Hogeschool moet oud-student schadevergoeding betalen wegens datalek
De Hogeschool Arnhem-Nijmegen (HAN) moet een oud-student een schadevergoeding van driehonderd euro betalen wegens een door SQL-injection veroorzaakt datalek waarbij de gevoelige gegevens van studenten en oud-studenten werden gestolen. Volgens de kantonrechter heeft de hogeschool de AVG geschonden omdat het niet vertelde hoe het de persoonsgegevens van de oud-student beveiligde.
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. Van de oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt.
De oud-student eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.
SQL-injection
De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. Verder is in de door de hogeschool zelf overgelegde “Leerevaluatie datalek september 2021" als aandachtspunt vermeld dat het volwassenheidsniveau van de hogeschool met betrekking tot de privacy/AVG aandacht verdient. Ook staat daarin dat "de crisis enkele kwetsbaarheden van de hogeschool toont in relatie tot het thema privacy en cyber".
De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd. "Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open", oordeelt de rechter.
Schadevergoeding
De oud-student eiste een vergoeding van duizend euro wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.
"Zijn vertrouwen heeft dus een flinke deuk opgelopen. Ook heeft hij aangegeven dat hij (sterke) emotionele reacties had op het gebeurde (boosheid, spanning en vernedering) en dat hij zich zorgen maakt over wat er met de gegevens wordt gedaan als iemand ze in handen krijgt. Die onzekerheid vreet aan hem", aldus de rechter. Daarnaast zorgt het datalek ervoor dat hij nu nog minder snel gegevens met hulpverleners deelt.
Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van driehonderd euro uit.
Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.
Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.
Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.
Dat gaat tegen de basis rechtsprincipes in. Het bedrag lijkt me daarmee verband te houden.
Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.
Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.
Onschuld valt ook niet aan te tonen als je schuldig bent. Het rapport is daar duidelijk in. SQL injection, kom op zeg. Maar goed, dat de student "vernedering" voelt... je kunt ook overdrijven. Mijn e-mailadres komt ook voor op HaveIBeenPwned, net zoals het e-mailadres van miljoenen anderen. Je moet wel een heel vlotte babbel hebben om hard te maken dat je daardoor vernederd bent.
Wat moet een hogeschool met "politieke voorkeur" ?
Volgens de AVG mogen alleen die gegevens worden verwerkt die nodig zijn voor het functioneren van de instelling. Of moeten de VVD getrouwen in de rechter vleugel en de PvdA/Groen Link getrouwen in de linker vleugel studeren?
Eindelijk een rechter met een goed inzicht. Maar dan weer slecht dat de schade zo laag wordt ingeschat.
Eerder een rechter die de schuldig verklaring uitspreekt omdat onschuld niet aangetoond is.
Onschuld valt ook niet aan te tonen als je schuldig bent. Het rapport is daar duidelijk in. SQL injection, kom op zeg. Maar goed, dat de student "vernedering" voelt... je kunt ook overdrijven. Mijn e-mailadres komt ook voor op HaveIBeenPwned, net zoals het e-mailadres van miljoenen anderen. Je moet wel een heel vlotte babbel hebben om hard te maken dat je daardoor vernederd bent.
Wat moet een hogeschool met "politieke voorkeur" ?
Volgens de AVG mogen alleen die gegevens worden verwerkt die nodig zijn voor het functioneren van de instelling. Of moeten de VVD getrouwen in de rechter vleugel en de PvdA/Groen Link getrouwen in de linker vleugel studeren?
Dat verbaasde mij ook erg.
uit https://privacy-web.nl/nieuws/hacker-han-had-toegang-tot-medische-gegevens-studenten/
Blijkbaar mogelijk de rauwe data van een enquete , voor een (hopelijk beloofde en uitgevoerde) anonimisering.
Waarom die data in eerste instantie nog wel gekoppeld was aan student snap ik dan niet - het lijkt me een uitvoeringsfout.
Modellen waarin je per deelnemer een uniek token (or url ofzo) genereert en die koppeling naar deelnemer direct wist bestaan dacht ik wel voor enquetes.
(je wilt wel enigszins je best doen dat alleen je doelgroep, en 1x per persoon kan invullen, want 'pollfucks' zijn natuurlijk een bekende uitdaging )
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.