HAN rondt onderzoek datalek af: ruim 14.000 gevoelige gegevens gestolen

Bij het datalek dat de Hogeschool Arnhem-Nijmegen begin september trof zijn ruim 14.000 gevoelige gegevens buitgemaakt. Het gaat voornamelijk om oude wachtwoorden, waarvan er ruim 4000 onversleuteld op een server stonden. Dat blijkt uit het afgeronde onderzoek van de HAN.

Uit het onderzoek is gebleken dat een criminele hacker via een webformulier toegang heeft gekregen tot een server van de HAN met daarop onder meer 530.000 mailadressen. De hacker kon ook de gegevens van een grote hoeveelheid studenten en oud-studenten buitmaken waaronder de naam, het adres, de woonplaats, het e-mailadres en de telefoonnummers. Het gaat om gegevens die ingevuld zijn op online formulieren, onder meer voor het opvragen van informatie over opleidingen of aanmeldingen voor evenementen. Deze groep is volgens de HAN mogelijk slachtoffer geworden van phishing.

Ook zijn er van een veel kleinere groep mensen gegevens buitgemaakt die meer privacygevoelig zijn. Het gaat volgens de HAN over paspoort- en id-kaartnummers, niet-versleutelde wachtwoorden en persoonlijke gegevens over studievertraging, functiebeperkingen, politieke voorkeur en cv's. Volgens de HAN zijn de gegevens van studenten en aankomend studenten sinds 2009 verschillende formulieren hebben ingevuld. De niet-versleutelde wachtwoorden komen van een online omgeving die sinds 2018 niet meer in gebruik zijn. Hierover heeft de HAN eerder al getroffen studenten en oud-studenten ingelicht.

Er lekten ook versleutelde wachtwoorden van studenten van voor 2019, en de uitkomst van een enquête uit 2011 van studentenblad Sensor over de publieke voorkeur van studenten. Maar ook cv's van een matchingswebsite voor studenten en werkgevers van de HAN uit de periode 2009 tot 2019 werden buitgemaakt. In totaal zijn er 14.766 'gevoelige persoonsgegevens' uitgelekt, schrijft de HAN. Het leeuwendeel hiervan zijn niet-versleutelde wachtwoorden, 4381 wachtwoorden, en versleutelde wachtwoorden, 5194 stuks. Van 2087 studenten lekte uit wat voor functiebeperking zij hebben, bijvoorbeeld of zij een psychische aandoening hebben die hun studieloopbaan kan beïnvloeden.

De HAN zegt dat eerdere berichten waarin werd geschreven dat de hogeschool 10.000 euro losgeld betaalde voor de buitgemaakte gegevens, niet klopte. De hacker heeft volgens de hogeschool om een veelvoud hiervan gevraagd, maar de hogeschool benadrukt dat ze niet hebben betaald voor de gegevens. De criminele hacker zette de persoonsgegevens van studenten op 7 september online, omdat de betaling uitbleef.

Afbeelding: RTL Nieuws
Afbeelding: RTL Nieuws

Door Stephan Vegelien

Redacteur

Feedback • 05-10-2021 15:59 67

05-10-2021 • 15:59

67

Lees meer

Vijf HAN-studenten krijgen schadevergoeding van 300 euro voor datalek uit 2021
Vijf HAN-studenten krijgen schadevergoeding van 300 euro voor datalek uit 2021 Nieuws van 8 juli 2024
Honderden websites verzamelen data van webforms voordat gebruikers die versturen
Honderden websites verzamelen data van webforms voordat gebruikers die versturen Nieuws van 12 mei 2022
Man registreerde 160 domeinen om via phishing ongepubliceerde boeken te stelen
Man registreerde 160 domeinen om via phishing ongepubliceerde boeken te stelen Nieuws van 7 januari 2022
OM eist cel voor crimineel die na phishing geld stal via wifi van slachtoffers
OM eist cel voor crimineel die na phishing geld stal via wifi van slachtoffers Nieuws van 3 december 2021
Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online
Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online Nieuws van 7 september 2021
Hogeschool van Arnhem en Nijmegen meldt datalek met persoonsgegevens - update 2
Hogeschool van Arnhem en Nijmegen meldt datalek met persoonsgegevens - update 2 Nieuws van 3 september 2021
Personeelsgegevens van 1400 ambtenaren uit Gelderland zijn bij hack buitgemaakt
Personeelsgegevens van 1400 ambtenaren uit Gelderland zijn bij hack buitgemaakt Nieuws van 30 augustus 2021
Meer producten en artikelen
Onderwijs en werkgelegenheid Privacy Datalek

Reacties (67)

-Moderatie-faq
67
67
25
4
0
31
Wijzig sortering

Sorteer op:

Weergave:
Ttje 5 oktober 2021 16:07
De mail die ik als student een uur geleden heb mogen ontvangen:


Beste geadresseerde,

Ongetwijfeld heb je gehoord of gelezen dat een hacker heeft ingebroken op een server van de HAN. Tot mijn spijt zijn daarbij mogelijk ook enkele persoonsgegevens van jou gestolen. Daarbij gaat het om algemene persoonsgegevensgegevens zoals naam, adres, woonplaats, e-mailadres, telefoonnummer, maar in jouw geval ook om gegevens die je zelf hebt ingevuld in een vrij tekstveld op een van onze webformulieren, bijvoorbeeld omdat je vragen had over een Open Dag, een meeloopdag of een toneelvoorstelling.

