Vijf HAN-studenten krijgen schadevergoeding van 300 euro voor datalek uit 2021

Enkele studenten van de Hogeschool van Arnhem en Nijmegen krijgen een schadevergoeding van 300 euro vanwege een datalek. Bij een incident in september 2021 verkreeg een aanvaller toegang tot de persoonsgegevens van studenten en medewerkers van de HAN.

In totaal zijn zeven (oud-)studenten naar de rechter gestapt om een schadevergoeding te claimen. Het aantal zou relatief laag zijn vanwege de strenge eisen die aan dergelijke claims worden gesteld. Vijf van de zeven studenten hebben volgens de juridische afdeling van HAN recht op een schadevergoeding van 300 euro, schrijft de Gelderlander. Een van de studenten krijgt nog eens 300 euro extra vanwege een incident dat in januari dit jaar plaatsvond. De medische gegevens van enkele studenten waren toen in detail op een aanwezigheidslijst voor een tentamen terechtgekomen.

Bij het datalek in 2021 verkreeg een hacker toegang tot een server van de HAN met daarop meer dan een half miljoen e-mailadressen en ruim 14.000 privacygevoelige gegevens, waaronder nummers van identiteitsbewijzen, niet-versleutelde wachtwoorden, politieke voorkeuren, cv's en informatie over studievertragingen. De hacker zette de gestolen gegevens online, omdat de hogeschool het gevraagde losgeld niet wilde betalen.

Reacties (61)

Yzord 8 juli 2024 19:26

Hier heb ik als IT medewerker (inmiddels ex) toen voor gewaarschuwd. Er werd niks mee gedaan. Het hele beleid toentertijd was uitermate stuitend te noemen. Laat ik het zo zeggen, ik was toen de wappie die met scenario's aan kwam zetten en wat werd weggewuifd als niet belangrijk. Zie daar.

jopiek @Yzord • 9 juli 2024 07:45

Inmiddels drukken ze eenieder zogeheten Arda-modules door de strot. Scholen zijn overheid en daar gaan zulke processen vaak traag. Zoals met veel dingen: als het kalf verdronken is...

Ik heb ooit met leerlingen gegevens opgevraagd bij gemeentes (protocolgegevens van de BRP, dus wat men over mij en leerlingen verstrekt had aan derden). Ik deed dat om leerlingen ook bewust te maken van wat er over hen werd verzameld e.d. maar overheid werkte eigenlijk gewoon tegen. Daar heb je recht op, maar veel gemeentes vonden ons maar irritant. Mijn eigen gegevens klopten aan geen kanten, heel veel (waarvan ik weet had, o.a. notarisverstrekkingen e.d.) ontbraken gewoon.

SVMartin 8 juli 2024 17:08

Heeft HAN er (toen) nog een boete voor gekregen? Niet versleutelde wachtwoorden? En hoeveel cv's waren het? (Vaak heb je die voor een korte periode nodig), en wat moet een school met politieke voorkeuren? Ik schrik hier een beetje van..

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Nederland
Hack
Datalek

@SVMartin • 8 juli 2024 17:18

Heeft HAN er (toen) nog een boete voor gekregen? Niet versleutelde wachtwoorden?

Ik denk het niet, wie zou die boete moeten geven en op grond van welke wet?
Ik zeg niet dat er niks verkeerds is gegaan, maar volgens mij is er geen wet die het strafbaar stelt. Je kan misschien betogen dat ze nalatig zijn geweest en dat de slachtoffers recht hebben op een schadevergoeding, zoals die vijf studenten.

SVMartin @CAPSLOCK2000 • 8 juli 2024 17:28

Nog wat gevonden:

sam.han.nl/lees/actueel-lees/han-gaat-niet-in-op-afpersing-persoonsgegevens

https://www.han.nl/nieuws...ert-mogelijk-getroffenen/

Dit is wat de AP kan:

https://www.autoriteitper...andere-sancties-van-de-ap

Wellicht dat een verwerkings verbod van toepassing is, de lijst heeft een onderwijs instelling dit jaar. Een berisping vind ik ook een mooie. Maar ik vind niet zo snel iets over een onderzoek?

