Veelgestelde vragen over het datalek bij de HAN

De externe aanvaller heeft data buitgemaakt via 1 van onze servers. Inmiddels is dit lek gedicht.

Op 7 september zijn we benaderd door een journalist die zegt contact te hebben gehad met de aanvaller. De aanvaller heeft naar eigen zeggen de buitgemaakte data gepubliceerd. Dit kunnen wij nog niet bevestigen, maar ligt wel in de lijn der verwachting.

Van de mogelijk buitgemaakte persoonsgegevens gaat het in tenminste 95% van de gevallen om algemene persoonsgegevens zoals naam, adres, woonplaats, e-mailadres en telefoonnummer. Deze gegevens zijn ingevuld op online formulieren waarmee onder meer informatie kon worden opgevraagd over opleidingen of waarmee iemand zich kon aanmelden voor een bijeenkomst of evenement. Omdat de kans bestaat dat deze groep mogelijk slachtoffer wordt van phishing, is de HAN begonnen met het informeren van deze groep met het advies om extra alert te zijn op dit soort praktijken. Personen worden verwezen naar de website HAN.nl/datalek waar concrete tips te vinden zijn om het risico op phishing te minimaliseren. In week 40 (tussen 4 oktober '21 en 8 oktober '21) heeft de HAN iedereen uit deze groep geinformeerd. 

Bij ongeveer 3% van de mogelijk getroffen gegevens is sprake van meer privacygevoelige persoonsgegevens. Daarbij gaat het bijvoorbeeld om paspoort- en IDkaart-nummers, wachtwoorden of persoonlijke informatie van studenten over bijvoorbeeld hun studievertraging. Een volledig overzicht van de verschillende soorten privacygevoelige gegevens vind je hieronder. Deze personen heeft de HAN inmiddels geïnformeerd. 

Nader onderzoek 

Voor 2% van de mogelijk getroffen gevallen gaat het onderzoek nog door. Reden dat aanvullend onderzoek nodig is, is dat hier mogelijk sprake is van gegevens die samen met andere partijen zijn verzameld. Dit vergt mogelijk nadere afstemming met die partijen. Wel is duidelijk dat het voor deze groep voornamelijk om algemene persoonsgegevens gaat.

Het gaat niet om actuele gegevens van het HANaccount of om gegevens uit andere systemen zoals de studentenadministratie en personeels- en salarisadministratie. Ook gaat het niet om gegevens uit Studielink; de landelijke organisatie waar je je inschrijft als student.  

In de media is genoemd dat de hacker €10.000,- eist voor de data die hij in handen heeft. Dit bedrag klopt niet en is in werkelijkheid een veelvoud daarvan. De HAN gaat niet in op deze afperspoging omdat we cybercriminaliteit niet in stand willen houden. Ook geeft betalen niet de garantie dat de hacker de data niet verkoopt of publiceert. 

De aanvaller heeft data gedeeld met in ieder geval één journalist. Daarnaast kan het zijn dat de aanvaller data op internet of darkweb publiceert of ze probeert te verkopen. Dat is helaas gebruikelijk in dit soort situaties en valt moeilijk te voorkomen.

Cyberaanvallen komen steeds vaker voor en worden steeds slimmer uitgevoerd. De onderwijssector is daarbij steeds vaker doelwit. De HAN heeft diverse technische- en organisatorische maatregelen genomen om dergelijke aanvallen onder meer te voorkomen, op te sporen en de impact ervan te minimaliseren. Er is vanaf 2022 een project gestart om de informatieveiligheid en de bescherming van persoonsgegevens binnen de hogeschool nog verder te versterken. Daarbij kan gedacht worden aan verdere implementatie van technische maatregelen, maar ook meer bewustzijn bij medewerkers en studenten. Er wordt daarbij nauw samengewerkt met andere onderwijs- en onderzoeksinstellingen.

Vervelend dat je ongewenste gesprekken of berichten ontvangt. Je melding kan 'phishing’ via telefoon, sms, e-mail of whatsapp zijn. Dit gebeurt op dit moment heel veel. Open nooit linkjes die je niet vertrouwt. 

Ken je een (vaak buitenlands) nummer niet, neem dan niet op. Je kunt telefoonnummers eventueel ook blokkeren.   

Voor tips over de gevaren bij datalekken en wat je zelf kunt doen zie de veelgestelde vragen en tips op deze pagina. 

Heb je psychische problemen als gevolg van de datalek die (in)direct invloed hebben op je studie? De studentenpsychologen van de HAN kunnen je helpen. Denk hierbij aan een intakegesprek of maak gebruik van het open spreekuur.

