De Hogeschool van Arnhem en Nijmegen (HAN) heeft het onderzoek naar het datalek dat op 1 september werd ontdekt vrijwel afgerond. Een hacker bemachtigde gegevens van studenten, medewerkers en andere contacten van de hogeschool.
De HAN weigerde de hacker losgeld te betalen, waarna de data volgens RTL-nieuws online werden gezet. Over de hoogte van het losgeld wil de HAN nog steeds niets kwijt. Wel laat ze weten dat het “een veelvoud” is van de 10 duizend euro die eerder in de media werd genoemd.
Buitgemaakte gegevens
Het onderzoek laat zien dat de hacker via een webformulier toegang kreeg tot een server van de hogeschool. De meeste buitgemaakte gegevens (ten minste 95 procent) zijn volgens de hogeschool algemene persoonsgegevens, zoals naam, adres, woonplaats, e-mailadres en telefoonnummer.
In drie procent van de gevallen (14.766 keer) ging het om privacygevoelige persoonsgegevens. Daaronder valt bijvoorbeeld het BSN-nummer (407 keer), functiebeperkingen (2.087 keer), de studievertraging van studenten (1.418 keer) en hun politieke voorkeur (152 keer). Een deel van deze data stond al sinds 2011 op de gehackte server.
Het onderzoek is nog niet helemaal afgerond. In twee procent van de gevallen zijn de data samen met andere partijen verzameld en daarom is er volgens de HAN “nadere afstemming” nodig. Het zou hierbij voornamelijk gaan om algemene persoonsgegevens waar de hacker toegang toe had.
De HAN biedt nogmaals excuses aan en betreurt dat ze de datadiefstal niet heeft kunnen voorkomen. Gedupeerden worden geïnformeerd over het lek en krijgen tips om het risico op phishing te minimaliseren.
Cyberveiligheid
De inspectie concludeerde vorige maand dat de overheid zich ook met de cyberveiligheid in het onderwijs moet gaan bemoeien. Het hoger onderwijs werd al vaker getroffen: in 2019 legde gijzelsoftware Universiteit Maastricht plat. Die betaalde toen bijna twee ton aan losgeld.
Discussie