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Nederland
Hack
Datalek

@SVMartin • 8 juli 2024 17:33

Wellicht dat een verwerkings verbod van toepassing is, de lijst heeft een onderwijs instelling dit jaar. Een berisping vind ik ook een mooie. Maar ik vind niet zo snel iets over een onderzoek?

Op grond van mijn ervaring gaat dat niet gebeuren. De AP is heel ruimhartig zolang je maar een beetje goede wil toont. Ze moeten wel, gezien het grote aantal overtredingen is het beter om de energie te richten op de echte schurken dan op domme fouten. Niet optimaal, wel begrijpelijk.
Wettelijk gezien is er ook weinig ruimte om veel strenger op te treden, onze wetten zijn nog vrij primitief als het gaat om dataveiligheid en privacy.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CAPSLOCK2000 • 8 juli 2024 18:45

Hier in Europa hebben we met de GDPR zo ongeveer de strengste privacy wetgeving ter wereld.

evers97 @Bor • 8 juli 2024 23:53

Dat wordt amper nageleefd door bedrijven omdat de onderzoeksinstanties het al ontzettend druk hebben, en als je toch aan de beurt bent, gewoon dom spelen en goede wil uitstralen dat je het gaat verbeteren.

Quintiemero @CAPSLOCK2000 • 8 juli 2024 19:23

Niks met ruimhartig te maken. Ze kiezen er bewust voor om geen issues aan te pakken die geen grote maatschappelijke impact hebben. Ik noem de gemeente die gepseudonimiseerde afvalgegevens te lang bewaarde geen echte boef. Daarnaast kan het prima zijn dat AP met ze heeft geschakeld maar er geen boete uit is gekomen.

roelst1 @CAPSLOCK2000 • 8 juli 2024 17:23

Ik denk inderdaad dat hier sprake is geweest van nalatigheid (vandaar dat deze studenten een schadevergoeding hebben gekregen) en dat kan wel degelijk een strafbaar feit zijn. Ik hoop oprecht dat de HAN er niet vanaf komt met 6x300 = 1800 euro.

gaskabouter @roelst1 • 8 juli 2024 18:57

Als ik het zo zie is het gewoon een civiele zaak en geen strafzaak. Dan is het simpele feit dat je schade hebt geleden al voldoende. Met het besluit niet te betalen hebben ze die schade mede veroorzaakt. Zegt niet zoveel over nalatigheid maar is gewoon "door schuld"

Aurera @SVMartin • 8 juli 2024 17:15

Ik had exact dezelfde vraag. Welke grondslag heeft de HAN voor de verwerking van de politieke voorkeuren van haar studenten (en medewerkers?)?

Horatius @Aurera • 8 juli 2024 17:52

Lid van een vereniging, in aantekeningen of wat dan ook zou makkelijk in deze data terecht gekomen kunnen zijn. Daar is wel grondslag voor. Het lijkt mij heel sterk dat de HAN de moeite zou doen om deze data op een of andere wijze te verkrijgen van derde partijen. Het is niet duidelijk of dit in een aparte tabel stond met "politieke voorkeur" of gewoon tussen de andere data door gemixt stond.

Zou niet te gauw de hooivorken erbij pakken aangezien dit een school is en geen Facebook of Google waar het businessmodel wel gericht is op data verzamelen en daarmee geld verdienen.
Maar vraagtekens bij zetten dat zeker, want standaard zie ik er geen grondslag voor.

Aurera @Horatius • 9 juli 2024 09:12

Ik kan voor de HAN (of scholen in het algemeen) geen enkel scenario bedenken waarin het verwerken van de politieke voorkeur nodig is voor het uitvoeren van haar primaire taak. Omgedraaid daarentegen is het lekken van de politieke voorkeur wel een risico voor rechten en vrijheden van haar studenten (en medewerkers?).

