Hogeschool van Arnhem en Nijmegen meldt datalek met persoonsgegevens - update 2

De HAN meldt dat er persoonsgegevens zijn buitgemaakt bij een datalek bij de hogeschool. De precieze omvang van het datalek is nog onduidelijk; de HAN zegt dit nu te onderzoeken. Voor dit onderzoek werkt HAN met Fox-IT, zegt de hogeschool tegen Tweakers.

De hogeschool gaf op donderdag aan bericht te hebben gekregen dat 'persoonsgegevens in handen zijn gekomen van derden'. De HAN zegt direct maatregelen te hebben genomen en cybersecurityexperts te hebben ingeschakeld om de impact van het lek te kunnen achterhalen. Daarnaast is er contact met het Team High Tech Crime van de politie en is de Autoriteit Persoonsgegevens ingelicht.

Vrijdagochtend geeft de hogeschool aan dat het onderzoek nog gaande is en dat medewerkers en studenten per mail worden ingelicht. Studenten en medewerkers worden daarnaast aangeraden alert te blijven op phishingpogingen. Studenten of medewerkers wiens gegevens zijn buitgemaakt, worden door de school geïnformeerd. De HAN kon tegen Tweakers nog geen aanvullende details geven over het datalek, anders dan dat er samen wordt gewerkt met Fox-IT.

Update, 13:16 uur: De HAN bevestigt tegenover de NOS dat de hogeschool wordt afgeperst door een onbekende hacker. Om hoeveel geld het gaat en waarmee hij dreigt, is niet duidelijk.

Update, 09/09: In een update meldt de Hogeschool van Arnhem en Nijmegen dat de wachtwoorden van 4300 personen zijn buitgemaakt. Deze personen hebben volgens de Hogeschool een mail ontvangen waarin aangeraden wordt om de wachtwoorden te wijzigen.

Reacties (105)

TheNameIsBart

3 september 2021 10:52

Dit is de e-mail die studenten hebben ontvangen:

Beste student,

Op 1 september hebben we bericht ontvangen dat er persoonsgegevens in handen zijn gekomen van derden. De HAN heeft direct maatregelen genomen en onafhankelijke experts ingeschakeld die met ons onderzoeken wat de exacte impact is. Daarnaast is er contact met het Team High Tech Crime van de politie en er is melding gemaakt bij de Autoriteit Persoonsgegevens. We informeren zo snel mogelijk de mensen wiens gegevens het betreft.

Wees de komende tijd extra alert op verdachte berichten en pogingen tot phishing.

Maak je je zorgen of heb je vragen, mail naar privacy@han.nl.

Op www.han.nl/datalek informeren we je over de laatste stand van zaken.

Met vriendelijke groet,

College van Bestuur

 

Rob Verhofstad

Bridget Kievits

Yvonne de Haan (tevens voorzitter Crisismanagementteam)

Jolijter @TheNameIsBart • 3 september 2021 11:02

Als alumnus heb ik nog niet zo'n mail gehad.

LiquoriceTwist @Jolijter • 3 september 2021 12:47

Idem. Ik weet dus niet zeker wat het beleid van de HAN is als het gaat om het bewaren van je gegevens. Scholen mogen zelf een termijn aangeven hoe lang je gegevens na afstuderen in hun systeem blijft staan. Ik ga uit van twee- of anders drie jaar. Maar ik hoop toch echt dat ze dat dan nog wel communiceren. Ik zit niet op een gare rekening op de mat te wachten of iets dergelijks.

TheekAzzaBreek @LiquoriceTwist • 3 september 2021 13:40

Idem. Ik weet dus niet zeker wat het beleid van de HAN is als het gaat om het bewaren van je gegevens. Scholen mogen zelf een termijn aangeven hoe lang je gegevens na afstuderen in hun systeem blijft staan.

Dat is niet juist.
Het ministerie eist dat gegevens met betrekking tot diploma's (inclusief de onderbouwing daar van) 7 jaar bewaard blijven (of 10, weet ik even niet uit het hoofd).

LiquoriceTwist @TheekAzzaBreek • 3 september 2021 14:18

Als ik kijk bij de AVG wetgeving kom ik op het volgende uit;

“Wat zegt de AVG zelf eigenlijk over het bewaartermijnen?

De AVG noemt geen bewaartermijnen, maar zegt wel dat je als school verplicht bent vast te stellen hoe láng je persoonsgegevens bewaart. Als er geen andere wetgeving van toepassing is, mag je die termijn zelf bedenken, mits je die goed kunt beargumenteren en dat ergens opschrijft.”

Als het dan inderdaad zo is dat gegevens betrekking tot de diploma dan tien jaar in de systemen moeten blijven, dan zijn heel veel mensen de lul. Wat een zooi. En het was al zo’n drama om daar te studeren.

[Reactie gewijzigd door LiquoriceTwist op 26 juli 2024 20:07]

CroVaXNL @TheekAzzaBreek • 3 september 2021 15:55

Sterker nog: Diplomagegevens moeten 50 jaar bewaard blijven.

Er is een selectielijst vanuit het ministerie aangedragen over bewaartermijnen van bepaalde gegevens van studenten. Het meeste spul hoeft maar max 2 tot 3 jaar na studie bewaard te blijven.

R4gnax

Datalek
Privacy

@LiquoriceTwist • 3 september 2021 13:10

Idem. Ik weet dus niet zeker wat het beleid van de HAN is als het gaat om het bewaren van je gegevens. Scholen mogen zelf een termijn aangeven hoe lang je gegevens na afstuderen in hun systeem blijft staan. Ik ga uit van twee- of anders drie jaar. Maar ik hoop toch echt dat ze dat dan nog wel communiceren. Ik zit niet op een gare rekening op de mat te wachten of iets dergelijks.

