijk verhaal.
Tuurlijk. Accident waiting to happen.
De oud student heeft gewoon gelijk, maar op vorm kan hij verliezen. Jammer dat HAN niet gewoon hun fail toegeeft en met een plan/planning komt om gestructureerd alle data te wipen waarvoor ze geen verwerkingsgrond hebben, inclusief de backup van die data, de kopietjes van die data, en de voordezekerheidnogeenbackup's.
Dat is veel werk, maar ze vinden vast wel ergens een stagiair.
Het probleem zit bovenin, en in de laag eronder. De rest zijn uitvoerders die hun best doen.
Ik zou eigenlijk willen voorstellen dat deze school wordt gesloten om de gehele IT-afdeling goed door te pluizen op gevoelige informatie die ze niet hadden mogen verzamelen. En dan een forse boete ervoor terwijl de in beslag genomen hardware wordt vernietigd omdat deze in een misdrijf is betrokken. En diegenen die verantwoordelijk waren voor dit IT-beleid zouden beboet moeten worden, eventueel met celstraffen.
Maar goed, misschien iets te extreem? Hoe dan ook, het beleid van deze school moet grondig onderzocht worden.
Raad van toezicht, bestuur directie, hoofd IT, enz.
Buitgemaakte gegevens zijn ergens, niemand weet waar, wie er over kan beschikken, wat zijn de gevolgen voor de houders van deze gegevens.
Jij hebt niet gelezen hoe oud de data was op het moment van stelen. Veel te oud. Hoe dan ook, bijzondere persoonsgegevens vereisen bijzondere bescherming en daar is hier geen sprake van. Wie bewaart die data nou jarenlang op een publieke server? HAN heeft hier op bijzonder wijze incompetentie getoond.
Jij hebt niet gelezen hoe oud de data was op het moment van stelen. Veel te oud. Hoe dan ook, bijzondere persoonsgegevens vereisen bijzondere bescherming en daar is hier geen sprake van. Wie bewaart die data nou jarenlang op een publieke server? HAN heeft hier op bijzonder wijze incompetentie getoond.
Die data is daar waarschijnlijk ooit neergezet door een onderzoeker. Een onderzoeker die nu al lang niet meer bij die instelling werkt. En op die server staat een enorme bulk data waarvan niemand weet wat het allemaal is, van wie het allemaal is, hoe belangrijk/waardevol het is. Dus niemand durft het op te ruimen, want als je weggooit blijkt het opeens wel belangrijk/waardevol. Dus blijft het eeuwig bestaan.
niet versleutelde wachtwoorden
En dan dit:
"De hack vond plaats op de server die al achter zwaar getroffen maatregelen zit."
Als je de wachtwoorden niet hasht vraag ik me af wat dan de andere zware maatregelen dan zijn.
Jij hebt niet gelezen hoe oud de data was op het moment van stelen. Veel te oud. Hoe dan ook, bijzondere persoonsgegevens vereisen bijzondere bescherming en daar is hier geen sprake van. Wie bewaart die data nou jarenlang op een publieke server? HAN heeft hier op bijzonder wijze incompetentie getoond.
Die data is daar waarschijnlijk ooit neergezet door een onderzoeker. Een onderzoeker die nu al lang niet meer bij die instelling werkt. En op die server staat een enorme bulk data waarvan niemand weet wat het allemaal is, van wie het allemaal is, hoe belangrijk/waardevol het is. Dus niemand durft het op te ruimen, want als je weggooit blijkt het opeens wel belangrijk/waardevol. Dus blijft het eeuwig bestaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.