Het gaat mij niet om het “hooivorken erbij pakken”, maar wel om de risicobewustzijn die men moet krijgen wanneer je dergelijke informatie verwerkt. Ook wanneer je dergelijke informatie verwerkt in gespreksnotities moet je jezelf afvragen of je die informatie écht nodig hebt.

Quintiemero @Horatius • 8 juli 2024 19:24

En wat is die grondslag dan? Er moet zowel een art 9 als art 6 grondslag zijn. Heel veel bedrijven verwerken medische gegevens terwijl ze dat niet persé mogen. Betekent niet dat ze het van een derde partij heeft gekregen

Horatius @Quintiemero • 8 juli 2024 22:29

Die grondslag verwijst naar? Als het mijn eerste zin is dan is dat toch vrij duidelijk?

Het kan prima ter spraken zijn gekomen met vertrouwelijke gesprekken met de studieadviseur en dan in de notities.
Of als ze lid zijn van een politieke vereniging binnen de universiteit moet dat toch ook gewoon ergens staan.

Lees mijn reactie nou eens goed, want ik begin met allemaal voorbeelden waar wel grondslag voor is. Vervolgens kom je met een non vraag wat die grondslag is. Noch zeg ik ergens dat ze het van een derde hebben gekregen, en het ook prima data kan zijn welke valt onder andere bronnen.

GoBieN-Be @Horatius • 8 juli 2024 22:48

De GDPR eist dat er een grondslag moet zijn om die persoonsgegevens te bewaren.
Dit wil zeggen dat de school moet aantonen dat zij die gegevens nodig hebben voor hun werking. Ze moeten kunnen verantwoorden waarom ze die gegevens bijhouden.

[Reactie gewijzigd door GoBieN-Be op 22 juli 2024 15:16]

Horatius @GoBieN-Be • 8 juli 2024 23:10

En zoals ik zeg is er toch prima grondslag voor om bij te houden welke vereniging iemand zit van de universiteit. Of notities van een studieadviseur?
Ik val in herhaling en heb niks anders gezegd. Dus wat klopt er niet volgens jou?

Quintiemero @Horatius • 9 juli 2024 08:23

Dat van jou noem ik een reden of doeleinde en daarvoor heb je een grondslag nodig (uitvoeren ovk, toestemming gerechtvaardigd belang etc). AVG kent geen grondslag ‘notities’ studieadviseur.

Horatius @Quintiemero • 9 juli 2024 18:45

Nee natuurlijk niet maar voor het functioneren van een universiteit is het nodig dit soort gegevens te verwerken dus wat maakt het dan nog uit onder welke categorie ze het rechtvaardigen. Dat noemen we mierenneuken om details die in dit geval niet uitmaken.

Quintiemero @Horatius • 9 juli 2024 19:28

Die categorisering is waar de hele wet om draait… als je niet eens kan aantonen onder welke categoriseringen jouw activiteiten vallen, voldoe je al niet. Ik zeg absoluut niet dat het niet kan, ik vond alleen jouw onderbouwing zeer summier, en nog steeds. Elke orgainsatie zal zeggen dat wat zij doen absoluut nodig, en vooral handig is

Horatius @Quintiemero • 9 juli 2024 20:54

Gelukkig hoef ik dat niet aan te tonen en is het nog steeds irrelevant voor deze discussie. Het is alleen relevant als er vraagtekens staan rondom het verzamelen van de data, dan wordt de vraag of je het kan legitimeren onder een bepaalde categorie.
Compleet niet van toepassing hier, dit is net zo off-topic als je mensen gaat vragen of de universiteit wel grondslag heeft om de achternaam te verwerken. Vervolgens net zolang doorzeiken tot je je categorie krijgt wat dan nogsteeds niks betekent want het gaat om de onderbouwing. Autistisch gedrag.

