Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

HAN rondt onderzoek datalek af: ruim 14.000 gevoelige gegevens gestolen

Bij het datalek dat de Hogeschool Arnhem-Nijmegen begin september trof zijn ruim 14.000 gevoelige gegevens buitgemaakt. Het gaat voornamelijk om oude wachtwoorden, waarvan er ruim 4000 onversleuteld op een server stonden. Dat blijkt uit het afgeronde onderzoek van de HAN.

Uit het onderzoek is gebleken dat een criminele hacker via een webformulier toegang heeft gekregen tot een server van de HAN met daarop onder meer 530.000 mailadressen. De hacker kon ook de gegevens van een grote hoeveelheid studenten en oud-studenten buitmaken waaronder de naam, het adres, de woonplaats, het e-mailadres en de telefoonnummers. Het gaat om gegevens die ingevuld zijn op online formulieren, onder meer voor het opvragen van informatie over opleidingen of aanmeldingen voor evenementen. Deze groep is volgens de HAN mogelijk slachtoffer geworden van phishing.

Ook zijn er van een veel kleinere groep mensen gegevens buitgemaakt die meer privacygevoelig zijn. Het gaat volgens de HAN over paspoort- en id-kaartnummers, niet-versleutelde wachtwoorden en persoonlijke gegevens over studievertraging, functiebeperkingen, politieke voorkeur en cv's. Volgens de HAN zijn de gegevens van studenten en aankomend studenten sinds 2009 verschillende formulieren hebben ingevuld. De niet-versleutelde wachtwoorden komen van een online omgeving die sinds 2018 niet meer in gebruik zijn. Hierover heeft de HAN eerder al getroffen studenten en oud-studenten ingelicht.

Er lekten ook versleutelde wachtwoorden van studenten van voor 2019, en de uitkomst van een enquête uit 2011 van studentenblad Sensor over de publieke voorkeur van studenten. Maar ook cv's van een matchingswebsite voor studenten en werkgevers van de HAN uit de periode 2009 tot 2019 werden buitgemaakt. In totaal zijn er 14.766 'gevoelige persoonsgegevens' uitgelekt, schrijft de HAN. Het leeuwendeel hiervan zijn niet-versleutelde wachtwoorden, 4381 wachtwoorden, en versleutelde wachtwoorden, 5194 stuks. Van 2087 studenten lekte uit wat voor functiebeperking zij hebben, bijvoorbeeld of zij een psychische aandoening hebben die hun studieloopbaan kan beïnvloeden.

De HAN zegt dat eerdere berichten waarin werd geschreven dat de hogeschool 10.000 euro losgeld betaalde voor de buitgemaakte gegevens, niet klopte. De hacker heeft volgens de hogeschool om een veelvoud hiervan gevraagd, maar de hogeschool benadrukt dat ze niet hebben betaald voor de gegevens. De criminele hacker zette de persoonsgegevens van studenten op 7 september online, omdat de betaling uitbleef.

Afbeelding: RTL Nieuws

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

05-10-2021 • 15:59

67 Linkedin

Reacties (67)

Wijzig sortering
De mail die ik als student een uur geleden heb mogen ontvangen:


Beste geadresseerde,

Ongetwijfeld heb je gehoord of gelezen dat een hacker heeft ingebroken op een server van de HAN. Tot mijn spijt zijn daarbij mogelijk ook enkele persoonsgegevens van jou gestolen. Daarbij gaat het om algemene persoonsgegevensgegevens zoals naam, adres, woonplaats, e-mailadres, telefoonnummer, maar in jouw geval ook om gegevens die je zelf hebt ingevuld in een vrij tekstveld op een van onze webformulieren, bijvoorbeeld omdat je vragen had over een Open Dag, een meeloopdag of een toneelvoorstelling.

Dat weten we omdat deze gegevens waren opgeslagen op de plek waar de hacker heeft ingebroken. We weten niet of hij ook daadwerkelijk al deze gegevens in handen en/of gepubliceerd heeft.

Mogelijke risico’s
Als de hacker de gegevens heeft, dan bestaat de kans dat hij deze gegevens verkoopt. Hierdoor loop je een groter risico dat cybercriminelen contact met je opnemen en bijvoorbeeld via mail, sms’jes of appjes vragen om geld of om je wachtwoord te wijzigen; het zogenaamde ‘phishing’. Bij de ‘Veelgestelde vragen’ op han.nl/datalek vind je tips om het risico daarop zo klein mogelijk te maken. Voor de hiervoor vermelde andere gegevens gelden mogelijk andere risico’s. Zie ook daarvoor han.nl/datalek.

