Menu

Filter op
content
Data&Privacyweb
0

HAN moet oud-student schadevergoeding betalen

De Hogeschaal Arnhem Nijmegen (HAN) moet oud-student Bram Kleisterlee een schadevergoeding van 300 euro betalen vanwege een datalek. Daarbij zijn gevoelige medische gegevens in handen terechtgekomen van hackers. Daardoor heeft de voormalige student schade geleden. Dat zegt de rechtbank van Gelderland in haar vonnis dat woensdag is uitgesproken en gepubliceerd.

vpngids 6 oktober 2023

Nieuws-persbericht

Nieuws-persbericht

Hacker steelt privacygevoelige gegevens van honderdduizenden (oud) studenten

Voor het begin van deze zaak moeten we twee jaar terug in de tijd. In september 2021 wist een hacker het computernetwerk van de HAN te infiltreren. Zodoende had hij toegang tot persoonlijke en privacygevoelige gegevens van honderdduizenden studenten en voormalige studenten. Dan moet je denken aan voor- en achternamen, adressen, e-mailadressen, telefoonnummers, geboortedata en medische gegevens. Daarnaast wist de aanvaller de hand te leggen op ‘enkele duizenden’ onversleutelde wachtwoorden.

De dader zei tegen de media dat een groot deel van de gestolen data afkomstig was van contactformulieren die door studenten was ingevuld. Ook zei hij dat de HAN ‘een makkelijk doelwit’ was. “Die zogenaamde experts snappen er niets van, want er staat nog van alles open”, zo zei hij over het datalek. Hij zou de hogeschool om losgeld hebben gevraagd, maar de HAN weigerde om te betalen.

Beveiligingsniveau HAN was onvoldoende ten tijde van de hack

Oud-HAN-student Bram Kleisterlee was een van de gedupeerden van het datalek en maakte zich grote zorgen over wat er met zijn medische gegevens zou gebeuren. Voor het ongemak eiste hij een schadevergoeding van 1.000 euro van de onderwijsinstelling. Dat weigerde de HAN en bood aan om een studentpsycholoog in te schakelen. Dat ging Kleisterlee niet mee akkoord, omdat hij dan opnieuw gevoelige informatie met zijn oude school moest delen. Zodoende startte hij een rechtszaak tegen de HAN.

Woensdag was de uitspraak. De rechtbank stelde Kleisterlee in het gelijk. De rechter oordeelde dat het beveiligingsniveau van de HAN ten tijde van de hack onvoldoende was. Daardoor maakte de hogeschool inbreuk op de Algemene Verordening Gegevensbescherming (AVG). Een SQL-injectie lag ten grondslag aan het datalek, zo heeft de HAN erkend. Het is een veelgebruikte hackmethode waarbij een hacker code gebruikt om een database te manipuleren en toegang te krijgen tot gevoelige informatie.

Tevens oordeelde de rechtbank dat de oud-student schade heeft geleden doordat gevoelige medische gegevens in verkeerde handen zijn beland. “Dat de hacker deze specifieke gegevens heeft kunnen inzien/verspreiden, is voldoende voor het aannemen van schade als gevolg van de inbreuk op de AVG”, aldus de rechter. Dat geldt niet voor het lekken van algemene persoonsgegevens. De eiser heeft sinds het datalek weliswaar meer spam en buitenlandse telefoontjes van onbekende nummers ontvangen, maar dat heeft niet tot schade geleden. “Ergernis die hierdoor ontstaat [komt] niet voor vergoeding in aanmerking”, zo lezen we in het vonnis.

Kleisterlee zegt dit hoofdstuk nu eindelijk te kunnen afsluiten

Omdat het verlies aan controle over zijn medische gegevens blijvend is, heeft de rechtbank besloten om Kleisterlee een schadevergoeding toe te kennen. De rechter komt uit op een bedrag van 300 euro. Dat is lager dan de geëiste schadevergoeding van 1.000 euro. De reden daarvoor is dat de oud-student onvoldoende heeft kunnen aantonen dat het datalek tot concrete negatieve gevolgen heeft geleid.

“Ik ben superblij. Het gaat me niet om het geld. Het is vooral heel fijn dat zo’n grote instelling nu tot de orde is geroepen”, zegt Kleisterlee tegenover De Gelderlander. Hij zegt dat hij dit hoofdstuk door de uitspraak van de rechtbank kan afsluiten. “Dat ook de rechter nu oordeelt dat de HAN steken heeft laten vallen, laat zien dat ik het bij het juiste eind had. Ik kan er nu beter een punt achter zetten.”

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.