Dat weten we omdat deze gegevens waren opgeslagen op de plek waar de hacker heeft ingebroken. We weten niet of hij ook daadwerkelijk al deze gegevens in handen en/of gepubliceerd heeft.

Mogelijke risico’s
Als de hacker de gegevens heeft, dan bestaat de kans dat hij deze gegevens verkoopt. Hierdoor loop je een groter risico dat cybercriminelen contact met je opnemen en bijvoorbeeld via mail, sms’jes of appjes vragen om geld of om je wachtwoord te wijzigen; het zogenaamde ‘phishing’. Bij de ‘Veelgestelde vragen’ op han.nl/datalek vind je tips om het risico daarop zo klein mogelijk te maken. Voor de hiervoor vermelde andere gegevens gelden mogelijk andere risico’s. Zie ook daarvoor han.nl/datalek.

Uiteraard hebben we direct maatregelen genomen om herhaling en verdere schade te voorkomen. Het lek is gedicht en interne en externe experts monitoren onze systemen voortdurend. We hebben contact met de politie en het datalek gemeld bij de Autoriteit Persoonsgegevens.

Voor aanvullende informatie en vragen verwijs ik je graag naar onze website han.nl/datalek. Of neem contact met ons op via ask@han.nl.

Digitale veiligheid is een groot goed, ook in het onderwijs en bij onderzoek, en heeft voortdurend onze aandacht. We vinden het enorm vervelend dat het ons toch niet is gelukt om deze inbraak te voorkomen. Onze oprechte excuses voor de overlast die je hierdoor mogelijk ervaart. Wij stellen alles in het werk om iedereen een veilige online omgeving te blijven bieden.

Met vriendelijke groet,
Yvonne de Haan
College van Bestuur
HAN University of Applied Sciences


Als 3e jaars student lijkt het er niet op dat gegevens van mij als student zijn gelekt, maar gegevens die ik heb ingevuld bij een formulier (waar mogelijk dus ook voor mijn opleiding), waar overigens ook het lek zat.
Mijn kennis in ICT ontbreekt, echter naar aanleiding van reacties onder het vorige bericht van het Datalek van de HAN blijkt het te gaan om vrij simpele fouten die gemaakt zijn of gewoon een te laag budget voor ICT. Goed schoolvoorbeeld voor een onderwijsinstelling die ook ICT opleidingen aanbiedt.

Bizar imho en dat terwijl we met z'n allen ruim 2k aan lesgeld betalen per jaar 8)7

edit: toelichting

[Reactie gewijzigd door Ttje op 23 juli 2024 20:36]

tisvonkje @Ttje5 oktober 2021 16:51
Bizar imho en dat terwijl we met z'n allen ruim 2k aan lesgeld betalen per jaar
Bizar is het zeker. Wat het te maken heeft met je 2k lesgeld weet ik niet. Vooral omdat je een veelvoud van dat bedrag kost.
Aardedraadje @Ttje5 oktober 2021 22:45
Mag ik vragen of je deze mail hebt ontvangen op een persoonlijk mail-adres, of je @student.han.nl-adres?
Ttje @Aardedraadje6 oktober 2021 07:36
Deze “persoonlijke” mail heb ik ontvangen op mijn prive email. De mail met het afronden van het onderzoek heb ik wel op mijn HAN email ontvangen. Wat daar de reden van is durf ik niet te zeggen..
Aardedraadje @Ttje6 oktober 2021 08:26
Ok, dank voor het antwoord!
EJlol @Ttje5 oktober 2021 16:23
2000 euro per jaar is niet zo heel veel. Dat is ongeveer 167 euro per maand. Stel het gemiddelde salaris is 2.500 euro per maand (de meesten zullen echter meer verdienen), dan heb je dus al 15 leerlingen nodig om 1 FTE te kunnen betalen. En dan heb je dus nog geen schoolgebouw, apparatuur, gas/elektriciteit, lesmateriaal, etc.

Gelukkig krijgen de scholen ook nog een flinke smak geld van de overheid, maar het is nog steeds geen vetpot ;).
redslow @EJlol5 oktober 2021 18:15
een student kost de samenleving ongeveer tussen 8000 en 14000 euro. Daarvan betaald de student zelf 2000 euro, de rest komt van de samenleving.

https://weblog.wur.nl/stu...ssubsidie-voor-studenten/

https://www.vrt.be/vrtnws...nt-u-komend-academiejaar/
Knijpoog @redslow6 oktober 2021 02:11
Ja en die zelfde student betaald (lees: wanneer afgestudeerd) een veelvoud van dat bedrag via belastingen terug aan de samenleving en dat niet alleen ook vergane kennis deelt hij in het algemeen met zijn medemens.

Iemand die beweerd dat studenten te duur zijn voor de samenleving begrijpt het belang van investeren niet.