Uiteraard hebben we direct maatregelen genomen om herhaling en verdere schade te voorkomen. Het lek is gedicht en interne en externe experts monitoren onze systemen voortdurend. We hebben contact met de politie en het datalek gemeld bij de Autoriteit Persoonsgegevens.

Voor aanvullende informatie en vragen verwijs ik je graag naar onze website han.nl/datalek. Of neem contact met ons op via ask@han.nl.

Digitale veiligheid is een groot goed, ook in het onderwijs en bij onderzoek, en heeft voortdurend onze aandacht. We vinden het enorm vervelend dat het ons toch niet is gelukt om deze inbraak te voorkomen. Onze oprechte excuses voor de overlast die je hierdoor mogelijk ervaart. Wij stellen alles in het werk om iedereen een veilige online omgeving te blijven bieden.

Met vriendelijke groet,
Yvonne de Haan
College van Bestuur
HAN University of Applied Sciences



Als 3e jaars student lijkt het er niet op dat gegevens van mij als student zijn gelekt, maar gegevens die ik heb ingevuld bij een formulier (waar mogelijk dus ook voor mijn opleiding), waar overigens ook het lek zat.
Mijn kennis in ICT ontbreekt, echter naar aanleiding van reacties onder het vorige bericht van het Datalek van de HAN blijkt het te gaan om vrij simpele fouten die gemaakt zijn of gewoon een te laag budget voor ICT. Goed schoolvoorbeeld voor een onderwijsinstelling die ook ICT opleidingen aanbiedt.

Bizar imho en dat terwijl we met z'n allen ruim 2k aan lesgeld betalen per jaar 8)7

edit: toelichting

[Reactie gewijzigd door Ttje op 5 oktober 2021 16:16]

Bizar imho en dat terwijl we met z'n allen ruim 2k aan lesgeld betalen per jaar
Bizar is het zeker. Wat het te maken heeft met je 2k lesgeld weet ik niet. Vooral omdat je een veelvoud van dat bedrag kost.
Mag ik vragen of je deze mail hebt ontvangen op een persoonlijk mail-adres, of je @student.han.nl-adres?
Deze “persoonlijke” mail heb ik ontvangen op mijn prive email. De mail met het afronden van het onderzoek heb ik wel op mijn HAN email ontvangen. Wat daar de reden van is durf ik niet te zeggen..
Ok, dank voor het antwoord!
2000 euro per jaar is niet zo heel veel. Dat is ongeveer 167 euro per maand. Stel het gemiddelde salaris is 2.500 euro per maand (de meesten zullen echter meer verdienen), dan heb je dus al 15 leerlingen nodig om 1 FTE te kunnen betalen. En dan heb je dus nog geen schoolgebouw, apparatuur, gas/elektriciteit, lesmateriaal, etc.

Gelukkig krijgen de scholen ook nog een flinke smak geld van de overheid, maar het is nog steeds geen vetpot ;).
een student kost de samenleving ongeveer tussen 8000 en 14000 euro. Daarvan betaald de student zelf 2000 euro, de rest komt van de samenleving.

https://weblog.wur.nl/stu...ssubsidie-voor-studenten/

https://www.vrt.be/vrtnws...nt-u-komend-academiejaar/
Ja en die zelfde student betaald (lees: wanneer afgestudeerd) een veelvoud van dat bedrag via belastingen terug aan de samenleving en dat niet alleen ook vergane kennis deelt hij in het algemeen met zijn medemens.

Iemand die beweerd dat studenten te duur zijn voor de samenleving begrijpt het belang van investeren niet.

[Reactie gewijzigd door Knijpoog op 6 oktober 2021 02:12]

Iemand die beweerd dat studenten te duur zijn voor de samenleving begrijpt het belang van investeren niet.
De post van redslow klinkt mij niet in de oren als "studenten kosten teveel belastinggeld", maar alleen als een weerwoord tegen Ttje's "Bizar imho en dat terwijl we met z'n allen ruim 2k aan lesgeld betalen per jaar 8)7". Ik zou het verwoorden als "Je studie wordt grotendeels betaald (of, als je de extra belasting die je de rest van je leven betaalt meeneemt: voorgeschoten) door de overheid. Niet te hard klagen over de 2k die je zelf bij moet leggen.".
Vrij bijzondere opmerking. Ik geef alleen aan hoe duur een student is.

En mooi dat verhaaltje dat de persoon het geld terug betaald aan belasting via zijn/haar werk. Echter komen deze mensen ook later op de arbeidsmarkt.