Quintiemero @Horatius • 9 juli 2024 21:54

U zegt dat de universiteit wel even zomaar bijzondere persoonsgegevens mag verwerken. Ik ben dus heel benieuwd welke grondslag de uni daarvoor heeft (specifiek politieke voorkeur in notitie studieadviseur). Verder is voor iedere verwerking is een grondslag nodig, niet alleen voor verzamelen (registreren, bewaren, raadplegen). Als je een politieke voorkeur wilt noteren dan moet dat onder een van de art 9 gevallen vallen (a t/m j). Valt die daar niet onder? Dan mag het niet. Punt.

Er moet zeker een onderbouwing zijn, daarmee leg je uit waarom een specifieke uitzondering van toepassing is en dat is dan je grondslag. Uitleggen waarom het oh zo belangrijk is, is voor de uni geen uitzonderingsgrond. Dan kunt u lullen tot u een ons weegt, maakt het niet legitiem.

Horatius @Quintiemero • 9 juli 2024 22:34

Zoals ik al zei, het is niet relevant voor deze discussie want het is nodig voor de dienstverlening. Maar voor de studieadviseur kan het al onder uitzonder 1,4 en 6 worden geschaard. Zucht.
https://www.autoriteitper...scherming%20in%20de%20AVG

Volgende keer dat je een discussie wilt starten over een open deur welke je zegt dat niet open staat. Geef eerst even een argument waarom die niet open staat, niet "boehoe ik denk dat het niet mag volgens AVG". Nee, "dit gebruik voldoet noch aan 1t/m10 van de uitzonderingen (bron)."

Een student wordt om toestemming gevraagd om notities te maken om de gesprekken bij te houden. Deze zijn vertrouwelijk en dienen ook voor de studieadviseur om zaken bij de examencommissie te ondersteunen. (Met toestemming).
Dit hoort bij de dienstverlening en het doel van een lesgevende instantie.

[Reactie gewijzigd door Horatius op 22 juli 2024 15:16]

Quintiemero @Horatius • 10 juli 2024 08:50

U moet echt beter lezen. Ik zei niet niet dat het niet mag, ik mis alleen de bijbehorende grondslag. U geeft alleen aan waarom het nodig en belangrijk is. Daarom vroeg ik welke grondslagen dan van toepassing zijn bij het noteren van politieke voorkeur(uitvoeren van de ovk, gerechtvaardigd belang, toestemming)? U geeft aan dat het noodzakelijk is voor de dienstverlening, dan is toestemming totaal niet verstandig, en niet nodig, om te gebruiken.

Dat het bijhouden van notities nodig is, helemaal mee eens. Dat was de vraag niet. Het gaat specifiek om het noteren van iemands politieke voorkeur.

Verder vereist politieke voorkeur (Als u zich beroept op toestemming conform art 9 avg), expliciete toestemming om bijzondere persoonsgegevens in de notitie te benoemen. Een algemene toestemming om notities bij te houden, noem ik geen expliciete toestemming voor het noteren van de bijzondere persoonsgegevens. Nogmaals, noodzakelijk voor de dienstverlening is GEEN grondslag om bijzondere persoonsgegevens te registreren. Het is in beginsel verboden om bijzondere persoonsgegevens te registreren en te bewaren, tenzij een van de uitzonderingen van toepassing is. Kan heel goed zijn dat eentje van toepassing is, maar die heeft u niet benoemd, vandaar mijn vraag

Horatius @Quintiemero • 10 juli 2024 17:58

Verder vereist politieke voorkeur (Als u zich beroept op toestemming conform art 9 avg), expliciete toestemming om bijzondere persoonsgegevens in de notitie te benoemen. Een algemene toestemming om notities bij te houden, noem ik geen expliciete toestemming voor het noteren van de bijzondere persoonsgegevens. Nogmaals, noodzakelijk voor de dienstverlening is GEEN grondslag om bijzondere persoonsgegevens te registreren. Het is in beginsel verboden om bijzondere persoonsgegevens te registreren en te bewaren, tenzij een van de uitzonderingen van toepassing is. Kan heel goed zijn dat eentje van toepassing is, maar die heeft u niet benoemd, vandaar mijn vraag

Hoezo heb ik niet benoemd? Ik heb 3 artikelen van de 10 uitzonderingen voor de speciale personsgegevens opgenoemd. Dus leuk dat je jezelf herhaald maar dat is wat het is, herhaling.
Leuk dat je zegt dat ik echt beter moet lezen, dat jij bij de eerste opsomming van 6 artikelen gestopt bent de bron te bekijken. We hebben het immers over bijzondere persoonsgegevens, dus diegene waar jij het over hebt zijn inderdaad geeneens van toepassing als uitzondering.
Ik had het over uitzonderingen, niet grondslagen

Daarnaast is het geen algemene toestemming voor notities zoals jij zegt en ik ookal aanstipte door nummer 1 op te noemen. Het is nadrukkelijke toestemming zoals beschreven in de AVG. Studieadviseurs vragen, als ze handelen naar beleid, altijd of ze notities van de prive gesprekken mogen maken en dat daarin dan ook bijzondere persoongegevens in kunnen staan. Daarnaast kan er altijd worden gevraagd stukken weg te laten uit de notities vanwege privacy regels. Er worden immers zo ongeveer alleen maar bijzondere persoonsgegevens besproken in die gesprekken.

[Reactie gewijzigd door Horatius op 22 juli 2024 15:16]

Frankvbr @SVMartin • 8 juli 2024 19:31

Ze moeten zich sowieso kapot schamen. Een jaar na de datalek heb ik mijn gegevens eens opgevraagd.
Voor het idee: ik was toen al ruimschoots 10 jaar afgestudeerd.
Alsnog hadden ze een gigantische bak met gegevens van mij plus mijn ouders (die deel van de jaren het collegegeld betaalden). Geen enkele reden om die 10 jaar te bewaren. Maar helemaal beschamend dat ze deze een jaar na de datalek nog in bezit hadden.

Vervolgens een verzoek tot verwijdering ingediend. Daarbij gaven ze aan dat ze zelf niet alles konden verwijderen want het was onmogelijk om hun gedeelde netwerkschijven op te schonen. Vermoedelijk worden de bestanden dus nog steeds op netwerkschijven gepleurd zonder koppeling/label aan je studentennummer.

DynalogicalMe @SVMartin • 9 juli 2024 13:32

De HAN staat er - in onze studentenkringen - om bekend dat zij beleid voeren op politieke voorkeur, hier zelf ook tot in extreme meegemaakt. Een (centrum) rechtste mening en kijk op het leven wordt door sommige docenten zwaar afgestraft en simpelweg bestempeld als onjuist.

armageddon_2k1 @DynalogicalMe • 9 juli 2024 20:58

Wat voor studie doe je dat je politieke uitingen überhaupt relevant zouden zijn?

moonlander 8 juli 2024 17:52

Dus in principe is je privacy dan maar 300 euro waard. En dan ook nog eens alleen voor de mensen die het lef hebben om ze aan te klagen, en ook nog eens het geld er voor hebben.

Frame164 @moonlander • 8 juli 2024 18:37

Wat is dan volgens jou dan de geleden schade? Het principe in Nederland is dat schade wordt vergoed en dat je er verder niet beter van mag worden. Het is gelukkig geen VS hier.

kodak

Datalek
Hack
Beveiliging en antivirus
Privacy
Nederland

@Frame164 • 8 juli 2024 20:31

Omgekeerd is het principe daarmee ook dat een bedrijf of een organisatie als een school dus ongestraft vele duizenden personen maar in tijd en moeite kan duperen om zelf op tijd en moeite te besparen en af te schuiven om er zelf beter van te worden.

Het is ook niet alsof er niet strenger op valt te straffen. De Europese verordering is duidelijk dat er recht op schadevergoeding is en zowel voor materiële als immateriële schade. En die is niet duidelijk vanuit de wet beperkt, met als gevolg dat als er toch beperking is dat het vanuit de rechters komt. Terwijl die bijvoorbeeld met een nogal kromme beperkingen komen om geen waarde in kostbare tijd en moeite te zien als het om slachtoffers gaat maar te negeren dat een bedrijf wel eigen tijd en moeite bespaart om winst te maken met het onwettige risico duizenden personen te duperen. En uit zichzelf wel beperkingen opleggen als het om 'algemene' persoonlijke gegevens gaat maar bij bijzondere persoonlijke gegevens plots wel mogelijkheden toepassen.

https://uitspraken.rechts...d=ECLI:NL:RBGEL:2023:5435

Lord Anubis @Frame164 • 8 juli 2024 19:56

Maar tussen hier en daar zit wel hemels breed verschil; hier vind ik het onredelijk en daar onrealistisch.

Nystran @moonlander • 8 juli 2024 18:17

Tegenwoordig kan je ook aansluiten bij massaclaims. Mogelijk is dan die €300 x 14000 gevoelige gegevens of een half miljoen email adressen wel iets met tanden. Een risico op €42000 tot €15 miljoen klinkt al beter.

Aardwolf

8 juli 2024 23:56

Jammer dat hier geen algemene oproep van is geweest, had wel mee willen doen met deze studenten. Zelf ook bij de HAN gestudeerd en jaren later na afstuderen in dec2018/jan2019 met HAN servicedesk contact opgenomen wegens het feit dat ik nog kon inloggen en mijn data kon zien (zoals waarschijnlijk bij alle alumni en ex-studenten). Dit leek me nogal een onnodig risico, maar zij stelden dat dit een soort van dienst/service was voor als je in de toekomst weer komt studeren. Haha ja zo kan je alles wel goedpraten en bewaren nietwaar? Op de vraag of mijn privédata risico liep voor onbevoegden nooit reactie op ontvangen. Mogelijk konden ze niet zwart-op-wit beweren dat we ons absoluut geen zorgen hoefden te maken. 2 jaar later kwam het datalek het in het nieuws. Mijn doel was juist dát te voorkomen. De mailwisseling van toen met de ICT medewerker heb ik nog.

Ik vind het vooral nalatig en dat er daarom een bredere vergoeding moet plaatsvinden om het principe. Het is wel erg makkelijk met die paar keer 300 euro en 1x een mailtje met let op en sorry in 2021. Te meer vind ik het onbegrijpelijk wanneer in dit artikel ook nog leest dat er weer wat heeft plaatsgevonden in 2024. Leren ze het dan niet? Of vinden ze ICT en naleving AVG slechts een hobby voor net hoe het uitkomt?

Smokeyy_TR @Aardwolf • 9 juli 2024 01:19

Ik hoop dat mijn gegevens net gelekt zullen worden als huidige HAN student. Dit belooft niks goeds.

iAR @Smokeyy_TR • 9 juli 2024 08:34

Er is ondertussen enorm veel actie ondernomen naar aanleiding van dit lek.

w0utje89 @Aardwolf • 9 juli 2024 15:18

Inderdaad, heb de HAN destijds nog wel gemaild hoe ze mij gingen compenseren, met in mijn achterhoofd dat er toch nooit wat mee gedaan zou worden.
Ik was vooral boos dat ze dik 10 jaar na dato nog mijn gegevens konden lekken.
Kreeg wel een korte reactie met juridische blabla.

Antenne Bayern 8 juli 2024 17:03

Enkele studenten van de Hogeschool van Arnhem en Nijmegen krijgen een schadevergoeding van 300 euro vanwege een datalek.

Het kan dus wel..een finánciele vergoeding voor ze.. zo heurt het ..

CopyCatz @Antenne Bayern • 8 juli 2024 17:29

Eh ja maar 300 euro voor het lekken van je identiteitsbewijs? en dan "nog eens 300" omdat ze nog een keer in de fout gaan? De tijd en het geld wat je kwijt bent om een nieuw paspoort aan te vragen kost al meer, en ik mag toch verwachten dat bij fout op fout de boetes incrementeel worden en niet lineair.

WhatsappHack

Privacy
Nederland
Hack
Datalek
Beveiliging en antivirus

@CopyCatz • 8 juli 2024 18:35

Ja, als je om die reden slachtoffer wordt van identiteitsfraude heb je wel een groter en veel duurder probleem. Maar de vraag is dan wel: is de HAN daar geheel verantwoordelijk voor of ook een slachtoffer?

roelst1 8 juli 2024 17:16

Een van de studenten krijgt nog eens 300 euro extra vanwege een incident dat in januari dit jaar plaatsvond. De medische gegevens van enkele studenten waren toen in detail op een aanwezigheidslijst voor een tentamen terechtgekomen.

600 euro voor het lekken slecht beveiligen van een waslijst aan persoonsgegevens en studiegegevens, plus het lekken van medische data. Wat een lachertje. Ik mag hopen dat het niet alleen bij deze schadevergoedingen blijft, maar dat er ook serieuze boetes worden opgelegd.

politieke voorkeuren

Wat moet de HAN met dat soort informatie, en waarom wordt het opgeslagen? Dat er misbruik is gemaakt van een datalek is één ding, maar dit soort informatie zou helemaal niet verzameld en opgeslagen moeten worden door een school.

[Reactie gewijzigd door roelst1 op 22 juli 2024 15:16]

Frame164 @roelst1 • 8 juli 2024 18:36

Maar dan wel de boete doorbelasten aan de sysadmins die hebben zitten slapen. Tenzij die kunnen aantonen dat zij expliciet opdracht hebben gekregen problemen niet op te mogen lossen. Anders verandert er nooit iets.

Donvermicelli @Frame164 • 8 juli 2024 19:16

Maar dan wel de boete doorbelasten aan de sysadmins die hebben zitten slapen. Tenzij die kunnen aantonen dat zij expliciet opdracht hebben gekregen problemen niet op te mogen lossen. Anders verandert er nooit iets.

Ik zou eerder zeggen doorberekenen naar het bestuur? Die zijn eindverantwoordelijke. Zo ook verantwoordelijk voor het aanstellen van kapabel personeel, en als het huidige personeel niet kapabel genoeg is dan moeten ze inzetten op trainingen voor verbetering. Pentesten uitvoeren etc.

.oisyn Moderator Devschuur® @Frame164 • 8 juli 2024 19:21

Het bedrijf is eindverantwoordelijk. Als ze personeel hebben dat het niet goed doet dan is het aan het bedrijf hen beter te trainen of te controleren. Tenzij er natuurlijk opzet in het spel is.

fenrirs @roelst1 • 9 juli 2024 07:30

Als er een medische grondslag is voor een herexamen moet de school dat kunnen onderbouwen richting ministerie. Daar komt dat dus vandaan

ronaldmathies 8 juli 2024 18:13

Misschien een vreemde vraag maar wat moet de school met politieke voorkeuren van studenten?

Frame164 @ronaldmathies • 8 juli 2024 18:38

Misschien ooit opgegeven door studenten voor een onderzoek?

PdeBie @Frame164 • 8 juli 2024 18:49

Maar dan nog. Waarom sla je zoiets op?

lenwar

Nederland
Beveiliging en antivirus

@PdeBie • 9 juli 2024 06:39

Dat kan een timing-ding zijn.
Dat het onderzoek nog liep. De data werd verwerkt en precies op dat moment is de data gestolen.

Dat weten we niet. Dus we kunnen geen conclusies trekken daar over.

PdeBie @lenwar • 9 juli 2024 08:37

Ik trek ook geen conclusies. Ik vraag het mij af. Waarom sla je dit op bij alle andere gegevens? Waarom niet in een aparte database specifiek voor het onderzoek bijvoorbeeld. Nu ligt alles op straat. Dan misschien alleen een voorkeur, leeftijd, woonplaats en geslacht (althans, wat mij betreft heeft de naam van de persoon er verder niets te zoeken).

lenwar

Nederland
Beveiliging en antivirus

@PdeBie • 9 juli 2024 09:25

Er staat letterlijk "Toegang to een server". Nou is dat natuurlijk nogal een wollige opmerking... Maar stel dat we dat letterlijk nemen:
Het is prima mogelijk dat ze een paar hele grote machines hebben met al hun databases. Als we naar Oracle kijken. Die hebben een licentiemodel per CPU/core. Dan is het over het algemeen verstandig om zoveel mogelijk te consolideren.

Mit-46 8 juli 2024 18:28

De schadevergoeding is erg laag, maar ik ben niet bekend met de procedures rondom datalekken en schadevergoedingen.

Als ik naar mezelf kijk dan had ik dus schijnbaar al tig keer een schadevergoeding moeten krijgen. De laatste is van Park Mobile welke ik uit frustratie destijds heb opgezegd vanwege de enorme hoeveel spam.

Eigenlijk zijn jouw gegevens dus een paar honderd euro waard hebben wij vandaag geleerd. Persoonlijk vind ik mijn gegevens veel meer waard. Als ik ze zelf moet verkopen kunnen ze een veelvoud van dit neerleggen.

Frame164 @Mit-46 • 8 juli 2024 18:39

Hoeveel zijn jouw gegevens waard en hoe heb je dat berekend?

Mit-46 @Frame164 • 8 juli 2024 18:42

Dat bereken ik niet. Dat bepaal ik zelf, want het zijn mijn gegevens.

Tomatoman @Mit-46 • 9 juli 2024 06:31

We zijn hier niet in de Verenigde Staten maar in Nederland. Je kunt hier alleen feitelijke, aantoonbare schade vergoed krijgen. Veel verder dan de kosten voor de aanvraag van een nieuw identiteitsbewijs kom je dus niet. Bovendien moet je dat nieuwe identiteitsbewijs daadwerkelijk hebben aangevraagd en het bonnetje kunnen overleggen; je kunt dus niet het geld claimen en het vervolgens in je zak steken.

lenwar

Nederland
Beveiliging en antivirus

@Mit-46 • 9 juli 2024 06:42

Maar een rechter kan niet zo veel met willekeur. Ik vind a, jij vindt b. Zo kun je makkelijk rijk worden. Je schrijft je overal in. Hoopt dat je gegevens gestolen worden en je bent miljonair

ten koste van wat spam/phishingmailtjes.

[Reactie gewijzigd door lenwar op 22 juli 2024 15:16]

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Nederland
Hack
Datalek

8 juli 2024 17:20

Hoeveel losgeld wilde die aanvaller hebben? Vast veel meer dan 6 x €300 . Dat is geen echt eerlijke vergelijking omdat er een hoop andere slachtoffers zijn die geen schadevergoeding hebben gekregen, maar puur financieel gezien komt de HAN er zo goedkoop vanaf (al zijn ze waarschijnlijk een veelvoud kwijt aan juristen).

wildhagen

Beveiliging en antivirus
Nederland
Privacy
Datalek

@CAPSLOCK2000 • 8 juli 2024 17:28

De losgeld-eis betrof 10.000 euro:

Een criminele hacker die zichzelf 'masterballz' noemt, zegt tegen RTL Nieuws dat hij 10.000 euro aan losgeld vroeg om de gegevens niet te verspreiden. Omdat betaling uitbleef, besloot hij de data te verspreiden via 'een populaire downloaddienst'.

Zie nieuws: Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online

blobber @wildhagen • 8 juli 2024 23:55

hm, dat is boven al gezegd, excuus

[Reactie gewijzigd door blobber op 22 juli 2024 15:16]

markvankampen 8 juli 2024 18:10

Kunnen ze mooi een nieuwe telefoon van aanschaffen: Best Buy Guide: De beste smartphones tot 300 euro - Smartphone Best Buy Guide

Op dit item kan niet meer gereageerd worden.

Vijf HAN-studenten krijgen schadevergoeding van 300 euro voor datalek uit 2021

Lees meer

Reacties (61)

Sorteer op:

Weergave: