HAN krijgt 175.000 euro boete voor SQL-injectie en onversleutelde wachtwoorden

In dit artikel:

De Hogeschool van Arnhem en Nijmegen (HAN) kreeg een boete van 175.000 euro van de Autoriteit Persoonsgegevens (AP) omdat zij in 2021 persoonsgegevens van studenten onvoldoende had beveiligd. Een aanvaller drong toen via een eenvoudige SQL‑injectie in een webformulier door naar een databaseserver die meerdere databases bevatte en stal onder meer naam‑ en adresgegevens, soms wachtwoorden, cv’s, identiteitsbewijzen en burgerservicenummers (bsn). De hacker probeerde de HAN af te persen en vroeg ongeveer 165.000 euro in bitcoin; de onderwijsinstelling weigerde te betalen.

De AP startte een onderzoek naar de beveiligingsmaatregelen van de HAN en concludeerde dat die niet voldeden aan artikel 32 van de AVG, dat vereist dat organisaties passende technische en organisatorische bescherming bieden. De tekortkomingen waren meervoudig: de school had geen gedocumenteerde risicoanalyse, kon niet aantonen dat een zogenoemd bestpracticesbeleid werd nageleefd, en had zwakke logging en monitoring waardoor eerdere SQL‑injecties onopgemerkt bleven. Verder had één gebruiker uiteindelijk alle rechten op de database en werd een verwijderingsbeleid voor verouderde data niet goed toegepast.

Ook bleek dat wachtwoorden onversleuteld in de database stonden (4.381 gevallen) en dat 5.194 wachtwoorden alleen met verouderde hashes (MD5 of SHA1) waren opgeslagen — methodes die inmiddels als onveilig gelden. De AP achtte deze gebreken voldoende om een overtreding vast te stellen, maar matigde de boete omdat de HAN actief meewerkte aan het onderzoek, herstelmaatregelen doorvoerde en pogingen deed om de gevolgen voor betrokkenen te beperken. De basisboete van 310.000 euro werd daardoor verlaagd naar 175.000 euro.

Context: blootgestelde bsns en wachtwoorden kunnen leiden tot identiteitsfraude en misbruik; moderne beveiliging vereist onder meer inputvalidatie, beperkt toegangsbeheer, goede hashing (zoals bcrypt/argon2) en effectieve logging.