Kan ook nog erger. Ik ben al zeker een decennium geleden afgestudeerd bij de Technische Universiteit Eindhoven - maar ontvang bij mijn ouders thuis nog steeds allerlei alumni-prut waar niet vanaf te komen is. (Vaak creatief vormgegeven bedelbrieven om te doneren aan één of ander onderzoek.) En ja; bij mijn ouders, want pogingen om adresgegevens te laten wijzigen liepen in het verleden ook op niets uit.

Ergens waarschijnlijk ook maar goed, want de afdeling achter de administratie voor alumni heeft er ook jarenlang een handje van gehad om mails te gaan sturen die vragen of de NAW gegevens waar ze over beschikten, nog courant waren. Met alle gegevens die ze hadden heel behulpzaam natuurlijk in het mailtje er bij gezet. Verstuurd via een bulk e-mail provider die netjes in hun gebruiksvoorwaarden had staan dat er geen mail met gevoelige gegevens verstuurd mocht worden via die dienst; en waar de TU/e dus gewoon lak aan had. En natuurlijk hadden al die mails zoals gewoon is bij dat soort diensten, web-based versies ( "open hier in je browser") vanuit het open internet bereikbaar.

Olè.

[Reactie gewijzigd door R4gnax op 26 juli 2024 20:07]

CH4OS

Datalek

@R4gnax • 3 september 2021 14:22

Als je dergelijke berichten niet wilt, dan dien je toch een GDPR-verzoek in met het recht om vergeten te worden?

[Reactie gewijzigd door CH4OS op 26 juli 2024 20:07]

CUnknown @CH4OS • 3 september 2021 17:33

In de praktijk zijn bedrijven helemaal niet ingericht om dat soort verzoeken te herkennen en adequaat af te handelen. Vaak zijn de gegevens ook nog eens over allerlei systemen verspreid zodat dit soort verzoeken moeten worden afgehandeld ahv protocollen e.d.

CH4OS

Datalek

@CUnknown • 4 september 2021 03:03

Maakt niet uit, wanneer jij je beroept op het recht om vergeten te worden, heeft een partij de plicht om daar binnen afzienbare tijd adequaat op te reageren.

CUnknown @CH4OS • 6 september 2021 10:04

Jazeker, maar het gebeurt gewoon niet altijd in de praktijk. Wat ga je als particulier dan doen? Dreigen met juridische stappen? Is toch tegen dovemansoren, want de helpdesk kan dat vaak niet inschatten en krijg je een onzinantwoord.

CH4OS

Datalek

@CUnknown • 6 september 2021 11:03

De helpdesk is dan ook niet degene bij wie je moet zijn voor het verzoek, klachten erover lijkt mij dus ook niet aldaar op de plaats. Een bedrijf heeft een privacy officer, daar dien je je tot te wenden bij een GDPR/AVG verzoek. De helpdesk zal dus moeten doorverwijzen naar de privacy officer.

Juridische stappen ondernemen omdat men jouw GDPR/AVG verzoek niet of te laat uitvoert, is natuurlijk ook wat overkill. Je kunt in zulke gevallen altijd een klacht indienen bij de Autoriteit Persoonsgegevens. En in de tussentijd hou je contact met de privacy officer.

CUnknown @CH4OS • 6 september 2021 11:16

Je mist mijn punt. Ik ken de theorie, en het is prijzenswaardig dat je die goed kent, maar dat is niet hoe het op dit moment gaat in mijn ervaring.

CH4OS

Datalek

@CUnknown • 6 september 2021 11:19

Dat het niet zo gaat in de praktijk was redelijk onvermijdelijk. Bedrijven zitten immers er niet op te wachten om de Wet tot op de letter in dit soort zaken te volgen. Het kost ze alleen maar geld, terwijl aan de andere kant het weinig extra kost, maar goed, elke euro besparing is er 1. Een bedrijf mag in elk geval nooit weglopen voor zijn (wettelijke) verantwoordelijkheden

Dus hoewel je dan wel met de gebakken peren zit, kan een bedrijf dat consequent niet meewerkt of weigert, (zeker bij voldoende klachten bij het AP) een fikse boete verwachten.

InjecTioN

@TheNameIsBart • 3 september 2021 11:02

Weet iemand hoe het zit met studenten die recentelijk afgestudeerd zijn? Die hebben mogelijk geen email-adres meer van het HAN, maar daar is mogelijk nog wel data van aanwezig èn dus mogelijk gelekt!

@sp3c0ps Daar gaat het niet om. Er zijn gegevens van scholieren c.q. klanten gelekt. Een credit card is absoluut niet de enige vorm van gevoelige informatie. Dat betreft namelijk alleen geld.

[Reactie gewijzigd door InjecTioN op 26 juli 2024 20:07]

Vinnie.1234 @InjecTioN • 3 september 2021 12:19

Ben ik ook wel erg benieuwd naar, vorig jaar afgestudeerd en ik kan inderdaad nog gewoon inloggen in de systemen...

Aardwolf

@Vinnie.1234 • 3 september 2021 13:54

Klopt. Ik ben daar nu 9 jaar geleden afgestudeerd en kon in 2018 nog gewoon inloggen. Ik heb toen eind 2018 daarover contact opgenomen waarom dit kon en of ze de toegang niet beter konden afsluiten. De wachtwoorden konden niet zelf worden aangepast en waren erg simpel, tenminste bij mij dan: alleen kleine letters en dan 6 karakters.

