HAN onder vuur na datalek dat honderdduizenden raakte
De Hogeschool van Arnhem en Nijmegen HAN staat opnieuw in de schijnwerpers door een groot datalek waarbij hackers toegang kregen tot persoonsgegevens van circa 500000 mensen. Volgens de beschikbare melding gaat het niet alleen om huidige studenten, maar ook om oud studenten. De onderwijsinstelling heeft aangekondigd dat zij betrokkenen gaat compenseren, maar opvallend genoeg wil HAN daar zelf niet actief achteraan. Dat roept vragen op over verantwoordelijkheid, zorgplicht en hoe een onderwijsorganisatie omgaat met de nasleep van een cyberincident dat zo veel mensen treft.
De kern van het incident is helder en zorgelijk. Persoonsgegevens zijn in handen gekomen van aanvallers, en volgens de bron kregen zij daarnaast van meer dan duizend studenten ook extra informatie. Dat maakt het lek niet alleen groot in aantallen, maar ook gevoelig in impact. Voor gedupeerden kan het gaan om namen, contactgegevens en mogelijk andere gegevens die in verkeerde handen kunnen worden gebruikt voor phishing, identiteitsfraude of gerichte oplichting. Juist in een onderwijsomgeving, waar veel mensen een langdurige relatie met de instelling hebben, kan de vertrouwensschade groot zijn.
Wat er precies gebeurde en waarom dit zwaar weegt
De melding laat zien dat de gevolgen van een datalek verder reiken dan de eerste schok. Wanneer aanvallers persoonsgegevens bemachtigen, is het niet alleen een technisch probleem maar ook een menselijk en organisatorisch probleem. In dit geval is de omvang bijzonder groot, met een geschatte groep van ongeveer 500000 betrokkenen. Dat betekent dat het incident niet beperkt bleef tot een kleine administratieve fout, maar wijst op een breder beveiligingsprobleem dat effect had op een grote groep mensen die op de hogeschool vertrouwde.
Belangrijk is ook dat de bron spreekt over extra informatie van meer dan duizend studenten. Dat detail maakt het incident extra pijnlijk, omdat het laat zien dat criminelen in sommige gevallen nog meer kunnen krijgen dan verwacht. Voor slachtoffers is dat relevant omdat juist aanvullende gegevens cybercriminelen helpen om overtuigendere mails, nepberichten of frauduleuze telefoontjes te maken. De kans op vervolgschade neemt daardoor toe, zelfs lang nadat het oorspronkelijke incident al is ontdekt.
Compensatie aangekondigd maar de afhandeling schuurt
HAN wil oud studenten compenseren voor het datalek, maar het opvallende is dat de instelling hier zelf niet actief achteraan wil. Dat klinkt juridisch en organisatorisch misschien verdedigbaar, maar het komt in de praktijk al snel afstandelijk over. Gedupeerden hebben na een datalek behoefte aan duidelijkheid, begeleiding en een concrete uitleg over wat zij kunnen verwachten. Wanneer een onderwijsinstelling dan wel compensatie noemt, maar de uitvoering niet actief lijkt te trekken, ontstaat al snel het gevoel dat verantwoordelijkheid wordt gedeeld terwijl de lasten vooral bij de slachtoffers liggen.
Voor veel mensen gaat dit niet alleen over geld, maar over erkenning. Een datalek raakt vertrouwen, privacy en soms ook persoonlijke veiligheid. Een instelling die zo veel gegevens beheert, wordt geacht zorgvuldig om te gaan met die data. Daarom is de manier waarop compensatie wordt aangeboden minstens zo belangrijk als de compensatie zelf. Een transparant proces zou in elk geval moeten bevatten:
- heldere uitleg over welke gegevens zijn geraakt
- duidelijke communicatie richting oud studenten en huidige studenten
- praktische ondersteuning bij het beperken van schade
- een eenvoudig aanspreekpunt voor vragen en claims
- een tijdlijn met wat de instelling wanneer heeft gedaan
Waarom onderwijsinstellingen een geliefd doelwit zijn
Cybercriminelen richten zich al langer op onderwijsinstellingen, en daar zijn meerdere redenen voor. Hogescholen en universiteiten beheren enorme hoeveelheden persoonsgegevens, vaak van duizenden tot honderdduizenden mensen, verspreid over verschillende systemen, afdelingen en applicaties. Daarbij komt dat onderwijsomgevingen vaak open zijn en samenwerken met externe leveranciers, wat de beveiliging complexer maakt. Hoe meer systemen, hoe groter de kans dat ergens een zwakke plek zit die misbruikt kan worden.