Ik ken zat mensen, die direct na de middelbare school een bedrijf zijn begonnen. Die dus al jaren belasting afdragen zonder dat daarin direct word geïnvesteerd. Zeg ik hiermee dat studenten te duur zijn. Nee, maar er zitten wel kanttekeningen aan. Een van die zaken is dat gezonde arbeidskrachten later op de markt komen.

In mijn geval. Ik heb tot met 26e gestudeerd daarna pas op de arbeidsmarkt gekomen. Als ik kijk naar vrienden die vanaf hun 18e op die zelfde arbeidsmarkt zijn gekomen en in die 8 jaar kennis en ervaring hebben opgebouwd om nog niet te spreken over kapitaal. Blijf ik dus jaren achter lopen. Ondanks dat ik op een hogere arbeidschaal start qua salaris. Is alsnog het verschil netto maar zo een 100 euro per maand.

Die groep heeft dus al 8 jaar lang meegedraaid aan de economie, kennis opgedaan en gedeeld. Ik ben dus wel van mening dat er teveel studies zijn die beter zouden aansluiten als mensen direct bij bepaalde bedrijven gaan werken ipv studeren. Gelukkig zien we dat wel steeds meer op dr MBO”s. Maar er zijn ook zat HBO studies waarbij dat kan. Dan draait een student zowel mee aan de arbeidskracht, vergaart kennis door studie en doet ervaring op,
Dat is wel een populistische dooddoener. Als de kwaliteit van het onderwijs ondermaats is, of de staat van de gebouwen, of de apparatuur, kun je ook die 2k lesgeld aanhalen. Je kan elke euro echter maar 1 keer uitgeven.

Neemt niet weg dat het extreem slordig is, en niet zoveel met geld te maken heeft, dat data onversleuteld toegankelijk is via een webformulier.
Weet jij toevallig ook wat een publieke voorkeur is, daar je er hebt gestudeerd? "de uitkomst van een enquête uit 2011 van studentenblad Sensor over de publieke voorkeur van studenten"
Ik heb deze mail ook gehad. Heel bijzonder, want ik ben in 2009 afgestudeerd op een compleet andere school in een hele andere regio van het land. Ben voor zover ik weet zelfs nooit bij de HAN geweest of er mee in aanraking gekomen. Zelfs nooit de intentie gehad er te gaan studeren. Dus wel erg bijzonder waar ze m'n mail adres hebben opgeduikeld.
Vooral het feit dat de HAN bijzondere persoonsgegevens heeft verzameld zoals over het geloof politieke voorkeuren doet mij de wenkbrauwen fronsen.
Ik hoop dat ze daar een gegronde reden voor hadden.
BSN is géén bijzonder persoonsgegeven


//edit// geloof moet politieke voorkeur zijn

[Reactie gewijzigd door metalmania_666 op 5 oktober 2021 16:37]

Vooral het feit dat de HAN bijzondere persoonsgegevens heeft verzameld zoals over het geloof politieke voorkeuren doet mij de wenkbrauwen fronsen.
Je hoeft het niet te verzamelen om het te hebben.

Ik heb wel eens iets met het aannemen en inschrijven van internationale studenten te maken gehad. Omdat het internationaal was waren de procedures wat minder strak omlijnt en vaak onbekend. Sommige studenten deden er alles aan om bij ons te mogen komen studeren en stuurde een aanbeveilingsbrief van meneer pastoor mee. Anderen deden melding van handicaps of beperkingen of vertelde over hun motivatie om te komen studeren. Het wordt heel snel heel persoonlijk en gevoelig.

Daar hebben wij nooit om gevraagd maar we kregen het wel en eenmaal ontvangen moet je het een tijd bewaren.

Maar het kan ook iets heel anders zijn zoals dat op die server een forum draaide waar studenten vrij op konden posten. Dan kan het zijn dat er iemand post "Volgende week ga ik met Partij X demonstreren in Den Haag, wie gaat er mee?"
Om iemand die een backup van z'n mailbox heeft gemaakt en heeft laten slingeren.

Ik zou er dus niet te veel achter zoeken dat ze die gegevens hebben.

