Tientallen HAN-studenten overwegen claim wegens datalek
Tientallen huidige en voormalige studenten van de Hogeschool van Arnhem en Nijmegen (HAN) overwegen een claim in te dienen tegen de onderwijsinstelling wegens een groot datalek waarbij de gevoelige gegevens van studenten en oud-studenten werden gestolen. In oktober oordeelde de kantonrechter dat de hogeschool een student wegens het datalek een schadevergoeding van driehonderd euro moet betalen.
Naar aanleiding van de uitspraak hebben zich de laatste twee maanden al meer dan tweehonderd (oud-)studenten bij studentenvakbond Akku gemeld met een vraag om hulp. Tientallen van deze studenten overwegen nu ook om een claim tegen de hogeschool in te dienen. Volgens Akku hebben zo'n zestig studenten een 'relevante zaak', zo laat de studentenvakbond tegenover De Gelderlander weten.
Akku had eerst om een collectieve regeling gevraagd, maar daar wil de HAN niet aan. "Hoe we iedere individuele zaak afhandelen is privacygevoelig, juist omdat het over individuele omstandigheden gaat”, zegt een HAN-woordvoerder tegenover De Gelderlander. De onderwijsinstelling liet studentenvakbond Akku weten dat het schadeclaims ‘zorgvuldig’ en ‘op maat’ gaat behandelen.
Zaak oud-student
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. Van de oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt.
De oud-student eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.
SQL-injection
De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. Verder is in de door de hogeschool zelf overgelegde “Leerevaluatie datalek september 2021" als aandachtspunt vermeld dat het volwassenheidsniveau van de hogeschool met betrekking tot de privacy/AVG aandacht verdient. Ook staat daarin dat "de crisis enkele kwetsbaarheden van de hogeschool toont in relatie tot het thema privacy en cyber".De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd. "Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open", oordeelt de rechter.
Schadevergoeding
De oud-student eiste een vergoeding van duizend euro wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, kwam de kantonrechter op een schadebedrag van driehonderd euro uit. AKKU was tevreden met de uitspraak van de rechter en denkt dat die positieve gevolgen voor het thema privacy in het hoger onderwijs heeft.
"Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open", oordeelt de rechter.
De maatstaf die de rechter nu suggereert (en in aanleg ook al hanteert), is dat als "het beveiligingsniveau passend is", het eigenlijk geen inbreuk op de AVG meer zou zijn als er toch data lekken. Op die manier wordt privacy totaal niet meer serieus genomen.
De studenten hadden niet de keuze om zelf, op basis van een geïnformeerde afweging, in vrijwilligheid te besluiten of ze het "beveiligingsniveau" voldoende vonden om hun data aan de hogeschool toe te vertrouwen. Hieruit had de rechter moeten concluderen dat ELK lek van de betreffende gegevens een inbreuk op de AVG vormt. Maar ja, dat zou serieuze consequenties voor de verwerkingsverantwoordelijke mee kunnen brengen, en dat willen we in Nederland (en bijna overal elders) beslist niet.
Wel de macht over de gegevens, maar niet de verantwoordelijkheid als er iets mis gaat. Zeker geen serieuze herstelbetalingen.
Er lekken inmiddels zoveel data, "bijzonder" (art. 9 AVG) of "niet bijzonder", dat het bij misbruik vaak niet meer valt na te gaan door welk lek de persoonsgegevens oorspronkelijk in verkeerde handen hebben kunnen vallen en uiteindelijk in handen zijn gevallen van de misbruiker. Als er aan het strand een stuk plastic aanspoelt, of als er in het schuim van de branding giftige PFAS-deeltjes worden aangetroffen, is het ook onmogelijk om de precieze bron daarvan vast te stellen en is er dus niemand verantwoordelijk.
De overheid raadt ouders dan aan om tegen hun kinderen te zeggen dat ze bij zwemmen in zee "geen schuim moeten inslikken" en na afloop van een stranddag goed moeten douchen (maar niet te lang, want dat is "slecht voor het milieu"). Dat is de manier waarop in Nederland de overheid "verantwoordelijkheid neemt".
Nee, instellingen zoals de Hogeschool Arnhem Nijmegen (HAN) èn de rechter voegen zich in de bijna eindeloos lange rij van doodgravers van de privacy. Als het aan deze mensen en instanties ligt, is privacy dood en begraven. Dat zij daar zo mee omgaan, willen ze van zichzelf niet weten. Net zo min als een producent van PFAS-deeltjes die in het milieu terecht komen, of diens opdrachtgever, van zichzelf willen weten verantwoordelijk te zijn voor allerlei degradatie in de lichamen van mensen, die bijdraagt aan ziekte en voortijdige sterfte.
Het zijn kantoormoordenaars (Schreibtischmörder). En ja, ook met hen kun je prima een biertje drinken in het café, het zijn aardige mensen.
Ik kan prima met ze omgaan, zolang ik ze niet laat blijken wat ik van ze weet en hoe ik werkelijk over ze denk. Als ik mijn mond daarover houd, vinden ze mij ook heel aardig. Ik trek mijn "glimlachende schorpioenenpak" aan een socialiseer met andere glimlachende schorpioenen.
M.J.
"Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open", oordeelt de rechter.
De maatstaf die de rechter nu suggereert (en in aanleg ook al hanteert), is dat als "het beveiligingsniveau passend is", het eigenlijk geen inbreuk op de AVG meer zou zijn als er toch data lekken. Op die manier wordt privacy totaal niet meer serieus genomen.