Mailtje dat ik toen stuurde:

Hallo,
Ik ben bezig geweest met opschonen van accounts en mij viel op dat ik na ruim 6 jaar nog steeds kan inloggen bij de HAN. Wel zijn alle rechten tot diensten en services ingetrokken, maar is dit niet een onnodig risico met een zwak wachtwoord van nog geen 30bits? Waarom kan ik nog inloggen als ik verder geen enkele rechten meer heb, welk nut heeft dat voor mij/de HAN?

Reactie die ik toen van de Servicedesk terugkreeg was als volgt:

Beste ...,
Het is inderdaad mogelijk om via de HANaccount pagina in te loggen.
De ICT rechten zijn er echter vanaf gehaald.
Het account blijft altijd bruikbaar voor als je weer zou komen studeren of werken bij de HAN.
Dit omdat het studentnummer of BSN nummer hieraan gekoppeld is.
Met vriendelijke groet,

Ik heb daarna nog gevraagd of mijn gegevens 100% zijn afgeschermd mocht iemand mijn wachtwoord kraken. Want rechten is wat anders dan dingen inzien waar geen rechten voor nodig zijn. Daar heb ik helaas nooit een reactie op ontvangen. Blijkbaar vonden ze me een zeur.

Zojuist weer geprobeerd. Ik kan zelfs nu nog inloggen op het HANaccount (link). Wel zie ik veel minder informatie dan toentertijd, valt het wachtwoord en correspondentie mailadres nu wel aan te passen. Zo te zien hebben ze toch een beetje geluisterd. Ik heb echter nooit een update gekregen dat dit kon.

Ik blijf het onverantwoordelijk vinden. Wie gaat überhaupt na afstuderen al die accountdata bewaren en wanneer wel: jaar na jaar inloggen om te kijken of het nog wel veilig is terwijl je er nooit meer komt? Ze kunnen die accounts toch ook bevriezen, offline houden en weer activeren als je terug komt studeren... als het dan zo belangrijk is om te behouden. Wie weet leren ze het nu, nu ze massaal in het nieuws zijn. Hopelijk niet teveel schade voor mensen die het betreft.

[Reactie gewijzigd door Aardwolf op 26 juli 2024 20:07]

Vinnie.1234 @Aardwolf • 3 september 2021 14:14

Ja het is best wel schokkend, tevens omdat je hierna alleen op een knop hoeft te drukken om mee rechten te krijgen. Ik heb mijn studentenpas nog in de la liggen, dus het zal mij niet verbazen dat ik ze er van kan overtuigen dat ik nog steeds studeer aan de opleiding, maar bijvoorbeeld mijn studiekosten nog niet zijn doorgevoerd.

Gezien er nog oud klasgenoten op school zitten verwacht ik dat dit helemaal geen moeite gaat opleveren...

Ik ben bang dat de schade gigantisch gaat zijn, zoals je al aangaf is ook je BSN nummer er aan gekoppeld, dat is niet iets wat ik graag op straat zie verschijnen. Ik heb immers ook geen mogelijkheid dit aan te passen...

Heb de HAN al om opheldering gevraagd, ook waarom oud studenten niet zijn geïnformeerd, want het lijkt toch ook dat deze gegevens gelekt zijn. Ze hebben de email adressen gewoon, dus beter een mailtje te veel dan te weinig toch?

Aapje @InjecTioN • 3 september 2021 11:50

Sterker nog, als je de login gegevens van dat cijfer systeem van ze nog weet.. Je kan nog inloggen... Dus ze houden de gegevens wat mij betreft veel te lang vast.

wildhagen

Nederland
Beveiliging en antivirus
Privacy
Datalek

@sp3c0ps • 3 september 2021 11:15

Dat is zeker boeiend, want ook al is het geen creditcard data, het kan nog wel degelijk grote gevolgen hebben. Als er bijvoorbeeld BSN nummers tussen zitten maakt het identiteitsfraude mogelijk, met alle serieuze gevolgen vandien.

Bankrekeninggegevens, eventuele verslagen van gesprekken tussen leerlingen en bijvoorbeeld schoolpsychologen, coaches etc, wil je ook niet op straat hebben liggen.

Elk lek van persoonlijke gegevens is kwalijk en onwenselijk, niet alleen als er creditcard-gegevens betrokken zijn,

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland

@wildhagen • 3 september 2021 11:32

Elk lek van persoonlijke gegevens is kwalijk en onwenselijk, niet alleen als er creditcard-gegevens betrokken zijn,

Het is zelfs andersom. Voor consumenten zijn enkel creditcardgegevens niet zo interessant als dat uitlekt. Creditcardmaatschappijen vergoeden 100% als de schuld niet bij kaarteigenaar ligt, en werken actief mee in onderzoek en het terugdraaien van frauduleuze transacties.

R4gnax

Datalek
Privacy

@The Zep Man • 3 september 2021 13:04

Inderdaad. Creditcardlek is zeg maar het minst zorgwekkende wat je kunt hebben.
Kaart laten blokkeren; nieuwe kaart aanvragen; opgelost. Tien minuten werk: whoop-tee-FFing-doo...

Je NAW gegevens vernieuw je alleen niet zo makkelijk. Zin om even je naam te laten wijzigen of te gaan verhuizen om identiteitsdiefstal te voorkomen? Of nog erger: je BSN. Die vernieuwt de overheid namelijk gewoon niet - op zeer geisoleerde gevallen zoals getuigenbescherming usw. na.

[Reactie gewijzigd door R4gnax op 26 juli 2024 20:07]

Bender @sp3c0ps • 3 september 2021 11:14

Maar mogelijk dus wel je bsn wat erger is dan je creditcard nummer...

Z80 @Bender • 3 september 2021 17:55

??? Waarom is het lekken van een BSN erger dan? Bij elke zzper staat het bsn nummer gewoon op de rekening. Dit is/was namelijk zijn btw nummer.
Tevens staat dit nummer op elk paspoort. Bij de huidige op een ander pagina, maar nog steeds leesbaar.
Bij de inentingsronde door de GGD was er ook een id controle incl het bsn. Dit nummer is dus ook in de ggd systemen terug te vinden.

En bedrijf dat ID fraude toelaat met enkel een bsn nummer en naam zou direct gesloten moeten worden. En alle schade die er uit het handelen is voorgekomen vergoeden.

Bender @Z80 • 3 september 2021 18:28

Je creditcard informatie is verzekerd.
Identiteitsfraude niet.

En dat een ZZPer zijn BSN als BTW nummer heeft is achterhaald want dat is helemaal niet zo.

En natuurlijk staat dat op je paspoort...waar denk je dat bsn voor is? En de GGD is een overheidsorgaan.. beetje rare vergelijkingen die je maakt.

Z80 @Bender • 3 september 2021 20:15

Identiteitsfraude met een BSN nummer zou niet moeten kunnen Punt.
Dit is oorspronkelijk enkel een belasting nummer. Waar inmiddels ook wat andere zaken aan zijn gehangen. Identificeren enkel en alleen op naam plus dit nummer is er GEEN van.

BSN op een paspoort is nergens goed voor. Er kan op tal van andere manieren op ID gecontroleerd worden. Niet op enkel een nummer.

En het GGD gebeuren. Dit is een lappendeken zonder centrale organisatie. Tijdens de vaccinatie ronden zijn veel mensen ingezet zonder screening. Die konden zonder enige beperking bij alle gegevens.
Als dat BSN zo ontzettend gevaarlijk is in verkeerde handen had dit nooit voor deze mensen zichtbaar mogen zijn.

jaenster

@sp3c0ps • 3 september 2021 14:36

nvm

[Reactie gewijzigd door jaenster op 26 juli 2024 20:07]

glennoo @TheNameIsBart • 3 september 2021 12:09

Heel leuk allemaal maar ik heb nog geen enkele mail ontvangen. Schijnbaar gaat er iets goed mis dat ik er via Tweakers achter moet komen.

redslow @TheNameIsBart • 3 september 2021 12:43

Als oud student tot vorig jaar niks ontvangen. Ben benieuwd of ze de archieven ook te pakken hebben.

wildhagen

Nederland
Beveiliging en antivirus
Privacy
Datalek

3 september 2021 13:09

Er is nu een hacker in beeld, kennelijk wordt de HAN actief afgeperst:

Een onbekende perst de hogeschool van Arnhem en Nijmegen af. Hij heeft mogelijk data van studenten en medewerkers in handen en eist een onbekend bedrag. Dat meldt een bron aan de NOS en een woordvoerder van de HAN bevestigt dat.

Wat de hacker precies eist, is ook onbekend, net als wat hij dreigt te doen als er niet wordt betaald. Mogelijk dreigt hij met publicatie van de gegevens die hij heeft buitgemaakt. Van ransomware, waarbij bestanden worden gegijzeld die pas weer worden teruggegeven na betaling van losgeld, is voor zover bekend geen sprake.

De omvang van het datalek is nog niet bekend. Gisteravond zou de oorzaak van het lek nog niet zijn gevonden.

De hogeschool meldt op zijn website dat het onderzoek in volle gang is. Studenten en medewerkers wordt opgeroepen om alert te zijn op phishing.

Zie https://nos.nl/artikel/23...van-arnhem-en-nijmegen-af

Nog niets bekend over de manier van binnenkomen dus, alleen dat het geen ransomware schijnt te zijn.

[Reactie gewijzigd door wildhagen op 26 juli 2024 20:07]

Verwijderd 3 september 2021 11:24

In dit nu.nl artikel van vanochtend vertelt Tim Walree, die in juni op dit onderwerp promoveerde aan de Radboud Universiteit, dat het bijna onmogelijk is om een schadevergoeding te krijgen als jouw gegevens zijn gelekt - terwijl jij risico's loopt daardoor.

Er zijn m.i. veel te veel datalekken (waarbij persoonsgegevens in verkeerde handen vallen of kunnen vallen). Dus worden er door te veel partijen teveel persoonsgegevens verzameld en/of worden deze onvoldoende beschermd.

Kennelijk zijn de uiteindelijke (financiële) risico's voor dergelijke partijen te laag om serieuze maatregelen te nemen die dit soort (met name grootschalige) lekken helpen voorkomen.

Uit genoemd nu.nl artikel:

Hij [Tim Walree] pleit er daarom voor dat rechters makkelijker een schadevergoeding toekennen als gegevens op straat belanden. Daarvoor kijkt hij uit naar toekomstige uitspraken van het Hof van Justitie van de Europese Unie.

"Oostenrijkse rechters hebben het Hof gevraagd of een datalek op zichzelf al kan leiden tot een schadevergoeding. Dus ook als het niet per se concrete gevolgen heeft gehad."

Ook ik ben voor het betalen van een risicovergoeding per persoon van wie persoonsgegevens zijn gelekt.

Wat vinden jullie?

Aanvulling 13:27: jammer dat zoveel Tweakers bijdragen als deze als "Off-topic/irrelevant" classificeren, simpelweg omdat zij het er inhoudelijk niet mee eens zijn. Hoezo zijn maatregelen om dit soort lekken te voorkomen, off-topic of irrelevant?

Met dank aan degenen die het niet met mij eens zijn, maar wel inhoudelijk reageerden!

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:05]

oef! @Verwijderd • 3 september 2021 12:17

Nee, alleen als je daadwerkelijk schade oploopt is een vergoeding op zijn plaats. Scholen vallen onder de overheid en ik zie ze liever geen belastinggeld uitgeven aan preventieve vergoedingen. Ze kunnen het beter investeren in betere beveiliging en onderwijs

Verwijderd @oef! • 3 september 2021 13:11

Nee, alleen als je daadwerkelijk schade oploopt is een vergoeding op zijn plaats. Scholen vallen onder de overheid en ik zie ze liever geen belastinggeld uitgeven aan preventieve vergoedingen. Ze kunnen het beter investeren in betere beveiliging en onderwijs

Dat zou inderdaad beter zijn, maar dat gebeurt overduidelijk onvoldoende; dit is immers niet de eerste opleider in Nederland met een datalek. De prikkel ontbreekt of is veel te klein.

oef! @Verwijderd • 3 september 2021 13:31

Het is niet de eerste opleider met een datalek maar als je het omdraait - de meeste opleiders hebben geen datalekken gehad. We hebben ook geen overzicht van de maatregelen die andere opleiders hebben getroffen dus we hebben geen reëel beeld van het feit of de prikkel ontbreekt of klein is.

Een datalek is situationeel en de aanleiding zal per instantie verschillen. Hierdoor zullen ook de mate van nalatigheid en de plek van verantwoordelijkheid per lek verschillen. Je kan niet alle situaties over een kam scheren.

Verwijderd @oef! • 3 september 2021 14:31

Het is niet de eerste opleider met een datalek maar als je het omdraait - de meeste opleiders hebben geen datalekken gehad.

Niet van een grootte dat dit de landelijke media haalt. Maar uit (veel) ervaring weet ik dat gehacked worden "pech" is, waarbij de slachoffers meestal zeggen dat iedereen dit kan overkomen.

Dat klopt helaas, maar wordt gebruikt als excuus - en dat is iets waar ik ernstig bezwaar tegen maak.

Dat één medewerker of student onbedoeld kwaadaardige code start is inderdaad pech (en nooit voor 100% te voorkomen), maar als een aanvaller vanuit die positie ongehinderd (vaak via-via) een administratieve database kan plunderen, is dat geen pech maar vragen om.

We hebben ook geen overzicht van de maatregelen die andere opleiders hebben getroffen dus we hebben geen reëel beeld van het feit of de prikkel ontbreekt of klein is.

De praktijk is dat alle persoonsgegevens (ook alumni, oud klanten, voormalig whatever) in één grote database worden verzameld waar veel te veel mensen (onbeperkt en ongemonitord) toegang tot hebben "want dat is handig" (en storage kost bijna niks).

Zolang er niet iemand tegen de directie/raad van bestuur etc. zegt dat je dit niet moet doen omdat het risico groot is dat je dit serieus geld kan kosten, gaat er niks gebeuren. En nu zegt niemand dat, want de kans op boetes is minimaal.

Ik voorspel dat HAN hooguit op zoek gaat naar het deze keer gebruikte lek en daar een pleistertje op plakt, en wellicht iets meer aan monitoring gaat doen (voor zover zij nog vakmensen kunnen vinden die dat geestdodende werk willen doen).

Zonder stevige sancties blijft het bij pappen en nathouden, en zal het ene na het andere datalek blijven plaatsvinden.

SirBlade @Verwijderd • 3 september 2021 11:51

Ik denk niet dat het betalen van een risicovergoeding een positief effect zal hebben.

De grote Commerciale dataverzamelaars hebben hun security wel op orde. De kans dat google zo'n boete gaat krijgen is minimaal. De meest ernstige lekken zijn altijd bij overheden of semi-overheden, in welk geval boetes door de belastingbetaler worden betaald zullen worden. Dan heb je de kleinere bedrijven of verenigingen die een foutje maken en vervolgens aan de boete failliet gaan. Alleen voor middelgrote bedrijven gaat zo'n boete een verschil betekenen. Voor die selecte groep moeten er betere maatregelen te bedenken zijn.

Waar je ook rekening mee moet houden is "perverse incentive". Als er een verplichte risicovergoeding komt dan is het voor veel mensen financieel interessant om hun persoonsgegevens zo veel mogelijk te verspreiden, immers, als de gegevens op meer plekken staan dan is er ook een grotere kans dat ze gelekt worden en dan is het kassa.

https://www.cqure.nl/nl/kennisplatform/the-cobra-effect

Verwijderd @SirBlade • 3 september 2021 12:59

De grote Commerciale dataverzamelaars hebben hun security wel op orde.

Vaak beter, maar als het fout gaat, betreft het vaak zeer veel personen. Denk maar aan de lekken bij T-Mobile [1], [2]; Facebook [1], [2]; LinkedIn; Equifax en dit is maar een fractie van wat je kunt vinden in bijvoorbeeld dit Wikipedia artikel.

De meest ernstige lekken zijn altijd bij overheden of semi-overheden, in welk geval boetes door de belastingbetaler worden betaald zullen worden.

Dus is het prima om persoonsgegevens onvoldoende te beveiligen (zoals pay peanuts get monkees GGD-werk te laten doen op graai-maar-raak systemen) en is het botte pech voor eventuele slachtoffers?

Dan heb je de kleinere bedrijven of verenigingen die een foutje maken en vervolgens aan de boete failliet gaan.