[Reactie gewijzigd door CAPSLOCK2000 op 5 oktober 2021 17:23]

Als student van de HAN heb ik hier zelf nooit vragen over gehad. ben wel benieuwd waar je dit hebt gelezen.
Ook zijn er van een veel kleinere groep mensen gegevens buitgemaakt die meer privacygevoelig zijn. Het gaat volgens de HAN over paspoort- en id-kaartnummers, niet-versleutelde wachtwoorden en persoonlijke gegevens over studievertraging, functiebeperkingen, politieke voorkeur en cv's. Volgens de HAN zijn de gegevens van studenten en aankomend studenten sinds 2009 verschillende formulieren hebben ingevuld
//Edit// in mijn eerste comment sprak ik over geloof, maar bedoelde politieke voorkeuren

[Reactie gewijzigd door metalmania_666 op 5 oktober 2021 16:38]

Over geloof zie ik ook niks maar wel over functiebeperking waaruit mogelijk medische informatie te halen is, en politieke voorkeur. Dat zijn wel bijzondere persoonsgegevens.

https://photo.24liveblog....0211005104703_085667.jpeg
Politieke voorkeur gaat om een enquete, dus dat zal niet persoonsgebonden zijn.
BSN is fraudegevoelig.
Klopt dat BSN fraude gevoelig is, maar voor de AVG is het geen bijzonder persoonsgegeven
Het is in ieder geval bijzonder genoeg om alleen te mogen gebruiken in situaties die wettelijk zijn omschreven.
bron
Blijkt er uit het artikel werkelijk dat ze actief deze gegevens verzameld hebben? Het lijk er meer op dat er informatie uit een webformulier waar studenten vragen konden stellen aan bijvoorbeeld het decanaat niet is verwijderd. Vaak zijn juist dit soort processen (nog) niet ondergebracht in een systeem en wordt de info in majes op de fileserver of Sharepoint bewaard. Het werkelijke vastleggen gebeurt meestal wel in een bron systeem zoals een SIS (student Informatiesysteem). Ook worden de werkdocumenten en emails worden helaas niet altijd direct na afronding van het aanvraagproces verwijderd. Wat het lek zelf overigens niet minder ernstig maakt. Maar de aanname dat ze dit soort informatie actief hebben verzameld lijkt me één die onwaarschijnlijk is.
De hacker kon ook de gegevens van een grote hoeveelheid studenten en oud-studenten buitmaken waaronder de naam, het adres, de woonplaats, het e-mailadres en de telefoonnummers. Het gaat om gegevens die ingevuld zijn op online formulieren, onder meer voor het opvragen van informatie over opleidingen of aanmeldingen voor evenementen. Deze groep is volgens de HAN mogelijk slachtoffer geworden van phishing.
Ook zijn er van een veel kleinere groep mensen gegevens buitgemaakt die meer privacygevoelig zijn. Het gaat volgens de HAN over paspoort- en id-kaartnummers, niet-versleutelde wachtwoorden en persoonlijke gegevens over studievertraging, functiebeperkingen, politieke voorkeur en cv's.
Over welk feit ?, geloofs overtuiging staat er niet tussen @metalmania_666 nummer van het beest :P stoere jongen ;)
FOUT, FOUT FOUT,
shame on me.
Ik bedoelde politieke voorkeuren :+
Het klopt dat het BSN geen bijzonder persoonsgegevens is volgens de AP. Wat zij wel zeggen is:

Artikel 46 van de Uitvoeringswet AVG (UAVG) regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen bij de wet bepaald.

En laten scholen nu via DUO verschillende gegevens binnenkrijgen inclusief het BSN. Maar ik denk ook niet dat ze een goede grondslag hebben voor het vastleggen van geloofsovertuiging en/of medische gegevens....
En laten scholen nu via DUO verschillende gegevens binnenkrijgen inclusief het BSN.
Deze gegevens krijg je als school niet binnen via DUO maar via de aanmelding van je student tijdens het digitaal inschrijven.
Maar ik denk ook niet dat ze een goede grondslag hebben voor het vastleggen van geloofsovertuiging en/of medische gegevens....
Voor het vastleggen van een geloofsovertuiging of een politieke voorkeur is er standaard geen wettelijk grondslag. De uitzondering hierop is hooguit wanneer je een anti-pest programma hebt en deze voorkeur of overtuiging onderdeel is van het pesten.

Voor het vastleggen van medische gegevens is zeker wel een grondslag. Denk bijvoorbeeld maar aan dyslexie, faalangst enz. Wel horen dit soort gegevens alleen inzichtelijk te zijn bij je studentenadministratie en de zorg coördinator. De grondslag daarbij is dat je deze gegevens dient vast te leggen om de student goed te kunnen faciliteren. Denk bijvoorbeeld aan extra tijd tijdens toetsen, het mondeling afnemen van toetsen, extra begeleidingstrajecten enz.
Ik neem aan dat de HAN nog wel een boete krijgt voor het niet navolgen van de AVG regels?
Wat is het nut van een boete als ze deze kunnen doorberekenen middels collegegeld aan hun studenten?
Wat is het nut van een boete als ze deze kunnen doorberekenen middels collegegeld aan hun studenten?
"De overheid bepaalt jaarlijks de hoogte van het wettelijk collegegeld."
Ha ha,een boete van de overheid aan de overheid.
Onvoorstelbaar. Dit is toch een "schoolvoorbeeld" van hoe het dus niet moet. Ook totaal ook niet AVG-proof. Ik hoop dat er iemand is wakkergeschrokken daar.

Precies om deze reden hebben we een AVG, en moet je als organisatie in kaart brengen welke gegevens je bijhoud, en voor hoe lang. En als het niet meer nodig is, deze gegevens verwijderen. Nu zijn er veel oud-student gegevens buitgemaakt door een hack die 12 jaar na het afronden van iemands studie plaatsvond.

Onversleutelde wachtwoorden is al decenia not-done. En opslaan wat welke psychische aandoeningen mensen hebben, valt onder medische informatie. Je mag ook daarvoor een veel hoger beveiligingsniveau verwachten.

[Reactie gewijzigd door YaPP op 5 oktober 2021 16:22]

Als je weet hoe er over ICT wordt gedacht bij de niet ICT organisatie eenheden van een onderwijsinstelling dan is dit alles behalve 'Onvoorstelbaar'. Bewustwordingen is een behoorlijke uphill battle zeker als het om om decentrale (lees binnen de opleiding of faculteit) dataverwerking en bedrijfs en onderwijsprocessen gaat. Laat staan werkelijk beleid en naleving daarvan.
Dat klopt helemaal. Bij onze onderwijsinstelling was buiten de IT afdeling destijds maar beperkt besef van hoe je veilig zou moeten werken. De toenmalige directeur vond het maar vervelend die privacy regeltjes. Gelukkig kwam daar 6 jaar geleden na een directiewissel en het ingaan van de AVG wetgeving een flinke verandering in. Tegenwoordig draagt de afdeling dan ook de naam informatiemanagement en wordt er veel waarde gehecht aan de aanbevelingen van de FG-er en de CISO. Medewerkers kloppen nu zelf aan bij de FG wanneer ze een nieuw project starten waarbij mogelijk gegevens verwerkt worden of wanneer ze twijfelen of iets wel mag binnen de AVG. Als school zitten we dan ook al jaren in de top 10 van de IBP monitor
Urghm,alleen als mensen daarvoor moeten bloeden,(ontslag megaboete oid).
En dat is 9 van de tien keer niet het geval,en zal het blijven bij een excuus oid,waarna er dus geen lering uit wordt getrokken voor de volgende,of afschrikkende werking optreedt....
Momenteel studeer ik ICT bij de HAN. Leraren drukken vaak op dit soort punten. Ik geloof ook dat de systemen van de ICT opleidingen (ze maken allemaal gebruik van eigen systemen) wel goed zijn.

Wat @SuperSiggy meld ben ik het ook volledig mee eens. Daar aan kan ik toevoegen, dat zowel hier bij de HAN als bij Graafschap College waar ik een opleiding applicatie ontwikkelaar gedaan hebt, ICT en de ICT opleidingen niet de meeste aandacht krijgen.

Waar er bij andere opleidingen groot werd geïnvesteerd om nieuwe lokalen te maken met stop contacten in bureau's, en stoelen te regelen die fatsoenlijk zijn. Zitten ze bij de ICT opleidingen met te weinig stop contacten waardoor studenten soms zelf stekker dozen mee moesten nemen. De lokalen zien er vaak ook niet uit. Stoelen zijn ouder dan mij en echt niet goed genoeg om 8 uur in te zitten.

Edit:
Zowel de opleiding van Graafschap College als die van de HAN worden als beste van Nederland in studie keuze gidsen gezet. Kan me niet voorstellen hoe het bij anderen zal zijn.

[Reactie gewijzigd door roccothehelper op 6 oktober 2021 10:24]

