Vorige week (17 december 2025) publiceerde de Autoriteit Persoonsgegevens (hierna: “AP”) een persbericht dat ingaat op de boete van 175.000 EUR die de AP oplegt aan de Hogeschool van Arnhem en Nijmegen (hierna: “HAN”). Nu zijn de boetebesluiten geen dagelijkse kost, dus altijd interessant.

De boete is gebaseerd op een overtreding van artikel 32 van de AVG. Artikel 32 AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.

Achtergrond

De HAN meldde al in 2021 een datalek bij de AP. Een hacker had zich destijds via een webformulier toegang verschaft tot een webserver en een databaseserver van de onderwijsinstelling en persoonsgevens gestolen. Het ging o.a. om persoonsgegevens zoals adressen, namen in combinatie met wachtwoorden en enkele honderden burgerservicenummers (hierna: “BSN-nummers”).

De hacker dreigde vervolgens de gegevens openbaar te maken en heeft bij de HAN losgeld geëist. De HAN weigerde losgeld te betalen. De consequentie daarvan was dat de gestolen persoonsgegevens (zeer waarschijnlijk) gepubliceerd zijn op het ‘dark web’.

boetebesluit

De juridische kant van deze zaak is – eerlijk gezegd- niet bijster interessant.

Tijdens haar onderzoek heeft de AP geconstateerd dat de tekortkoming van de HAN bestond uit een onvoldoende digitale beveiliging van servers en onvoldoende beperking van toegangsrechten (zo was er één gebruikersaccount op de databaseserver met onbeperkte rechten, waardoor één kwetsbaarheid toegang gaf tot alle data).

De HAN heeft deze tekortkomingen verholpen en erkent dat het beveiligingsniveau van de persoonsgegevens op de betreffende servers niet op orde was. Er blijft dan juridisch inhoudelijk weinig te bakkeleien over.

Wat deze zaak wel interessant maakt is dat er ruim vier jaar verstreken is tussen de melding bij de AP (2021) en het boetebesluit. Dat is uitzonderlijk lang en naar de reden kunnen we slechts gissen.

Datalek bevolkingsonderzoek

In de zomer van dit jaar was er een enorm datalek bij Clinical Diagnostics Nederland, een partij die betrokken is bij de bevolkingsonderzoeken (borst-, baarmoeder- en darmkanker) waar het niet om enkele honderden BSN nummers ging maar om honderdduizenden BSN nummers met additionele persoonsgegeven. Dat datalek gaf de nodige publieke verontwaardiging, mede ook omdat al die honderdduizenden personen dit najaar een brief ontvingen.

Het idee dat we hierover in 2029 een boetebesluit gaan zien voelt niet zo lekker. Het is in ieder geval niet het type handhaving waarvan ik denk dat het de samenleving gaat helpen in haar vertrouwen in de politiek en instanties. 

Maar wellicht ben ik een zwartkijker.