De Autoriteit Persoonsgegevens heeft de Hogeschool van Arnhem en Nijmegen (HAN) wegens de slechte beveiliging van persoonsgegevens, wat leidde tot een gevoelig datalek waarbij de gegevens van honderdduizenden mensen op straat kwamen te leggen, een boete van 175.000 euro opgelegd. In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen.

De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond. Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.

SQL-injection

De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren. De Autoriteit Persoonsgegevens deed onderzoek naar het datalek en stelt vast de onderwijsinstelling de persoonsgegevens onvoldoend had beschermd.

Zo was de beveiliging van de betrokken servers onvoldoende afgestemd op de risico’s. Ook waren de toegangsrechten van een gebruikersaccount op de databaseserver helemaal niet beperkt. Daardoor kon een kwetsbaarheid in één applicatie op de webserver leiden tot toegang tot alle gegevens in de databaseserver. "Uit de onderzochte programmacode van de bij het datalek betrokken applicatie blijkt dat er ten tijde van belang weliswaar enige aandacht was voor SQL-injectie, maar dat dit niet consequent het geval was", zo stelt de AP.

De HAN heeft aan de AP verklaard dat haar programmeurs zich bewust waren van het risico van SQL-injection en dat daarover een zogenoemd best practices beleid bestond. De HAN kon echter niet reproduceren of bij het maken van het specifieke formulier dat de hacker gebruikte voor het datalek een risicoanalyse is gemaakt en of het best practices beleid toen is toegepast. De HAN heeft het beleid ook niet overgelegd aan de AP.

Boete

Bij het bepalen van de hoogte van de boete heeft de AP rekening gehouden met de maatregelen die de HAN na het datalek heeft getroffen en dat het de digitale weerbaarheid heeft versterkt. "Ondanks dat de HAN altijd al beveiligingsmaatregelen had - zoals de AP ook vastgesteld heeft - bleken de bestaande maatregelen niet in alle gevallen toereikend. De HAN betreurt dit, heeft dit verbeterd en monitort haar beveiliging voortdurend conform de landelijke kaders", aldus de onderwijsinstelling in een reactie op de boete. Die heeft aangegeven niet tegen de boete in beroep te gaan.