De studenten hadden niet de keuze om zelf, op basis van een geïnformeerde afweging, in vrijwilligheid te besluiten of ze het "beveiligingsniveau" voldoende vonden om hun data aan de hogeschool toe te vertrouwen. Hieruit had de rechter moeten concluderen dat ELK lek van de betreffende gegevens een inbreuk op de AVG vormt. Maar ja, dat zou serieuze consequenties voor de verwerkingsverantwoordelijke mee kunnen brengen, en dat willen we in Nederland (en bijna overal elders) beslist niet.
Wel de macht over de gegevens, maar niet de verantwoordelijkheid als er iets mis gaat. Zeker geen serieuze herstelbetalingen.
Er lekken inmiddels zoveel data, "bijzonder" (art. 9 AVG) of "niet bijzonder", dat het bij misbruik vaak niet meer valt na te gaan door welk lek de persoonsgegevens oorspronkelijk in verkeerde handen hebben kunnen vallen en uiteindelijk in handen zijn gevallen van de misbruiker. Als er aan het strand een stuk plastic aanspoelt, of als er in het schuim van de branding giftige PFAS-deeltjes worden aangetroffen, is het ook onmogelijk om de precieze bron daarvan vast te stellen en is er dus niemand verantwoordelijk.
De overheid raadt ouders dan aan om tegen hun kinderen te zeggen dat ze bij zwemmen in zee "geen schuim moeten inslikken" en na afloop van een stranddag goed moeten douchen (maar niet te lang, want dat is "slecht voor het milieu"). Dat is de manier waarop in Nederland de overheid "verantwoordelijkheid neemt".
Nee, instellingen zoals de Hogeschool Arnhem Nijmegen (HAN) èn de rechter voegen zich in de bijna eindeloos lange rij van doodgravers van de privacy. Als het aan deze mensen en instanties ligt, is privacy dood en begraven. Dat zij daar zo mee omgaan, willen ze van zichzelf niet weten. Net zo min als een producent van PFAS-deeltjes die in het milieu terecht komen, of diens opdrachtgever, van zichzelf willen weten verantwoordelijk te zijn voor allerlei degradatie in de lichamen van mensen, die bijdraagt aan ziekte en voortijdige sterfte.
Het zijn kantoormoordenaars (Schreibtischmörder). En ja, ook met hen kun je prima een biertje drinken in het café, het zijn aardige mensen.
Ik kan prima met ze omgaan, zolang ik ze niet laat blijken wat ik van ze weet en hoe ik werkelijk over ze denk. Als ik mijn mond daarover houd, vinden ze mij ook heel aardig. Ik trek mijn "glimlachende schorpioenenpak" aan een socialiseer met andere glimlachende schorpioenen.
M.J.
Een methode uit de tijd der Dino's die nog steeds gebruikt kan worden!
De maatstaf die de rechter nu suggereert (en in aanleg ook al hanteert), is dat als "het beveiligingsniveau passend is", het eigenlijk geen inbreuk op de AVG meer zou zijn als er toch data lekken. Op die manier wordt privacy totaal niet meer serieus genomen.
Volledige beveiliging bestaat simpelweg niet. Als dat je maatstaf is dan is verwerking van persoonsgegevens onmogelijk.
De maatstaf die de rechter nu suggereert (en in aanleg ook al hanteert), is dat als "het beveiligingsniveau passend is", het eigenlijk geen inbreuk op de AVG meer zou zijn als er toch data lekken. Op die manier wordt privacy totaal niet meer serieus genomen.
Volledige beveiliging bestaat simpelweg niet. Als dat je maatstaf is dan is verwerking van persoonsgegevens onmogelijk.
Nee, de AVG geeft in artikel 32 (en in bijbehorende overweging 83 en in paragraaf 5.2.4 van de Memorie van Toelichting bij de AVG) op hoofdlijnen criteria aan waaraan de beveiliging van persoonsgegevens moet voldoen, om het risico op bijvoorbeeld lekken klein genoeg te houden. Het artikel behelst dus een plicht voor de verwerkingsverantwoordelijke. Er wordt in het artikel niet gezegd dat als de verwerkingsverantwoordelijke aan die plicht voldoet, er opeens geen sprake meer zou kunnen zijn van een inbreuk op de AVG of op de privacy (het privéleven).
Uit artikel 32 valt dus niet af te leiden dat, als er in een concreet geval daadwerkelijk een lek plaatsvindt, dit opeens geen inbreuk op de AVG meer zou zijn. De AVG beoogt een "hoog, doeltreffend en volledig" niveau van bescherming te bieden. Bij ieder lek blijkt dat het betreffende niveau in dat concrete geval niet "doeltreffend" en niet "volledig" is. Met andere woorden, ook als de beveiliging van voldoende kwaliteit is, is een lek nog steeds een inbreuk op de AVG en op de privacy (het privéleven) van de betrokkene.
Vergelijk het met een auto, Als die beschikt over een autogordel en airbags en ook in alle andere opzichten voldoet aan de regels om gezondheidsrisico's voor de inzittenden te verkleinen, en er gebeurt op de weg toch een ongeluk waarbij de inzittenden gewond raken, dan kan uit de goede beveiliging van de auto niet worden afgeleid dat er geen inbreuk op de gezondheid van de inzittenden heeft plaatsgevonden.
De redenering: "We hebben voldoende proberen te voorkomen dat dit gebeurt, en dus kan het niet gebeurd zijn," is een drogredenering. Bovengenoemde rechter hanteert nu kennelijk deze drogredenering in bovengenoemde privacy-zaak. Dit is slechts één van de vele drogredeneringen die ik rechters heb zien toepassen omdat ze privacy niet echt serieus willen nemen, misschien omdat het ze aan voorstellingsvermogen ontbreekt wat het belang van privacy is en welk soort schade minder geprivilegeerde mensen kunnen lijden als hun privacy niet wordt beschermd.
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.