De Autoriteit Persoonsgegevens (AP) legt HAN University of Applied Sciences (HAN) een boete op van 175.000 euro voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de HAN in het verleden onvoldoende maatregelen heeft genomen om persoonsgegevens van onder meer studenten en werknemers goed te beveiligen.

De AP startte het onderzoek in 2021 naar aanleiding van een hack bij de HAN en schikt nu de zaak met de hogeschool. De HAN zal geen bezwaar aantekenen tegen de boete. De HAN meldde in 2021 een datalek bij de AP. Een hacker had zich via een webformulier toegang verschaft tot een webserver en een databaseserver van de onderwijsinstelling. De hacker dreigde vervolgens de gegevens openbaar te maken en heeft bij de HAN tevergeefs losgeld geëist. Het ging onder meer om persoonsgegevens, zoals adressen, namen in combinatie met wachtwoorden of burgerservicenummers (BSN).

Beveiliging niet goed afgestemd op risico’s

Om persoonsgegevens goed te beschermen, moet de organisatie die deze gegevens bewaart en gebruikt in kaart brengen welke risico’s daarmee gepaard gaan. Ook moet de organisatie beoordelen wat de gevolgen kunnen zijn als die risico’s werkelijkheid worden. Op basis daarvan moet de organisatie beschermende maatregelen nemen.
De AP heeft geconstateerd dat het bij de HAN hier misging. De digitale beveiliging van de betrokken servers was onvoldoende afgestemd op de risico’s. Ook waren de toegangsrechten van een gebruikersaccount op de databaseserver helemaal niet beperkt. Daardoor kon een kwetsbaarheid in één applicatie op de webserver leiden tot toegang tot alle gegevens in de databaseserver. Het datalek vormt op zichzelf geen overtreding van de AVG.

Tekortgeschoten

De HAN erkent dat het beveiligingsniveau van de persoonsgegevens op de betreffende servers niet op orde was en dat de hogeschool hiermee de AVG heeft overtreden. Tijdens en na het onderzoek heeft de HAN herstelmaatregelen uitgevoerd om de tekortkomingen te verhelpen. Daarmee heeft de HAN de geconstateerde overtreding beëindigd.
De AP legt de HAN een boete op van 175.000 euro. Bij het bepalen van de hoogte heeft de AP rekening gehouden met een aantal omstandigheden. Zo heeft de AP meegewogen dat de HAN zich actief heeft ingezet om de gevolgen voor betrokkenen in kaart te brengen en deze waar mogelijk weg te nemen. Ook heeft de HAN de digitale weerbaarheid versterkt.
De AP waardeert het dat de HAN zich, vanuit de maatschappelijke rol als kennisinstelling, heeft ingezet en zal blijven inzetten om andere organisaties te laten leren van de gemaakte fouten. Zo heeft de HAN voorlichting gegeven aan andere organisaties. In het verlengde daarvan zal de HAN in 2026 een congres organiseren.