Het risico om failliet te gaan mag geen argument zijn om persoonsgegevens onvoldoende te beveiligen. Sterker, het risico om failliet te gaan als je persoonsgegevens onvoldoende beveiligt, is nu veel te klein. Dat leidt ook nog eens tot oneerlijke concurrentie; bedrijven die hun zaken wel op orde hebben, zijn -terecht- duurder.

Herinner je je AlleKabels nog?

Alleen voor middelgrote bedrijven gaat zo'n boete een verschil betekenen. Voor die selecte groep moeten er betere maatregelen te bedenken zijn.

Doe eens een voorstel?

Waar je ook rekening mee moet houden is "perverse incentive". Als er een verplichte risicovergoeding komt dan is het voor veel mensen financieel interessant om hun persoonsgegevens zo veel mogelijk te verspreiden, immers, als de gegevens op meer plekken staan dan is er ook een grotere kans dat ze gelekt worden en dan is het kassa.

https://www.cqure.nl/nl/kennisplatform/the-cobra-effect

Slechte vergelijking. Al zouden er mensen zijn die zich (niet zonder risico's) opzettelijk overal registreren, zij zijn niet de veroorzakers van het probleem (zij kweken geen Cobra's). De veroorzakers hier zijn de partijen die onnodig veel persoonsgegevens verzamelen en/of die dergelijke gegevens onvoldoende beveiligen.

M.a.w., als er al mensen zouden zijn die opzettelijk overal hun persoonsgegevens registreren, zullen zij de schade voor datalekkers (die onvoldoende beveiligen) alleen maar groter maken.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 20:07]

Gladiator5 @Verwijderd • 3 september 2021 11:30

Helemaal mee eens.

Het is van de zotte dat het maar gewoon word geaccepteerd.
Bedrijven/instellingen/ Moeten maar verantwoording gaan nemen voor het collecten van deze data.
En anders deze data niet opnemen!
Is het binnenkort ook wellicht is een keer voorbij met het graaien naar persoonsgegevens.

TheGhostInc @Gladiator5 • 3 september 2021 12:59

En anders deze data niet opnemen!

Dit is een hogeschool, als die anoniem zouden werken, dan weten ze dus niet welke studenten er zijn (geen StuFi), welke resultaten ze halen (geen cijferlijst) en krijg je een anoniem diploma:
"Iemand heeft een Master in Engineering gehaald"

Volgens mij is een Hogeschool nu typisch een voorbeeld waarbij het identificeren van de persoon zeer kritisch is, het gaat immers over de prestaties van die persoon.

Gladiator5 @TheGhostInc • 3 september 2021 14:40

Joh, echt?

Zoals in me reactie staat gaat het wederom over het algemeen omgaan met data.
Als je als instelling/bedrijf niet kan garanderen dat je de data niet kan beschermen, moet je het niet aan het internet hangen.

FurrBeast

3 september 2021 11:01

Wat ik mij afvraag is of dit ook gegevens betreft van oud-studenten (waaronder ikzelf).

MrMaluku1 @FurrBeast • 3 september 2021 11:08

In deze tijd kan je er maar beter vanuit gaan van wel en handelen uit voorzorg en bescherming voor jezelf... Scholen en Universiteiten zijn tegenwoordig niet optimaal beveiligd en er gebeuren steeds meer van dit soort aanvallen.

mjtdevries @MrMaluku1 • 3 september 2021 14:37

Waar denk je dan aan als je praat over handelen uit voorzorg en bescherming voor jezelf?
Ik kan me in deze situatie niet voorstellen wat voor dingen alex301188 dan zou kunnen doen.

(ik hoop dan wel dat 301188 niet zijn/haar geboortdatum is, want dat is als het gaat om privacy gegevens beschermen niet zo heel handig

)

semverhoef @FurrBeast • 3 september 2021 13:22

in de mail die ze stuurde stond:
"Maak je je zorgen of heb je vragen, mail naar privacy@han.nl."
denk dat dat je beste bet is

ArachneNet 3 september 2021 11:13

Jottem, eerste ding dat ik vandaag in mn mail inbox zag. Ik wist dat het een ongeorganiseerd zooitje is daar maar dat het zo erg is...

edit: meerdere studenten hebben nu al spam SMSjes gekregen dus telefoonnummers van studenten zitten waarschijnlijk bij de gelekte data...

[Reactie gewijzigd door ArachneNet op 26 juli 2024 20:07]

trayracing @ArachneNet • 3 september 2021 11:51

Ik ben zelf 2 jaar geleden afgestudeerd bij de HAN en heb dit anders ervaren. Maar ieder z'n ding natuurlijk. Je reactie suggereert overigens alsof de HAN dit willens en wetens heeft laten gebeuren. Terwijl de realiteit is: het is niet de vraag of je een keer aan de beurt bent, maar wanneer.

Als (onderwijs) instelling moet je een gezonde balans bewaken in waar je geld in stopt: het primaire proces (onderwijs), of in security van je IT-omgeving. Je kunt niet 100% in het een of het ander stoppen, maar je moet daar (gezonde) keuzes in maken. En sommige dingen zijn (realistisch gezien) niet te voorkomen. Als een hackerscollectief een 1 of andere zero-day uitbuit, dan hang je. Dat staat m.i. los van een 'ongeorganiseerd zooitje'.

Momenteel zie je bovendien een verschuiving ontstaan dat vooral non-profit en educatieve instellingen populair doelwit zijn. Dus in dat opzicht is het niet zo vreemd dat de HAN slachtoffer is geworden. Ik werk zelf bij een onderwijsinstelling. Wij doen er alles aan om dit HAN-scenario te voorkomen, en ALS het al gebeurt, dat we maximaal (en snel) damage control kunnen doen, EN zelf in staat zijn om (zonder ransom) eventuele encrypted data te herstellen. Maar we accepteren het feit dat we een keer aan de beurt zijn.

ArachneNet @trayracing • 3 september 2021 12:19

Dat is wel terecht inderdaad. Ik ben twee jaar geleden begonnen met studeren en voor mijn gevoel is het blunder na blunder. Er is nooit iets op orde. Nou kan dat een hele hoop oorzaken hebben en dit zal niks te maken hebben met dit datalek. Ik erger me er misschien net iets te veel aan en dat viel wel te zien in mijn vorige comment.

trayracing @ArachneNet • 3 september 2021 12:48

Die ergernissen herken ik overigens wel hoor. Ik heb in mijn HAN-periode (2015-2019) ook time-and-again momentjes gehad dat ik dacht: "Waar is de student in dit verhaal? Daar doen jullie (de HAN dus) dit toch voor?". Maar doordat ik zelf bij een onderwijsinstelling werk, ken ik de andere kant van de medaille. Dus ook hoe lastig het is om altijd maar die klant (lees: de student) in het vizier te houden, en dat terwijl de organisatie an sich ook nog een miljoenmiljard andere dingen moet doen om de toko te runnen. Zoals de IT-omgeving secure houden, wat dan als klap op de vuurpijl ook nog mis gaat.

Maar, "dankzij" de vele cyberaanvallen van het afgelopen jaar, die ook steeds meer in onderwijsland plaatsvinden, wordt het belang (en daarbij komende investeringen) rondom cybersecurity gelukkig wat toegankelijker om op de agenda van het bestuur te krijgen. Maar tot voor kort viel dit echt niet mee, want: "Er is toch niks aan de hand?". En een leger aan docenten die vervolgens steen en been klaagt over "ICT is te duur, meer geld voor het primaire proces!" is dan niet bepaald helpend om je systemen (binnen realistische grenzen) secure te houden

litebyte @trayracing • 3 september 2021 14:26

Als (onderwijs) instelling moet je een gezonde balans bewaken in waar je geld in stopt: het primaire proces (onderwijs), of in security van je IT-omgeving.

Nee, je moet 'gewoon' je zaken zowel op onderwijs als ICT/IT goed op orde hebben, losstaande van het geld. Mijn dochter kreeg dus vandaag ook zo'n mail. Daar schrok ze best wel van. Ook omdat m.b.t. haar studie het een en ander administratief vaak niet zo ordelijk verloopt.
En als je dan FOX-IT nodig hebt om je hele systeem door te lichten en het 'op te knappen.'

[Reactie gewijzigd door litebyte op 26 juli 2024 20:07]

mjtdevries @litebyte • 3 september 2021 15:19

En als je dan FOX-IT nodig hebt om je hele systeem door te lichten en het 'op te knappen.'

Het zou beste kunnen dat ze dat helemaal niet nodig hebben.
Maar in zo'n situatie is het altijd handig om een onafhankelijke derde partij te laten onderzoeken.

Niet in de laatste plaats om naar buiten toe te laten zien dat je al het mogelijke doet om de oorzaak te achterhalen. Alleen dat kan al de doorslaggevende factor zijn om ze in te schakelen.

MrMaluku1 3 september 2021 10:53

Oei, en dat te herinneren dat er pas sinds 2,5 jaar met Office (Outlook) gewerkt wordt. Hiervoor was het namelijk een interne e-mailservice van de HAN waarbij je de mogelijkheid had om deze door te sturen naar je privé e-mailadres. Dit deed iedereen natuurlijk. Studenten, leraren, staf etc.

Hoe ik dit weet? Ik ben namelijk zelf nog student op de HAN

EDIT: zoals ik het mij nog kan herinneren werd het zelfs geadviseerd vanuit de HAN om het door te zenden naar je privé

[Reactie gewijzigd door MrMaluku1 op 26 juli 2024 20:07]

orvintax @MrMaluku1 • 3 september 2021 11:01

In Office 365 heb je ook gewoon de optie om je mails te forwarden. Dit was/is zowel mogelijk op mijn oude als huidige hogeschool.

MrMaluku1 @orvintax • 3 september 2021 11:05

Toen ik begon had de school nog geen Office geïmplementeerd. Er werd gewerkt met een interne e-mailservice via het HAN portal. Deze was echter zo oud en gebrekkig dat iedereen de optie forward to private e-mail gebruikten. Leraren, examencommissies en staff functies e-mailden allemaal naar je privé e-mailadres. Tot ze uiteindelijk wél Office hadden geïmplementeerd en alles naar je studenten e-mailadres via Outlook ging.

Vinnie.1234 @MrMaluku1 • 3 september 2021 12:21

Tot 3 jaar terug had ik niet eens de keuze, alles ging direct door naar mijn eigen email. Ik moet zeggen dat dit een stuk beter werkte dan een aparte inbox...

orvintax @MrMaluku1 • 3 september 2021 12:39

Aaah nu snap ik wat je bedoeld. Ik dacht dat je bedoelde dat je forwarders kon instellen, maar je kon dus ergens je prive mail invullen en daar dingen dan direct naar doorsturen.

nickvanemden @orvintax • 3 september 2021 12:24

Helaas is die optie uitgeschakeld

segil @orvintax • 3 september 2021 13:41

tenzij de beheerder dit blokkeert. Zoals bij ons het geval is.

Tweety22173 @MrMaluku1 • 3 september 2021 11:57

Klopt, maar het doorsturen naar je prive mail werd sinds vorig jaar afgebroken en afgeraden om het weer te activeren. Iedere student heeft nu (als het goed is) een @student.han.nl mail adres met Outlook, Teams en OneDrive opslag... Op Outlook komt alles binnen, ook meldingen van OnderwijsOnline, Teams notificaties en dus mailtjes van College van Bestuur.
Van wat ik mij kan herinneren werd het dus juist niet geadviseerd om het door te sturen naar je privé. Dat is dan volledig eigen risico. Ik hoop dat de HAN sinds die switch naar een online leeromgeving en het loskoppelen van privé mail adressen deze adressen ook verwijderd heeft, anders kan het wel een issue worden...
Hun server systemen zijn verouderd en niet waterdicht, maar door de enorme groei aan studenten hebben ze lang niet alle tijd om iets nieuws te implementeren. Ook zijn ze afhankelijk van services zoals OnderwijsOnline, Alluris en nog wel meer.

MrMaluku1 @Tweety22173 • 3 september 2021 12:12

Je leest het niet goed denk ik. Ik heb het over de tijd VOOR Outlook van @student.han.nl. Nu wordt het uiteraard niet meer geadviseerd omdat alles via het nieuwe e-mailadres gaat. Maar ik heb het puur over de tijd ervoor!

Tweety22173 @MrMaluku1 • 3 september 2021 14:13

Ooohh oke haha! Dacht juist dat je nu bedoelde omdat je aangeeft dat je er zelf studeert.

NLDViane @MrMaluku1 • 3 september 2021 14:31

Toen ze vorig jaar (helemaal) zijn overgestapt werd vermeld dat het absoluut niet meer de bedoeling was dat je naar je privé mailadres doorlinkte. Vond het sowieso een rare constructie, je had een intern mailadres maar geen mailbox meer...

PureTryOut @MrMaluku1 • 3 september 2021 15:04

En het liefste zou ik het nog steeds doorsturen naar mijn persoonlijke mail. Nu moet ik een apart tabblad open houden met zo'n stomme Outlook open, en ik kan het niet normaal aan mijn lokale mail client toevoegen. Verschrikkelijk.

MrMaluku1 @PureTryOut • 3 september 2021 16:30

Hmmm, ik kan al mijn e-mailadressen in de Outlook application openen. Ook die van de HAN.

PureTryOut @MrMaluku1 • 3 september 2021 23:13

Het verschil is dat ik niet Outlook als mijn mail applicatie gebruik of wil gebruiken.

jeroen13m 3 september 2021 12:20

De HAN heeft het niet zo op beveiliging van gegevens. Leraren sturen verschillende documenten waar gegevens van alle leerlingen staan, naar alle leerlingen van een bepaalde klas.

Blokker_1999

Datalek
Beveiliging en antivirus
Nederland
Privacy

@jeroen13m • 3 september 2021 12:30

Maar dat lijkt mij toch vooral de fout van die docenten te zijn. Ja, de instelling moet hen wijzen op hoe ze moeten omgaan met die gegevens maar kunnen uiteindelijk niet verhinderen dat ze zomaar gegevens doorsturen die ze niet zouden mogen doorsturen.

jeroen13m @Blokker_1999 • 3 september 2021 13:11

De instelling dan inderdaad hun docenten hierop wijzen. Of met alternatieven komen om te zorgen dat dit niet mogelijk het. Maar het blijft de verantwoordelijkheid van de instelling en dus de HAN.

waslijn 3 september 2021 13:01

180.000 gegevens in handen van derden door datalek HAN:
https://www.gelderlander....gste-prioriteit~a169ebf7/

Waarschijnlijk zijn dus ook oud studenten de klos.

[Reactie gewijzigd door waslijn op 26 juli 2024 20:07]

TheekAzzaBreek @waslijn • 3 september 2021 13:46

"180.000 gegevens" is een vrij vage term, maar het betekent niet per sé "gegevens van 180.000 personen".

mjtdevries @TheekAzzaBreek • 3 september 2021 14:44

Inderdaad. Op de wijze waarop je dat aan de AP moet melden is elk stukje data over iemand een apart gegeven.
Dus stel dat je van iemand de voornaam, achternaam, tussenvoegsel, geboortedatum, adres, postcode opslaat, dan heb je het al over 6 gegevens per persoon.

SirBlade 3 september 2021 11:18

We moeten eens categorieën gaan aanmaken voor datalekken zodat het duidelijker wordt wat voor soort datalek het is en hoe veel slachtoffers er zijn. Op dit moment is er geen verschil tussen "iemand vergeet bcc te gebruiken en nu kennen 2 vreemden elkaars emailadres" versus "alle patiëntendossiers van ziekenhuis xyz staan op pastebin".

Firestorm @SirBlade • 3 september 2021 12:13

Zou ik helemaal geen gek idee vinden, categorie 5 t/m 1 zoals met orkanen bijvoorbeeld.

SirBlade @Firestorm • 3 september 2021 12:27

Persoonlijk denk ik dat letter/nummer combinatie het beste zou zijn. En letter voor het type datalek en een nummer voor het aantal slachtoffers. A10 = tien medische dossiers gelukt. F10000 = tienduizend email adressen gelekt.

svennd @SirBlade • 3 september 2021 13:50

Hoewel er geen cijfer voor is, kennen we binnen de GDPR wel als 2 (3?) categorieën oa. medische gegevens, geloof, politieke overtuiging vallen onder "zware gegevens".

litebyte 3 september 2021 11:08

Fijn dat er vermeld staat dat er wordt samengewerkt met FOX-IT...

mvrhrln @litebyte • 3 september 2021 13:45

euh, ja als in het oplossen en uitzoeken van het probleem, niet dat FOX-IT iets met de oorzaak te maken had.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (105)

Sorteer op:

Weergave: