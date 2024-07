Vijf studenten van de Hogeschool van Arnhem en Nijmegen (HAN) krijgen wegens een datalek dat zich in 2021 voordeed een schadevergoeding van driehonderd euro. In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.

Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen. De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren.

Vorig jaar oktober oordeelde de kantonrechter dat de hogeschool een student wegens het datalek een schadevergoeding van driehonderd euro moet betalen. Kort daarna bleek dat tientallen huidige en voormalige studenten van de HAN overwogen een claim in te dienen tegen de onderwijsinstelling. Volgens De Gelderlander moesten studenten aan strenge voorwaarden voldoen, wat er uiteindelijk voor zorgde dat in totaal zeven slachtoffers een claim indienden.

De juridische afdeling van de HAN oordeelde dat vijf van hen op basis van de uitspraak van de rechter recht hebben op een vergoeding. Eén van deze studenten maakt aanspraak op nog eens driehonderd euro. Aanleiding is een datalek in januari van dit jaar, waarbij gedetailleerde medische gegevens van meerdere studenten op de aanwezigheidslijst voor een tentamen terecht waren gekomen.