HAN krijgt boete van 175.000 euro na ernstige securityfouten

woensdag, 17 december 2025 (13:55) - Techzine

In dit artikel:

De Hogeschool van Arnhem en Nijmegen (HAN) is door de Autoriteit Persoonsgegevens (AP) beboet voor onvoldoende beveiliging van studentgegevens nadat een hacker in 2021 via een SQL‑injectie toegang kreeg tot meerdere databases. Bij de inbreuk werden onder meer NAW‑gegevens, cv’s, wachtwoorden en BSN‑nummers buitgemaakt; de aanvaller vroeg ongeveer €165.000 in bitcoin, maar de HAN betaalde niet. De AP oordeelt dat de onderliggende beveiligingsmaatregelen tekortschoten, waardoor de hogeschool nu een boete van €175.000 moet betalen.

Het onderzoek van de AP wees uit dat de kwetsbaarheid bekend was binnen de organisatie, maar dat er geen gedegen risicoanalyse bestond en niet kon worden aangetoond dat best practices werden nageleefd. Logging en monitoring van database‑toegang waren beperkt: alleen zeer lange queries of grootschalige record‑opvragingen werden geregistreerd, waardoor de aanval onopgemerkt bleef. De toezichthouder constateerde bovendien dat er twee eerdere SQL‑injecties waren geweest die de HAN zelf niet had ontdekt. Toegangsbeheer faalde ook; een gebruiker had alle rechten op de database en een bestaand verwijderingsbeleid voor verouderde data werd niet consequent toegepast.

Opmerkelijk is dat 4.381 wachtwoorden onversleuteld in de database stonden en nog eens 5.194 waren gehasht met verouderde en onveilige algoritmes (MD5/SHA1). Hiermee heeft de HAN meerdere malen artikel 32 van de AVG geschonden, dat adequate technische en organisatorische maatregelen vereist. De instelling erkende de tekortkomingen en werkte mee aan herstelmaatregelen, wat heeft geleid tot matiging van de boete (de basisboete had €310.000 kunnen bedragen).

De zaak illustreert hoe lang bekende kwetsbaarheden zoals SQL‑injectie (al sinds de jaren 90 bekend) nog steeds leiden tot datalekken. In 2024 stegen de Nederlandse AVG‑boetes sterk naar €338,6 miljoen totaal. Organisaties lopen risico op hoge sancties (tot €20 miljoen of 4% van de wereldwijde omzet) als ze fundamentele beveiligingsmaatregelen — zoals risicoanalyses, patching, adequate logging, least‑privilege‑toegang en veilige wachtwoordopslag — nalaten.