Precies om deze reden hebben we een AVG, en moet je als organisatie in kaart brengen welke gegevens je bijhoud, en voor hoe lang. En als het niet meer nodig is, deze gegevens verwijderen.
Er valt inderdaad te concluderen dat de naleving op AVG niet op orde is. Anders waren de gegevens wel afgeschermd (rechten), versleuteld of verwijderd geweest.
Zie zelfs bericht van Joris748 in 'nieuws: HAN rondt onderzoek datalek af: ruim 14.000 gevoelige ge... , data van 20 jaar geleden. Absurd.
Het probleem hier is bekend in de sector en ontstaat door gebrek aan inzicht, informatiemanagement en eigenaarschap. Pas als je weet wat waar draait met welke informatie kan je het over privacy en security hebben.
Het grote probleem in de sector is dat de IT op veel scholen grotendeels uitbesteed wordt. Vaak zit er niet meer dan een ICT manager en een paar helpende handjes voor de 1e lijn helpdesk vragen. Inzicht in hoe alles op elkaar aangesloten zit, welke gegevens waar gebruikt worden en hoe goed je leveranciers de boel wel of niet op orde hebben ontbreekt. Helaas zijn er veel bedrijven welke dankbaar gebruik maken van de onwetendheid van deze scholen. Ik wordt meerdere keren per week lastig gevallen door bedrijven welke denken wel even makkelijk geld binnen te kunnen harken bij jou als onderwijsinstelling. Zodra je door gaat vragen dan merk je vaak genoeg al snel dat ze hun zaakjes niet op orde hebben.
Dat is niet mijn ervaring en ik werk bijna 10 jaar bij een hogeschool. Ik zie juist het tegenovergestelde. De "helpende handjes" zijn bijna allemaal verdwenen omdat de meeste applicaties SAAS oplossingen zijn. Daarvoor in de plaats zijn er meer infra medewerkers, data specialisten die de api's van de SAAS moeten voeden, FG's en informatie management collega's bij gekomen. Het probleem zit e'm, vooral in de kleinere processen in de faculteiten/opleidingen zelf waar geen aangewezen applicaties voor zijn. De gemiddelde medewerker/docent moet nog groeien in het bewust zijn als het om dataverwerking gaat. Vergeet niet dat we jaren lang allerlei informatie wel gewoon overal en nergens opborgen en toets resultaten gewoon aan de muur in de gang hingen. Deze nieuwe standaard adopteren kost een tijd, zeker bij een medewerkersgroep als docenten.. Alle informatie wat niet direct met de student of hun rooster te maken heeft wordt, of niet gelezen of als niet relevant door het onderbewuste deel van hun brein van het ene naar het andere oor gestuurd : )
Als student van de HAN, verbaast me het niks dat de data gelekt is. Na vier jaar sta ik niet meer versteld van hoe incapabel het management is en ik hoop dat er nu serieus wordt gekeken naar de beveiliging van de zeer kostbare data van de duizenden studenten. Wat een grap.
Het gaat voornamelijk om oude wachtwoorden, waarvan er ruim 4000 onversleuteld op een server stonden. Dat blijkt uit het afgeronde onderzoek van de HAN.
En dan te bedenken dat 20 jaar geleden toen ik bij de HAN begon je standaard ingestelde welkomstwachtwoord je BSN nummer was 8)7
Natuurlijk destijds snel veranderd en sowieso hopelijk al te lang geleden om bij deze dataset te zitten.
Wat ik als alumnus nog steeds mis aan het hele verhaal is: hoe controleer ik of ik tussen het lek zat?

De HAN zegt eerder in september al 4300 meldingen te hebben gedaan, maar zijn dat daadwerkelijk alle getroffen studenten? En nu geven ze aan de "3% groep" met gevoelige informatie geïnformeerd te hebben. En de grotere groep met minder gevoelige data wordt deze week geïnformeerd. Maar wat houdt dat in? Is er een mailtje gestuurd, en dan wordt het afgehandeld geacht? Ook in gevallen van verlopen mails? Wat doet de HAN bijvoorbeeld met gegevens van alumni waarvan alleen een (verlopen) @student.han.nl bekend was? Of geen mail-adres?

Concreet: als ik niks hoor, hoe zeker weet ik dan dat er ook echt niks aan de hand is? Wordt de dataset nog gedeeld met diensten als HIBP of blijft het hierbij?

[Reactie gewijzigd door CykoByte op 5 oktober 2021 22:46]

Hoe groot acht je de kans dat iemand van de HAN de comments op Tweakers naleest op zoek naar vragen? Waarom stuur je niet gewoon een mail naar alumni@han.nl (of whatever het adres is voor contact met alumni) om je vragen te stellen...?
Of je kunt het emailadres gebruiken uit de post van Ttje:
Voor aanvullende informatie en vragen verwijs ik je graag naar onze website han.nl/datalek. Of neem contact met ons op via ask@han.nl.
Ja, dat is eigenlijk gewoon het beste idee. Geen idee waarom ik daar niet op gekomen ben.

Edit: Ik heb de vragen gesteld, maar krijg alleen als antwoord "Mochten je gegevens bij de gelekte data zitten, dan ontvang je komende week een mail op het bij ons bekende e-mailadres. "

[Reactie gewijzigd door CykoByte op 6 oktober 2021 11:33]

Ik ben wel benieuwd op basis van welke wettelijke grondslag de school van mening was de politieke voorkeur van studenten vast te mogen leggen. Dit valt immers onder de bijzondere persoonsgevevens.
https://www.autoriteitper...rsoonsgegevens&scrollto=1

Als school mag je deze gegevens alleen bij uitzondering vastleggen. Dit bijvoorbeeld wanneer dit wenselijk is voor een anti-pest programma.

Los daarvan rammelt er natuurlijk heel veel aan de situatie bij de HAN. Voor de gegevens van 2009 is er zeer waarschijnlijk geen toestemming gevraagd of deze nog steeds gebruikt mogen worden. Ook best bijzonder dat je vragen van potentiele studenten zo lang wil blijven bewaren.
Ik ben wel benieuwd op basis van welke wettelijke grondslag de school van mening was de politieke voorkeur van studenten vast te mogen leggen. 
De HAN had een studentenblad (Sensor) en voor een verkiezingsspecial is er een formulier open gezet. Dit heeft niets met beleid te maken maar met slordigheid. (Ik werk er)
"Dit bijvoorbeeld wanneer dit wenselijk is voor een anti-pest programma."
Dan nog zie ik niet waarom dit relevant zou zijn,welke godsdienst,politieke kleur of whatever is nooit een excuus voor pesten,en dus niet relevant.
Op het moment dat je met een anti-pest programma bezig bent dan help je een student hier in. Tijdens zulke situatie zou vastgelegd kunnen worden wat de precieze oorzaak is van het pesten in dat specifieke geval. Op zo'n moment leg je dus deze bijzondere persoonsgegevens vast in het betreffende dossier.
Dan nog zie ik niet waarom dit relevant zou zijn,welke godsdienst,politieke kleur of whatever is nooit een excuus voor pesten,en dus niet relevant.
Dat kun je wat mij betreft nog korter stellen: er is nooit een excuus voor pesten. Maar dat er geen excuus is, betekent niet dat de "reden" voor het pesten dan opeens niet relevant is. Aan de kant van het slachtoffer helpt het mogelijk bij de (psychologische) ondersteuning. Aan de kant van de dader helpt het mogelijk om te begrijpen wat hem bezielt.
Dat zijn inderdaad een bijzondere persoonsgegevens wat je noemt. Dit zegt de Onderwijsbond erover:

Privacyverplichtingen: volgens de Wet bescherming persoonsgegevens
Een ander belangrijk wettelijk kader bij informatieoverdracht en opslag is de Wet bescherming persoonsgegevens (Wbp). De Wbp stelt bepaalde voorwaarden aan de verwerking van gegevens. Dit betekent bijvoorbeeld dat scholen en samenwerkingsverbanden de ouders moeten informeren over de verwerking van leerlinggegevens en dat die gegevens over leerlingen slechts mogen worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij zijn verzameld, “toereikend, ter zake dienend en niet bovenmatig zijn” (proportioneel dus, niet elke handeling hoort in het dossier, zie artikel 11 Wbp). Ook mogen gegevens over leerlingen niet langer dan noodzakelijk worden bewaard, moeten passende maatregelen worden getroffen voor de beveiliging van de leerlinggegevens en moeten ouders en leerlingen in staat worden gesteld om de rechten die de Wbp hen toekent, zoals het inzage- en correctierecht, uit te oefenen.
https://www.aob.nl/wp-con...-leraren-in-de-school.pdf

[Reactie gewijzigd door tweaker2010 op 5 oktober 2021 17:30]

Ik werk zelf bij een MBO school en ben prima op de hoogte van de AVG regelgeving met betrekking tot het onderwijs. Buiten een eventueel anti-pest programma kan ik geen enkele reden bedenken waarom wij van studenten vast zouden willen leggen wat hun politieke voorkeur is. Maar ja in tegenstelling tot sommige hogescholen en universiteiten zijn onze lessen dan ook politiek neutraal. Dus misschien heeft het daar iets mee te maken :+

Voor het bewaren van gegevens welke al in 2009 zijn verstrekt via webformulieren is echt geen goed woord te zeggen. Er is geen enkele wettelijke basis waarom je de inhoud van een webformulier van 2009 zou willen bewaren. Dat deze hogeschool dit wel doet geeft al aan hoe serieus ze met de AVG wetgeving en de bescherming van persoonsgegevens bezig zijn.
Als school mag je deze gegevens alleen bij uitzondering vastleggen. [..] Los daarvan rammelt er natuurlijk heel veel aan de situatie bij de HAN. Voor de gegevens van 2009 is er zeer waarschijnlijk geen toestemming gevraagd of deze nog steeds gebruikt mogen worden.
Als die gegevens zijn verzameld voordat de AVG van kracht werd, dan is het nogal logisch dat er geen AVG-geldige toestemming is gevraagd bij het vastleggen.

Ben zelf geen jurist, dus hoe het precies zit kan ik je niet vertellen, maar toen ik de regels indertijd door heb gelezen stond er expliciet vermeld dat je voor elke bewerking toestemming nodig hebt, inclusief verwijderen. Dus als je vandaag de dag opeens een database terugvindt met gegevens die je volgens de AVG niet mag hebben, dan heb je een probleem: bewaren mag niet, maar verwijderen ook niet...
Ook best bijzonder dat je vragen van potentiele studenten zo lang wil blijven bewaren.
Willen ze het zolang bewaren? Of waren ze vergeten het weg te gooien? Tien jaar terug dacht Jantje dat Pietje het nog nodig had, Pietje dacht dat Jantje het nog nodig had, daarom hebben ze het allebei voorlopig maar laten staan. En in de loop der tijd zijn ze allebei vergeten dat die bestanden nog ergens stonden, tien subdirectories diep, zodat niemand het ooit tegenkwam en zich afvroeg of die gegevens nog nodig zijn.
Als die gegevens zijn verzameld voordat de AVG van kracht werd, dan is het nogal logisch dat er geen AVG-geldige toestemming is gevraagd bij het vastleggen.

Ben zelf geen jurist, dus hoe het precies zit kan ik je niet vertellen, maar toen ik de regels indertijd door heb gelezen stond er expliciet vermeld dat je voor elke bewerking toestemming nodig hebt, inclusief verwijderen. Dus als je vandaag de dag opeens een database terugvindt met gegevens die je volgens de AVG niet mag hebben, dan heb je een probleem: bewaren mag niet, maar verwijderen ook niet...
Dat je deze gegevens verzameld hebt voordat de AVG van start ging had tot gevolg dat je voor het starten van de AVG alsnog toestemming moest gaan vragen voor het verwerken van deze gegevens.

Nee voor het verwijderen heb je geen toestemming nodig. Je moet opnieuw toestemming vragen wanneer je iets anders met de gegevens gaat doen dan waar je initieel toestemming voor hebt gegeven.
Willen ze het zolang bewaren? Of waren ze vergeten het weg te gooien? Tien jaar terug dacht Jantje dat Pietje het nog nodig had, Pietje dacht dat Jantje het nog nodig had, daarom hebben ze het allebei voorlopig maar laten staan. En in de loop der tijd zijn ze allebei vergeten dat die bestanden nog ergens stonden, tien subdirectories diep, zodat niemand het ooit tegenkwam en zich afvroeg of die gegevens nog nodig zijn.
Vergeten om dingen te doen ontslaat je niet van je verantwoordelijkheid. Juist dan kan verweten worden dat je nalatig/slordig bent geweest met een eventuele boete tot gevolg.
Dat je deze gegevens verzameld hebt voordat de AVG van start ging had tot gevolg dat je voor het starten van de AVG alsnog toestemming moest gaan vragen voor het verwerken van deze gegevens.
Ja, dat moet. Helaas leven we niet in een perfecte wereld en is dat in dit geval (en, naar ik vermoed, in heel veel andere gevallen) niet gedaan.
Nee voor het verwijderen heb je geen toestemming nodig.
Zoals ik het lees wel. Je hebt voor elke verwerking toestemming nodig en er wordt expliciet gesteld dat vernietigen ook een vorm van verwerking is:
Artikel 4
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
[..]
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Vergeten om dingen te doen ontslaat je niet van je verantwoordelijkheid.
Klopt, maar ik vond jouw "Ook best bijzonder dat je vragen van potentiele studenten zo lang wil blijven bewaren." (en zinnen in een heleboel andere reacties) klinken alsof er opzet in het spel is. Wat ik probeerde duidelijk te maken is dat ik daar helemaal niet van overtuigd ben. En hoewel een stommiteit je niet ontslaat van je verantwoordelijkheid is het wel degelijk relevant: juridisch kan de straf lager uitvallen (vergelijk dood door schuld met moord) en moreel ("publieke opinie") kunnen mensen ook een ander oordeel vellen over hoe boos ze zijn op (de verantwoordelijke medewerkers van) de HAN.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True