Ook is de druk op onderwijsinstellingen hoog. Ze moeten onderwijs blijven geven, administratieve processen draaiende houden en tegelijk voldoen aan privacyregels en beveiligingseisen. In de praktijk betekent dat vaak dat IT en security niet altijd even snel kunnen meebewegen met de snelheid waarmee aanvallers hun tactieken aanpassen. Bij een incident als dit wordt dan zichtbaar hoe kwetsbaar een organisatie kan zijn wanneer één aanval ineens gevolgen heeft voor een enorme groep mensen. Voor slachtoffers is dat misschien een technische nuance, maar voor een nieuwswaardige cyberzaak is het precies de kern van het probleem.
De vraag naar verantwoordelijkheid blijft liggen
Het voorval rond HAN laat zien dat een datalek niet ophoudt bij het moment waarop de hackers binnenkomen of wanneer de toegang wordt ontdekt. De echte toets begint daarna: hoe snel wordt alles onderzocht, wie wordt geïnformeerd, welke schade kan nog worden beperkt en wie neemt verantwoordelijkheid voor de nasleep. De keuze om oud studenten te compenseren is in elk geval een erkenning dat er gevolgen zijn, maar het feit dat de instelling er niet zelf actief achteraan wil gaan, zet de toon van het hele verhaal. Daarmee verschuift de discussie van alleen cyberveiligheid naar bestuur, klantgerichtheid en moreel kompas.
Voor betrokkenen blijft vooral de praktische vraag staan wat zij nu moeten doen. In dit soort situaties is het verstandig om alert te zijn op verdachte berichten, wachtwoorden waar nodig te wijzigen en extra waakzaam te blijven voor phishing die inspeelt op studieverleden of contacten met de hogeschool. De meest relevante signalen om op te letten zijn:
- berichten die verwijzen naar studiegegevens of oude administratie
- verzoeken om opnieuw in te loggen via een onbekende link
- telefoontjes of mails waarin wordt gevraagd om bevestiging van persoonsgegevens
- betalingsverzoeken die zogenaamd van de hogeschool komen
Wat dit incident ons nu al leert
De zaak rond HAN is meer dan een incident in een nieuwsfeed. Het is een signaal dat de impact van een datalek niet alleen technisch is, maar direct mensen raakt die soms jaren geleden al uitgeschreven zijn. Dat een onderwijsinstelling compensatie noemt, bevestigt dat de ernst van het lek niet te ontkennen valt. Tegelijkertijd zorgt de gekozen houding rondom opvolging voor nieuwe vragen over transparantie en herstel. Juist bij een organisatie die kennis en vertrouwen als kernwaarde heeft, wordt de lat hoog gelegd als het gaat om zorgvuldigheid.
Voor cybersecurityprofessionals is dit een bekend patroon, maar voor de gemiddelde oud student voelt het vooral als een onverwachte en vervelende inbreuk op privacy. De komende tijd zal duidelijk moeten worden hoe HAN het incident verder afhandelt, hoe ruim de compensatie wordt uitgelegd en of betrokkenen echt goed worden geholpen. Eén ding staat vast: bij een datalek van deze omvang is de schade niet alleen te meten in data, maar vooral in vertrouwen dat moeilijker terug te winnen is dan welke digitale toegang dan ook.