Intakegesprek

Je hebt een gesprek met één van de studentpsychologen om te inventariseren tegen welke problematiek je aanloopt. Vervolgens wordt een advies geformuleerd en samen met je besproken. (max. 45 minuten).

Een intakegesprek bij de studentenpsycholoog kun je inplannen via het formulier op Insite.

Open spreekuur

Heb je een korte vraag? Of wil je jouw situatie bespreken met een studentenpsycholoog? Maak dan gebruik van het telefonisch inloopspreekuur. Aan de hand van dit gesprek (max. 10 minuten) bespreek je wat een vervolgactie zou kunnen zijn.

Je kunt je aanmelden voor het telefonisch inloopspreekuur bij het secretariaat via 024 353 04 34 of studentenpsychologen@han.nl.

Wanneer alleen het BSN gelekt is, kunnen criminelen daar normaalgesproken niet veel mee. Voor identificatiedoeleinden mag namelijk nooit alleen naar het BSN worden gevraagd. In Nederland is een kopie van het ID en documentnummer nodig voor bijvoorbeeld het openen van een bankrekening of afsluiten van een contract. Ook voor online gebruik van BSN (bijv. DigiD) zijn aanvullende middelen vereist.

Een BSN in combinatie met andere gekoppelde gegevens kan wel identiteitsfraude mogelijk maken. Het gaat hierbij om uitzonderingen. Een BSN wordt bijvoorbeeld wel eens als controleantwoord gevraagd, bijvoorbeeld bij medische informatie. Wees alert op ongewone berichten en/of activiteiten. Kijk op deze site van de Rijksoverheid als je een vermoeden hebt van identiteitsfraude.

Het lekken van NAW-gegevens brengt met name risico’s met zich mee indien tegelijk ook andere gekoppelde gegevens gelekt zijn. Met de buitgemaakte data maken criminelen nepberichten gerichter en persoonlijker. Wees extra alert op het ontvangen van brieven met oplichtingstrucs, zoals een QR-code om een nieuwe bankpas aan te vragen.

Een gelekt telefoonnummer geeft een verhoogde kans op oplichting via de telefoon, vooral als er ook andere gekoppelde gegevens gelekt zijn. Een crimineel kan jou bellen en zich voordoen als iemand anders, zoals een bankmedewerker. Daarnaast is er ook kans op valse sms’jes of WhatsApp fraude. Wees dus extra alert op ongewone activiteiten op het gelekte telefoonnummer. Stel op WhatApp 2-factor identificatie in, zie het Helpcentrum van WhatsApp - Registratie en verificatie in twee stappen.

Het lekken van een e-mailadres geeft een verhoogde kans op oplichtingsmails, spam, phishing en andere ongewenste berichten. In combinatie met andere gelekte gegevens kunnen criminelen berichten gerichter en persoonlijker maken. Wees dus extra alert op ongewone berichten en/of activiteiten op het betreffende e-mailadres. Controleer goed het mailadres van de afzender en controleer bij links in de mail eerst of de link verwijst naar een betrouwbaar adres door er met de muis over te bewegen. Is er een bijlage meegestuurd? Open die alleen als je een bestand van deze afzender verwacht en je de bijlage vertrouwt.

Voor zover nu bekend zijn er verouderde, niet versleutelde wachtwoorden buitgemaakt. Inmiddels hebben we zicht op de personen van wie deze verouderde wachtwoorden zijn. We hebben hierover op woensdag 8 september een mail gestuurd naar 4.300 mensen. 

Het gaat niet om actuele gegevens van het HANaccount. Het wachtwoord van je HANaccount hoef je niet aan te passen. En je kunt onze systemen blijven gebruiken. Gebruik je hetzelfde wachtwoord ook voor andere doeleinden dan adviseren wij je het wachtwoord daar te wijzigen.

Als je hetzelfde wachtwoord gebruikt voor verschillende doeleinden, dan kan de crimineel hier allemaal misbruik van maken. De gevolgen van een gelekt wachtwoord lopen uiteen. Denk bijvoorbeeld aan bestellingen op jouw naam bij webshops waar je een account hebt, verwijdering of manipulatie van je gegevens, en verlies van toegang tot je mail, social media en online bestanden. Het kan ook leiden tot oplichting van bekenden, omdat ze bijvoorbeeld e-mails van jou vertrouwen.

Als je wachtwoord is gelekt, wijzig deze dan op alle plekken waar je dit wachtwoord gebruikt. Doe dit ook als het gelekte wachtwoord is versleuteld (gehasht). Gebruik sterke wachtwoorden die je goed kunt onthouden en gebruik niet overal hetzelfde wachtwoord. Stel waar mogelijk 2-factorauthenticatie in. Gebruik een password manager, zoals Lastpass, Keepass of de password manager die in je browser zit, om je wachtwoorden makkelijker en veiliger te beheren. Wees daarnaast alert op ongewone bestellingen in webshops.

Wanneer alleen het (document)nummer van een paspoort of ander identiteitsbewijs is gelekt, dan kunnen criminelen daar niet veel mee. Alleen in combinatie met andere gekoppelde gegevens is er een verhoogd risico op identiteitsfraude. Het gaat hierbij om uitzonderingen. In Nederland is namelijk een combinatie van het BSN met een kopie van het ID en documentnummer nodig voor bijvoorbeeld het openen van een bankrekening of afsluiten van een contract. Ook kan niemand zich legitimeren met alleen een documentnummer. Net als bij het BSN geldt ook hier dat nummers van ID-bewijzen wel eens in combinatie met andere gegevens voor identificatiedoeleinden worden gebruikt. Wees dus alert op ongewone berichten en/of activiteiten en kijk op de site van de Rijksoverheid als je een vermoeden hebt van identiteitsfraude.

Hoewel dus de kans op misbruik op basis van alleen het documentnummer klein is, kunnen wij ons voorstellen het je ongerust maakt dat dit nummer nu mogelijk circuleert. Vandaar dat we de mensen van wie het nummer bij dit datalek is gestolen de mogelijkheid bieden om de kosten voor een nieuw ID-bewijs te declareren bij de HAN. Hiervoor vraag je een nieuw paspoort of ID-kaart aan bij jouw gemeente.

Declareren kosten

Declareren van de kosten voor een nieuw ID-bewijs kan alleen als je hierover een mail van ons hebt gehad. Heb je deze mail gehad? En is jouw huidige ID-bewijs van 2017 of daarvoor? En komt het nummer voor in de set van mogelijk gestolen gegevens? Vul dan dit declaratieformulier in en mail het declaratieformulier samen met de bon van het nieuwe ID-bewijs naar ask@han.nl.

Wanneer een pasfoto is gelekt, dan kan deze online worden misbruikt door derden. Kijk op deze site van de Rijksoverheid als je een vermoeden hebt van identiteitsfraude. Daarnaast bestaat de kans dat deze pasfoto wordt gebruikt om je anders te behandelen vanwege bepaalde uiterlijke kenmerken. Dat wordt ook wel discriminatie, uitsluiting of stigmatisering genoemd. Het zonder rechtvaardiging/reden anders behandelen van mensen is in veel gevallen strafbaar, zeker wanneer dit gebeurt op basis van gevoelige gegevens. Doe in dat geval aangifte bij de politie.

Wanneer je aanvraag voor taalondersteuning of voor ondersteuning vanwege een functiebeperking is gelekt dan bestaat de kans dat deze gegevens worden gebruikt om je anders te behandelen vanwege de gevoeligheid van de gegevens. Dat is discriminatie, uitsluiting of stigmatisering. Het zonder rechtvaardiging/reden anders behandelen van mensen is in veel gevallen strafbaar, zeker wanneer dit gebeurt op basis van gevoelige gegevens. Doe in dat geval aangifte bij de politie.

Wanneer jouw melding van de reden(en) van studievertraging is gelekt dan bestaat de kans dat deze gegevens worden gebruikt om je anders te behandelen vanwege de gevoeligheid van de gegevens. Dat is discriminatie, uitsluiting of stigmatisering. Het zonder rechtvaardiging/reden anders behandelen van mensen is in veel gevallen strafbaar, zeker wanneer dit gebeurt op basis van gevoelige gegevens. Doe in dat geval aangifte bij de politie.

Wanneer je ergens online je politieke voorkeur hebt aangegeven en deze gegevens zijn gelekt dan bestaat de kans dat deze gegevens worden gebruikt om je anders te behandelen vanwege de gevoeligheid van de gegevens. Dat is discriminatie, uitsluiting of stigmatisering. Het zonder rechtvaardiging/reden anders behandelen van mensen is in veel gevallen strafbaar, zeker wanneer dit gebeurt op basis van gevoelige gegevens. Doe in dat geval aangifte bij de politie.

Wanneer je ergens je CV online hebt achtergelaten en deze gegevens zijn gelekt dan geeft dat een verhoogde kans op oplichtingsmails, spam, phishing en andere ongewenste berichten. Daarnaast bestaat de kans dat deze gegevens worden gebruikt om je anders te behandelen vanwege de gevoeligheid van de gegevens. Dat is discriminatie, uitsluiting of stigmatisering. Het zonder rechtvaardiging/reden anders behandelen van mensen is in veel gevallen strafbaar, zeker wanneer dit gebeurt op basis van gevoelige gegevens. Doe in dat geval aangifte bij de politie.

Wees alert

Voor alle gelekte data geldt dat criminelen met buitgemaakte data nepberichtjes gerichter en persoonlijker kunnen maken. Zo lijken ze geloofwaardiger en is hun kans van slagen groter. Blijf daarom alert op oplichting via bijvoorbeeld telefonische babbeltrucs, post, phishing via e-mails, sms of WhatsApp. Bekende voorbeelden zijn betaalverzoeken van vreemden via WhatsApp of een valse e-mail vanuit de bank om logingegevens te wijzigen.

Gebruik verschillende wachtwoorden voor verschillende doeleinden

Als je wachtwoord is gelekt, wijzig deze dan op alle plekken waar je dit wachtwoord gebruikt. Gebruik sterke wachtwoorden die je goed kunt onthouden, zoals een korte zin. Een sterk wachtwoord is meer dan 8 karakters lang en bevat hoofdletters, kleine letters, cijfers en leestekens. Gebruik niet overal hetzelfde wachtwoord, maar varieer deze voor verschillende doeleinden. Met een password manager, zoals LastPass, KeePass of de password manager die in je browser zit, kun je makkelijker en veiliger je wachtwoorden beheren.

Bekijk ook regelmatig de website haveibeenpwned.com of www.scatteredsecrets.com. Je kunt hier controleren of je (inlog)gegevens betrokken zijn geweest bij eerdere datalekken. 

Zorg voor extra beveiliging bij inloggen

Stel waar mogelijk 2-factorauthenticatie in. Wil je ergens inloggen dan moet je dubbel bevestigen dat jij het bent, bijvoorbeeld met een wachtwoord én een code die je krijgt via een authenticator-app of sms-code op je telefoon. 

Specifieke tips

Naast de algemene tips die bij ieder datalek van toepassing zijn, zijn er ook specifieke tips die gelden wanneer een specifiek persoonsgegeven van jou betrokken is bij het datalek. Speciaal daarvoor hebben we een overzicht van tips per soort gelekte data op onze website han.nl/datalek opgenomen. Mocht je desondanks toch nog vragen hebben, neem dan contact op met ons contactcenter ask@han.nl.

Informatie over het privacybeleid van de HAN in algemene zin vind je op www.han.nl/privacy. Hier staan ons privacyreglement, ons privacystatement en (een compacte weergave van) ons verwerkingsregister. In dit register vind je o.a. de bewaartermijnen die wij in algemene zin hanteren. Ook kun je bij de servicedesk (ASK@han.nl) een overzicht met meer gedetailleerde termijnen opvragen.

In de nasleep van het datalek evalueert de HAN uiteraard in hoeverre het algemene privacybeleid ook daadwerkelijk afdoende is nageleefd. Die evaluatie vergt tijd. Dat komt onder meer door het aantal mogelijk getroffen systemen en de verschillende doeleinden waarvoor die systemen werden gebruikt. Voor dit moment zijn hier in algemene zin geen uitspraken over te doen. Waar nodig zal de HAN passende vervolgstappen zetten.

Je kunt op grond van de wet (AVG) een inzageverzoek doen. Wanneer je een inzageverzoek doet, zullen wij aangeven welke persoonsgegevens we van jou hebben en ook hoe lang we die gegevens in jouw geval bewaren.

Onder bepaalde omstandigheden is het denkbaar dat de bewaartermijn in jouw specifieke geval afwijkt van de meer algemene termijnen die gesteld zijn. Er kunnen redenen zijn die rechtvaardigen dat we gegevens in jouw specifieke geval korter of juist langer bewaren dan in het algemene beleid staat opgenomen. Bijvoorbeeld als een bepaald verzoek of geschil speelt, een onderzoek door een toezichthouder plaatsvindt, er toestemming is gegeven voor langer bewaren, etc. Wanneer je een inzageverzoek indient, krijg je een zo concreet mogelijk antwoord op de vraag hoe lang gegevens in jouw geval zijn bewaard.

Voor het doen van een inzageverzoek verwijzen we je naar privacy@han.nl.

Het onderzoek is afgerond en de HAN heeft iedereen, van wie een mailadres bekend is, geïnformeerd van wie mogelijk persoonsgegevens zijn buitgemaakt bij de hack.