[Reactie gewijzigd door Knijpoog op 23 juli 2024 20:36]

robvanwijk
@Knijpoog6 oktober 2021 02:39
Iemand die beweerd dat studenten te duur zijn voor de samenleving begrijpt het belang van investeren niet.
De post van redslow klinkt mij niet in de oren als "studenten kosten teveel belastinggeld", maar alleen als een weerwoord tegen Ttje's "Bizar imho en dat terwijl we met z'n allen ruim 2k aan lesgeld betalen per jaar 8)7". Ik zou het verwoorden als "Je studie wordt grotendeels betaald (of, als je de extra belasting die je de rest van je leven betaalt meeneemt: voorgeschoten) door de overheid. Niet te hard klagen over de 2k die je zelf bij moet leggen.".
redslow @Knijpoog6 oktober 2021 08:47
Vrij bijzondere opmerking. Ik geef alleen aan hoe duur een student is.

En mooi dat verhaaltje dat de persoon het geld terug betaald aan belasting via zijn/haar werk. Echter komen deze mensen ook later op de arbeidsmarkt.

Ik ken zat mensen, die direct na de middelbare school een bedrijf zijn begonnen. Die dus al jaren belasting afdragen zonder dat daarin direct word geïnvesteerd. Zeg ik hiermee dat studenten te duur zijn. Nee, maar er zitten wel kanttekeningen aan. Een van die zaken is dat gezonde arbeidskrachten later op de markt komen.

In mijn geval. Ik heb tot met 26e gestudeerd daarna pas op de arbeidsmarkt gekomen. Als ik kijk naar vrienden die vanaf hun 18e op die zelfde arbeidsmarkt zijn gekomen en in die 8 jaar kennis en ervaring hebben opgebouwd om nog niet te spreken over kapitaal. Blijf ik dus jaren achter lopen. Ondanks dat ik op een hogere arbeidschaal start qua salaris. Is alsnog het verschil netto maar zo een 100 euro per maand.

Die groep heeft dus al 8 jaar lang meegedraaid aan de economie, kennis opgedaan en gedeeld. Ik ben dus wel van mening dat er teveel studies zijn die beter zouden aansluiten als mensen direct bij bepaalde bedrijven gaan werken ipv studeren. Gelukkig zien we dat wel steeds meer op dr MBO”s. Maar er zijn ook zat HBO studies waarbij dat kan. Dan draait een student zowel mee aan de arbeidskracht, vergaart kennis door studie en doet ervaring op,
DirtyBird @Ttje5 oktober 2021 18:49
Dat is wel een populistische dooddoener. Als de kwaliteit van het onderwijs ondermaats is, of de staat van de gebouwen, of de apparatuur, kun je ook die 2k lesgeld aanhalen. Je kan elke euro echter maar 1 keer uitgeven.

Neemt niet weg dat het extreem slordig is, en niet zoveel met geld te maken heeft, dat data onversleuteld toegankelijk is via een webformulier.
theobril @Ttje5 oktober 2021 23:34
Weet jij toevallig ook wat een publieke voorkeur is, daar je er hebt gestudeerd? "de uitkomst van een enquête uit 2011 van studentenblad Sensor over de publieke voorkeur van studenten"
Dualdude @Ttje7 oktober 2021 13:36
Ik heb deze mail ook gehad. Heel bijzonder, want ik ben in 2009 afgestudeerd op een compleet andere school in een hele andere regio van het land. Ben voor zover ik weet zelfs nooit bij de HAN geweest of er mee in aanraking gekomen. Zelfs nooit de intentie gehad er te gaan studeren. Dus wel erg bijzonder waar ze m'n mail adres hebben opgeduikeld.
metalmania_666 5 oktober 2021 16:04
Vooral het feit dat de HAN bijzondere persoonsgegevens heeft verzameld zoals over het geloof politieke voorkeuren doet mij de wenkbrauwen fronsen.
Ik hoop dat ze daar een gegronde reden voor hadden.
BSN is géén bijzonder persoonsgegeven


//edit// geloof moet politieke voorkeur zijn

[Reactie gewijzigd door metalmania_666 op 23 juli 2024 20:36]

CAPSLOCK2000
@metalmania_6665 oktober 2021 17:22
Vooral het feit dat de HAN bijzondere persoonsgegevens heeft verzameld zoals over het geloof politieke voorkeuren doet mij de wenkbrauwen fronsen.
Je hoeft het niet te verzamelen om het te hebben.

Ik heb wel eens iets met het aannemen en inschrijven van internationale studenten te maken gehad. Omdat het internationaal was waren de procedures wat minder strak omlijnt en vaak onbekend. Sommige studenten deden er alles aan om bij ons te mogen komen studeren en stuurde een aanbeveilingsbrief van meneer pastoor mee. Anderen deden melding van handicaps of beperkingen of vertelde over hun motivatie om te komen studeren. Het wordt heel snel heel persoonlijk en gevoelig.

Daar hebben wij nooit om gevraagd maar we kregen het wel en eenmaal ontvangen moet je het een tijd bewaren.

Maar het kan ook iets heel anders zijn zoals dat op die server een forum draaide waar studenten vrij op konden posten. Dan kan het zijn dat er iemand post "Volgende week ga ik met Partij X demonstreren in Den Haag, wie gaat er mee?"
Om iemand die een backup van z'n mailbox heeft gemaakt en heeft laten slingeren.

Ik zou er dus niet te veel achter zoeken dat ze die gegevens hebben.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 20:36]

florisgek @metalmania_6665 oktober 2021 16:12
Als student van de HAN heb ik hier zelf nooit vragen over gehad. ben wel benieuwd waar je dit hebt gelezen.
metalmania_666 @florisgek5 oktober 2021 16:15
Ook zijn er van een veel kleinere groep mensen gegevens buitgemaakt die meer privacygevoelig zijn. Het gaat volgens de HAN over paspoort- en id-kaartnummers, niet-versleutelde wachtwoorden en persoonlijke gegevens over studievertraging, functiebeperkingen, politieke voorkeur en cv's. Volgens de HAN zijn de gegevens van studenten en aankomend studenten sinds 2009 verschillende formulieren hebben ingevuld
//Edit// in mijn eerste comment sprak ik over geloof, maar bedoelde politieke voorkeuren

[Reactie gewijzigd door metalmania_666 op 23 juli 2024 20:36]

Soldaatje @florisgek5 oktober 2021 16:16
Over geloof zie ik ook niks maar wel over functiebeperking waaruit mogelijk medische informatie te halen is, en politieke voorkeur. Dat zijn wel bijzondere persoonsgegevens.

https://photo.24liveblog....0211005104703_085667.jpeg
Wolfos @Soldaatje5 oktober 2021 23:10
Politieke voorkeur gaat om een enquete, dus dat zal niet persoonsgebonden zijn.
Roel911 @metalmania_6665 oktober 2021 16:08
BSN is fraudegevoelig.
metalmania_666 @Roel9115 oktober 2021 16:16
Klopt dat BSN fraude gevoelig is, maar voor de AVG is het geen bijzonder persoonsgegeven
HansMij @metalmania_6665 oktober 2021 21:52
Het is in ieder geval bijzonder genoeg om alleen te mogen gebruiken in situaties die wettelijk zijn omschreven.
bron
SuperSiggy @metalmania_6665 oktober 2021 17:02
Blijkt er uit het artikel werkelijk dat ze actief deze gegevens verzameld hebben? Het lijk er meer op dat er informatie uit een webformulier waar studenten vragen konden stellen aan bijvoorbeeld het decanaat niet is verwijderd. Vaak zijn juist dit soort processen (nog) niet ondergebracht in een systeem en wordt de info in majes op de fileserver of Sharepoint bewaard. Het werkelijke vastleggen gebeurt meestal wel in een bron systeem zoals een SIS (student Informatiesysteem). Ook worden de werkdocumenten en emails worden helaas niet altijd direct na afronding van het aanvraagproces verwijderd. Wat het lek zelf overigens niet minder ernstig maakt. Maar de aanname dat ze dit soort informatie actief hebben verzameld lijkt me één die onwaarschijnlijk is.
Nostalgmus @metalmania_6665 oktober 2021 16:16
De hacker kon ook de gegevens van een grote hoeveelheid studenten en oud-studenten buitmaken waaronder de naam, het adres, de woonplaats, het e-mailadres en de telefoonnummers. Het gaat om gegevens die ingevuld zijn op online formulieren, onder meer voor het opvragen van informatie over opleidingen of aanmeldingen voor evenementen. Deze groep is volgens de HAN mogelijk slachtoffer geworden van phishing.
Ook zijn er van een veel kleinere groep mensen gegevens buitgemaakt die meer privacygevoelig zijn. Het gaat volgens de HAN over paspoort- en id-kaartnummers, niet-versleutelde wachtwoorden en persoonlijke gegevens over studievertraging, functiebeperkingen, politieke voorkeur en cv's.
Over welk feit ?, geloofs overtuiging staat er niet tussen @metalmania_666 nummer van het beest :P stoere jongen ;)
metalmania_666 @Nostalgmus5 oktober 2021 16:36
FOUT, FOUT FOUT,
shame on me.
Ik bedoelde politieke voorkeuren :+
Ootje70 5 oktober 2021 16:16
Het klopt dat het BSN geen bijzonder persoonsgegevens is volgens de AP. Wat zij wel zeggen is:

Artikel 46 van de Uitvoeringswet AVG (UAVG) regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen bij de wet bepaald.

En laten scholen nu via DUO verschillende gegevens binnenkrijgen inclusief het BSN. Maar ik denk ook niet dat ze een goede grondslag hebben voor het vastleggen van geloofsovertuiging en/of medische gegevens....
daredevil__2000 @Ootje705 oktober 2021 18:02
En laten scholen nu via DUO verschillende gegevens binnenkrijgen inclusief het BSN.
Deze gegevens krijg je als school niet binnen via DUO maar via de aanmelding van je student tijdens het digitaal inschrijven.
Maar ik denk ook niet dat ze een goede grondslag hebben voor het vastleggen van geloofsovertuiging en/of medische gegevens....
Voor het vastleggen van een geloofsovertuiging of een politieke voorkeur is er standaard geen wettelijk grondslag. De uitzondering hierop is hooguit wanneer je een anti-pest programma hebt en deze voorkeur of overtuiging onderdeel is van het pesten.

