Op 17 december 2025 heeft de Autoriteit Persoonsgegevens (AP) de Hogeschool van Arnhem en Nijmegen (HAN) een boete opgelegd van €175.000 wegens onvoldoende beveiliging van persoonsgegevens. Dit besluit volgt op een grootschalig datalek in 2021, waarbij een hacker via een kwetsbaarheid in een webformulier toegang kreeg tot een database met gevoelige gegevens van studenten en medewerkers. De hacker eiste losgeld, maar de HAN ging daar niet op in. Uiteindelijk werden onder meer namen, adressen, wachtwoorden (waarvan duizenden onversleuteld), BSN-nummers en zelfs medische gegevens buitgemaakt.
Uit het onderzoek van de AP blijkt dat de HAN op meerdere punten artikel 32 van de AVG heeft overtreden. De beveiligingsmaatregelen waren niet afgestemd op de risico’s die gepaard gaan met het verwerken van grote hoeveelheden (gevoelige) persoonsgegevens. Zo was het toegangsbeheer onvoldoende: een gebruikersaccount op de databaseserver had onbeperkte rechten, waardoor een kwetsbaarheid in één applicatie toegang gaf tot alle data. Ook het loggen en monitoren van toegang tot de server was ontoereikend, waardoor eerdere SQL-injectie-aanvallen onopgemerkt bleven. Daarnaast werden wachtwoorden niet of onvoldoende versleuteld opgeslagen.
De HAN erkende de tekortkomingen en heeft na het incident aanvullende beveiligingsmaatregelen getroffen. De AP heeft bij het bepalen van de hoogte van de boete rekening gehouden met de inspanningen van de HAN om de gevolgen voor betrokkenen te beperken en de digitale weerbaarheid te versterken. De HAN heeft besloten geen bezwaar te maken tegen het boetebesluit en zet zich in om andere organisaties te laten leren van deze casus, onder meer door voorlichting en het organiseren van een congres over informatiebeveiliging.
Deze zaak onderstreept het belang van een risicogebaseerde aanpak van informatiebeveiliging. Een aanpak die niet alleen wordt voorgeschreven door de AVG, maar ook door de Cyberbeveiligingswet die naar verwachting in mei 2026 in werking zal treden. Organisaties moeten:
Het boetebesluit tegen de HAN is een duidelijke waarschuwing: ook instellingen met bestaande beveiligingsmaatregelen kunnen fors worden beboet als deze niet toereikend zijn voor de actuele risico’s. Voor organisaties in onderwijs, zorg en andere sectoren waar veel persoonsgegevens worden verwerkt, is het zaak om niet alleen te voldoen aan de letter, maar vooral aan de geest van de AVG. Proactief investeren in cybersecurity en privacy is geen luxe, maar noodzaak.
Meer weten over wettelijke verplichtingen op het gebied van informatiebeveiliging? Neem gerust contact op met ons team van specialisten IT, Privacy & Cybersecurity.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!
