Artikelen

Na een datalek melding op 1 sept 2021 is de Autoriteit Persoonsgegevens onderzoek gaan doen en heeft uiteindelijk 15 dec 2025 een boete opgelegd van EUR 175.000 aan de HAN. De overtredingen zijn (1) Onvoldoende maatregelen tegen SQL-injectie genomen ; (2) Het niet beperken van toegangsrechten van database-gebruiker; (3) Het onnodig bewaren van persoonsgegevens van uitgefaseerde applicaties; (4) Het niet en niet-toereikend hashen van wachtwoorden. De AP weegt mee dat de basisboete van EUR 310.000 gematigd dient te worden gelet op de maatregelen die de HAN heeft genomen; (factor 'c'), maar ook dat er een project gestart was over informatiebeveiliging en dat de HAN de kennis en ervaringen rond het incident niet alleen intern onder de aandacht heeft gebracht, “maar vanuit haar maatschappelijke rol als kennisinstituut ook bij verschillende externe aangelegenheden heeft gedeeld”. (p. 7) Daarom wordt een boete van EUR 175.000 passend en geboden geacht (par 4.3)