Voor het vastleggen van medische gegevens is zeker wel een grondslag. Denk bijvoorbeeld maar aan dyslexie, faalangst enz. Wel horen dit soort gegevens alleen inzichtelijk te zijn bij je studentenadministratie en de zorg coördinator. De grondslag daarbij is dat je deze gegevens dient vast te leggen om de student goed te kunnen faciliteren. Denk bijvoorbeeld aan extra tijd tijdens toetsen, het mondeling afnemen van toetsen, extra begeleidingstrajecten enz.
jeroen13m 5 oktober 2021 17:03
Ik neem aan dat de HAN nog wel een boete krijgt voor het niet navolgen van de AVG regels?
tweaker2010 @jeroen13m5 oktober 2021 19:23
Wat is het nut van een boete als ze deze kunnen doorberekenen middels collegegeld aan hun studenten?
TheProf82 @tweaker20105 oktober 2021 20:23
Wat is het nut van een boete als ze deze kunnen doorberekenen middels collegegeld aan hun studenten?
"De overheid bepaalt jaarlijks de hoogte van het wettelijk collegegeld."
nutty @jeroen13m6 oktober 2021 03:17
Ha ha,een boete van de overheid aan de overheid.
YaPP 5 oktober 2021 16:13
Onvoorstelbaar. Dit is toch een "schoolvoorbeeld" van hoe het dus niet moet. Ook totaal ook niet AVG-proof. Ik hoop dat er iemand is wakkergeschrokken daar.

Precies om deze reden hebben we een AVG, en moet je als organisatie in kaart brengen welke gegevens je bijhoud, en voor hoe lang. En als het niet meer nodig is, deze gegevens verwijderen. Nu zijn er veel oud-student gegevens buitgemaakt door een hack die 12 jaar na het afronden van iemands studie plaatsvond.

Onversleutelde wachtwoorden is al decenia not-done. En opslaan wat welke psychische aandoeningen mensen hebben, valt onder medische informatie. Je mag ook daarvoor een veel hoger beveiligingsniveau verwachten.

[Reactie gewijzigd door YaPP op 23 juli 2024 20:36]

SuperSiggy @YaPP5 oktober 2021 16:50
Als je weet hoe er over ICT wordt gedacht bij de niet ICT organisatie eenheden van een onderwijsinstelling dan is dit alles behalve 'Onvoorstelbaar'. Bewustwordingen is een behoorlijke uphill battle zeker als het om om decentrale (lees binnen de opleiding of faculteit) dataverwerking en bedrijfs en onderwijsprocessen gaat. Laat staan werkelijk beleid en naleving daarvan.
daredevil__2000 @SuperSiggy5 oktober 2021 17:54
Dat klopt helemaal. Bij onze onderwijsinstelling was buiten de IT afdeling destijds maar beperkt besef van hoe je veilig zou moeten werken. De toenmalige directeur vond het maar vervelend die privacy regeltjes. Gelukkig kwam daar 6 jaar geleden na een directiewissel en het ingaan van de AVG wetgeving een flinke verandering in. Tegenwoordig draagt de afdeling dan ook de naam informatiemanagement en wordt er veel waarde gehecht aan de aanbevelingen van de FG-er en de CISO. Medewerkers kloppen nu zelf aan bij de FG wanneer ze een nieuw project starten waarbij mogelijk gegevens verwerkt worden of wanneer ze twijfelen of iets wel mag binnen de AVG. Als school zitten we dan ook al jaren in de top 10 van de IBP monitor
nutty @YaPP6 oktober 2021 03:22
Urghm,alleen als mensen daarvoor moeten bloeden,(ontslag megaboete oid).
En dat is 9 van de tien keer niet het geval,en zal het blijven bij een excuus oid,waarna er dus geen lering uit wordt getrokken voor de volgende,of afschrikkende werking optreedt....
roccothehelper @YaPP6 oktober 2021 10:22
Momenteel studeer ik ICT bij de HAN. Leraren drukken vaak op dit soort punten. Ik geloof ook dat de systemen van de ICT opleidingen (ze maken allemaal gebruik van eigen systemen) wel goed zijn.

Wat @SuperSiggy meld ben ik het ook volledig mee eens. Daar aan kan ik toevoegen, dat zowel hier bij de HAN als bij Graafschap College waar ik een opleiding applicatie ontwikkelaar gedaan hebt, ICT en de ICT opleidingen niet de meeste aandacht krijgen.

Waar er bij andere opleidingen groot werd geïnvesteerd om nieuwe lokalen te maken met stop contacten in bureau's, en stoelen te regelen die fatsoenlijk zijn. Zitten ze bij de ICT opleidingen met te weinig stop contacten waardoor studenten soms zelf stekker dozen mee moesten nemen. De lokalen zien er vaak ook niet uit. Stoelen zijn ouder dan mij en echt niet goed genoeg om 8 uur in te zitten.

Edit:
Zowel de opleiding van Graafschap College als die van de HAN worden als beste van Nederland in studie keuze gidsen gezet. Kan me niet voorstellen hoe het bij anderen zal zijn.

[Reactie gewijzigd door roccothehelper op 23 juli 2024 20:36]

Aardwolf @YaPP14 oktober 2021 12:09
Precies om deze reden hebben we een AVG, en moet je als organisatie in kaart brengen welke gegevens je bijhoud, en voor hoe lang. En als het niet meer nodig is, deze gegevens verwijderen.
Er valt inderdaad te concluderen dat de naleving op AVG niet op orde is. Anders waren de gegevens wel afgeschermd (rechten), versleuteld of verwijderd geweest.
Zie zelfs bericht van Joris748 in 'nieuws: HAN rondt onderzoek datalek af: ruim 14.000 gevoelige ge... , data van 20 jaar geleden. Absurd.
TheProf82 5 oktober 2021 17:17
Het probleem hier is bekend in de sector en ontstaat door gebrek aan inzicht, informatiemanagement en eigenaarschap. Pas als je weet wat waar draait met welke informatie kan je het over privacy en security hebben.
daredevil__2000 @TheProf825 oktober 2021 17:45
Het grote probleem in de sector is dat de IT op veel scholen grotendeels uitbesteed wordt. Vaak zit er niet meer dan een ICT manager en een paar helpende handjes voor de 1e lijn helpdesk vragen. Inzicht in hoe alles op elkaar aangesloten zit, welke gegevens waar gebruikt worden en hoe goed je leveranciers de boel wel of niet op orde hebben ontbreekt. Helaas zijn er veel bedrijven welke dankbaar gebruik maken van de onwetendheid van deze scholen. Ik wordt meerdere keren per week lastig gevallen door bedrijven welke denken wel even makkelijk geld binnen te kunnen harken bij jou als onderwijsinstelling. Zodra je door gaat vragen dan merk je vaak genoeg al snel dat ze hun zaakjes niet op orde hebben.
SuperSiggy @daredevil__20006 oktober 2021 10:38
Dat is niet mijn ervaring en ik werk bijna 10 jaar bij een hogeschool. Ik zie juist het tegenovergestelde. De "helpende handjes" zijn bijna allemaal verdwenen omdat de meeste applicaties SAAS oplossingen zijn. Daarvoor in de plaats zijn er meer infra medewerkers, data specialisten die de api's van de SAAS moeten voeden, FG's en informatie management collega's bij gekomen. Het probleem zit e'm, vooral in de kleinere processen in de faculteiten/opleidingen zelf waar geen aangewezen applicaties voor zijn. De gemiddelde medewerker/docent moet nog groeien in het bewust zijn als het om dataverwerking gaat. Vergeet niet dat we jaren lang allerlei informatie wel gewoon overal en nergens opborgen en toets resultaten gewoon aan de muur in de gang hingen. Deze nieuwe standaard adopteren kost een tijd, zeker bij een medewerkersgroep als docenten.. Alle informatie wat niet direct met de student of hun rooster te maken heeft wordt, of niet gelezen of als niet relevant door het onderbewuste deel van hun brein van het ene naar het andere oor gestuurd : )
SjorsWinkenius 5 oktober 2021 16:18
Als student van de HAN, verbaast me het niks dat de data gelekt is. Na vier jaar sta ik niet meer versteld van hoe incapabel het management is en ik hoop dat er nu serieus wordt gekeken naar de beveiliging van de zeer kostbare data van de duizenden studenten. Wat een grap.
MadMarky 5 oktober 2021 21:11
Het gaat voornamelijk om oude wachtwoorden, waarvan er ruim 4000 onversleuteld op een server stonden. Dat blijkt uit het afgeronde onderzoek van de HAN.
En dan te bedenken dat 20 jaar geleden toen ik bij de HAN begon je standaard ingestelde welkomstwachtwoord je BSN nummer was 8)7
Natuurlijk destijds snel veranderd en sowieso hopelijk al te lang geleden om bij deze dataset te zitten.
Aardedraadje 5 oktober 2021 22:43
Wat ik als alumnus nog steeds mis aan het hele verhaal is: hoe controleer ik of ik tussen het lek zat?

De HAN zegt eerder in september al 4300 meldingen te hebben gedaan, maar zijn dat daadwerkelijk alle getroffen studenten? En nu geven ze aan de "3% groep" met gevoelige informatie geïnformeerd te hebben. En de grotere groep met minder gevoelige data wordt deze week geïnformeerd. Maar wat houdt dat in? Is er een mailtje gestuurd, en dan wordt het afgehandeld geacht? Ook in gevallen van verlopen mails? Wat doet de HAN bijvoorbeeld met gegevens van alumni waarvan alleen een (verlopen) @student.han.nl bekend was? Of geen mail-adres?

Concreet: als ik niks hoor, hoe zeker weet ik dan dat er ook echt niks aan de hand is? Wordt de dataset nog gedeeld met diensten als HIBP of blijft het hierbij?

[Reactie gewijzigd door Aardedraadje op 23 juli 2024 20:36]

robvanwijk
@Aardedraadje6 oktober 2021 02:59
Hoe groot acht je de kans dat iemand van de HAN de comments op Tweakers naleest op zoek naar vragen? Waarom stuur je niet gewoon een mail naar alumni@han.nl (of whatever het adres is voor contact met alumni) om je vragen te stellen...?
Of je kunt het emailadres gebruiken uit de post van Ttje:
Voor aanvullende informatie en vragen verwijs ik je graag naar onze website han.nl/datalek. Of neem contact met ons op via ask@han.nl.
Aardedraadje @robvanwijk6 oktober 2021 08:27
Ja, dat is eigenlijk gewoon het beste idee. Geen idee waarom ik daar niet op gekomen ben.

Edit: Ik heb de vragen gesteld, maar krijg alleen als antwoord "Mochten je gegevens bij de gelekte data zitten, dan ontvang je komende week een mail op het bij ons bekende e-mailadres. "

[Reactie gewijzigd door Aardedraadje op 23 juli 2024 20:36]

daredevil__2000 5 oktober 2021 16:30
Ik ben wel benieuwd op basis van welke wettelijke grondslag de school van mening was de politieke voorkeur van studenten vast te mogen leggen. Dit valt immers onder de bijzondere persoonsgevevens.
https://www.autoriteitper...rsoonsgegevens&scrollto=1

Als school mag je deze gegevens alleen bij uitzondering vastleggen. Dit bijvoorbeeld wanneer dit wenselijk is voor een anti-pest programma.

Los daarvan rammelt er natuurlijk heel veel aan de situatie bij de HAN. Voor de gegevens van 2009 is er zeer waarschijnlijk geen toestemming gevraagd of deze nog steeds gebruikt mogen worden. Ook best bijzonder dat je vragen van potentiele studenten zo lang wil blijven bewaren.
Rhymer @daredevil__20007 oktober 2021 00:26
Ik ben wel benieuwd op basis van welke wettelijke grondslag de school van mening was de politieke voorkeur van studenten vast te mogen leggen. 
De HAN had een studentenblad (Sensor) en voor een verkiezingsspecial is er een formulier open gezet. Dit heeft niets met beleid te maken maar met slordigheid. (Ik werk er)
nutty @daredevil__20006 oktober 2021 03:19
"Dit bijvoorbeeld wanneer dit wenselijk is voor een anti-pest programma."
Dan nog zie ik niet waarom dit relevant zou zijn,welke godsdienst,politieke kleur of whatever is nooit een excuus voor pesten,en dus niet relevant.
daredevil__2000 @nutty6 oktober 2021 09:20
Op het moment dat je met een anti-pest programma bezig bent dan help je een student hier in. Tijdens zulke situatie zou vastgelegd kunnen worden wat de precieze oorzaak is van het pesten in dat specifieke geval. Op zo'n moment leg je dus deze bijzondere persoonsgegevens vast in het betreffende dossier.
robvanwijk
@nutty6 oktober 2021 12:56
Dan nog zie ik niet waarom dit relevant zou zijn,welke godsdienst,politieke kleur of whatever is nooit een excuus voor pesten,en dus niet relevant.
Dat kun je wat mij betreft nog korter stellen: er is nooit een excuus voor pesten. Maar dat er geen excuus is, betekent niet dat de "reden" voor het pesten dan opeens niet relevant is. Aan de kant van het slachtoffer helpt het mogelijk bij de (psychologische) ondersteuning. Aan de kant van de dader helpt het mogelijk om te begrijpen wat hem bezielt.
tweaker2010 @daredevil__20005 oktober 2021 17:29
Dat zijn inderdaad een bijzondere persoonsgegevens wat je noemt. Dit zegt de Onderwijsbond erover:

Privacyverplichtingen: volgens de Wet bescherming persoonsgegevens
Een ander belangrijk wettelijk kader bij informatieoverdracht en opslag is de Wet bescherming persoonsgegevens (Wbp). De Wbp stelt bepaalde voorwaarden aan de verwerking van gegevens. Dit betekent bijvoorbeeld dat scholen en samenwerkingsverbanden de ouders moeten informeren over de verwerking van leerlinggegevens en dat die gegevens over leerlingen slechts mogen worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij zijn verzameld, “toereikend, ter zake dienend en niet bovenmatig zijn” (proportioneel dus, niet elke handeling hoort in het dossier, zie artikel 11 Wbp). Ook mogen gegevens over leerlingen niet langer dan noodzakelijk worden bewaard, moeten passende maatregelen worden getroffen voor de beveiliging van de leerlinggegevens en moeten ouders en leerlingen in staat worden gesteld om de rechten die de Wbp hen toekent, zoals het inzage- en correctierecht, uit te oefenen.
https://www.aob.nl/wp-con...-leraren-in-de-school.pdf

[Reactie gewijzigd door tweaker2010 op 23 juli 2024 20:36]

daredevil__2000 @tweaker20105 oktober 2021 17:38
Ik werk zelf bij een MBO school en ben prima op de hoogte van de AVG regelgeving met betrekking tot het onderwijs. Buiten een eventueel anti-pest programma kan ik geen enkele reden bedenken waarom wij van studenten vast zouden willen leggen wat hun politieke voorkeur is. Maar ja in tegenstelling tot sommige hogescholen en universiteiten zijn onze lessen dan ook politiek neutraal. Dus misschien heeft het daar iets mee te maken :+

Voor het bewaren van gegevens welke al in 2009 zijn verstrekt via webformulieren is echt geen goed woord te zeggen. Er is geen enkele wettelijke basis waarom je de inhoud van een webformulier van 2009 zou willen bewaren. Dat deze hogeschool dit wel doet geeft al aan hoe serieus ze met de AVG wetgeving en de bescherming van persoonsgegevens bezig zijn.
robvanwijk
@daredevil__20006 oktober 2021 02:52
Als school mag je deze gegevens alleen bij uitzondering vastleggen. [..] Los daarvan rammelt er natuurlijk heel veel aan de situatie bij de HAN. Voor de gegevens van 2009 is er zeer waarschijnlijk geen toestemming gevraagd of deze nog steeds gebruikt mogen worden.
Als die gegevens zijn verzameld voordat de AVG van kracht werd, dan is het nogal logisch dat er geen AVG-geldige toestemming is gevraagd bij het vastleggen.

Ben zelf geen jurist, dus hoe het precies zit kan ik je niet vertellen, maar toen ik de regels indertijd door heb gelezen stond er expliciet vermeld dat je voor elke bewerking toestemming nodig hebt, inclusief verwijderen. Dus als je vandaag de dag opeens een database terugvindt met gegevens die je volgens de AVG niet mag hebben, dan heb je een probleem: bewaren mag niet, maar verwijderen ook niet...
Ook best bijzonder dat je vragen van potentiele studenten zo lang wil blijven bewaren.
Willen ze het zolang bewaren? Of waren ze vergeten het weg te gooien? Tien jaar terug dacht Jantje dat Pietje het nog nodig had, Pietje dacht dat Jantje het nog nodig had, daarom hebben ze het allebei voorlopig maar laten staan. En in de loop der tijd zijn ze allebei vergeten dat die bestanden nog ergens stonden, tien subdirectories diep, zodat niemand het ooit tegenkwam en zich afvroeg of die gegevens nog nodig zijn.
daredevil__2000 @robvanwijk6 oktober 2021 09:17
Als die gegevens zijn verzameld voordat de AVG van kracht werd, dan is het nogal logisch dat er geen AVG-geldige toestemming is gevraagd bij het vastleggen.

Ben zelf geen jurist, dus hoe het precies zit kan ik je niet vertellen, maar toen ik de regels indertijd door heb gelezen stond er expliciet vermeld dat je voor elke bewerking toestemming nodig hebt, inclusief verwijderen. Dus als je vandaag de dag opeens een database terugvindt met gegevens die je volgens de AVG niet mag hebben, dan heb je een probleem: bewaren mag niet, maar verwijderen ook niet...
Dat je deze gegevens verzameld hebt voordat de AVG van start ging had tot gevolg dat je voor het starten van de AVG alsnog toestemming moest gaan vragen voor het verwerken van deze gegevens.

Nee voor het verwijderen heb je geen toestemming nodig. Je moet opnieuw toestemming vragen wanneer je iets anders met de gegevens gaat doen dan waar je initieel toestemming voor hebt gegeven.
Willen ze het zolang bewaren? Of waren ze vergeten het weg te gooien? Tien jaar terug dacht Jantje dat Pietje het nog nodig had, Pietje dacht dat Jantje het nog nodig had, daarom hebben ze het allebei voorlopig maar laten staan. En in de loop der tijd zijn ze allebei vergeten dat die bestanden nog ergens stonden, tien subdirectories diep, zodat niemand het ooit tegenkwam en zich afvroeg of die gegevens nog nodig zijn.
Vergeten om dingen te doen ontslaat je niet van je verantwoordelijkheid. Juist dan kan verweten worden dat je nalatig/slordig bent geweest met een eventuele boete tot gevolg.
robvanwijk
@daredevil__20006 oktober 2021 12:49
Dat je deze gegevens verzameld hebt voordat de AVG van start ging had tot gevolg dat je voor het starten van de AVG alsnog toestemming moest gaan vragen voor het verwerken van deze gegevens.
Ja, dat moet. Helaas leven we niet in een perfecte wereld en is dat in dit geval (en, naar ik vermoed, in heel veel andere gevallen) niet gedaan.
Nee voor het verwijderen heb je geen toestemming nodig.
Zoals ik het lees wel. Je hebt voor elke verwerking toestemming nodig en er wordt expliciet gesteld dat vernietigen ook een vorm van verwerking is:
Artikel 4
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
[..]
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Vergeten om dingen te doen ontslaat je niet van je verantwoordelijkheid.
Klopt, maar ik vond jouw "Ook best bijzonder dat je vragen van potentiele studenten zo lang wil blijven bewaren." (en zinnen in een heleboel andere reacties) klinken alsof er opzet in het spel is. Wat ik probeerde duidelijk te maken is dat ik daar helemaal niet van overtuigd ben. En hoewel een stommiteit je niet ontslaat van je verantwoordelijkheid is het wel degelijk relevant: juridisch kan de straf lager uitvallen (vergelijk dood door schuld met moord) en moreel ("publieke opinie") kunnen mensen ook een ander oordeel vellen over hoe boos ze zijn op (de verantwoordelijke medewerkers van) de HAN.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq