Menu
Updates / Wanneer leidt gebrekkige gegevensbeveiliging tot een boete?
14 01 2026

Wanneer leidt gebrekkige gegevensbeveiliging tot een boete?

Organisaties die persoonsgegevens verwerken, zijn wettelijk verplicht deze goed te beveiligen onder de AVG. Doen zij dat niet, dan kan de Autoriteit Persoonsgegevens ingrijpen. Een recente boete van EUR 175.000, opgelegd na een datalek bij de Hogeschool van Arnhem en Nijmegen (HAN), onderstreept dit risico. De zaak laat zien dat papieren beleid niet genoeg is en gegevensbeveiliging constante aandacht vereist.

Digitale beveiligingsnormen onder de AVG

Op 1 september 2021 kreeg een hacker toegang tot een web- en databaseserver van de Hogeschool van Arnhem en Nijmegen (HAN). De server bevatte duizenden persoonsgegevens, waaronder NAW-gegevens, pasfoto’s, medische informatie, wachtwoorden, Burgerservicenummers (BSN) en documentnummers van legitimatiebewijzen. De hacker eiste losgeld, maar de HAN weigerde te betalen. Het incident leidde tot een grootschalig datalek en vormde aanleiding voor onderzoek door de Autoriteit Persoonsgegevens.

Beoordeling door de toezichthouder

De toezichthouder richtte haar onderzoek niet alleen op het datalek zelf, maar vooral op de vraag of de persoonsgegevens bij de HAN adequaat waren beveiligd. Zij stelde vast dat de organisatie niet voldeed aan de wettelijke eisen voor gegevensbeveiliging onder de Algemene verordening gegevensbescherming (AVG). Zo waren bekende risico’s, zoals SQL-injectie, onvoldoende beheerst. Ook ontbrak effectieve logging en monitoring, waardoor eerdere inbraakpogingen onopgemerkt bleven. Daarnaast waren de toegangsrechten te breed, bleven oude applicaties persoonsgegevens bevatten en waren duizenden wachtwoorden onveilig opgeslagen.

Deze casus laat zien hoe bekende kwetsbaarheden, in combinatie met onvoldoende preventie, kunnen leiden tot een forse boete en reputatieschade. Toezichthouders kijken niet alleen naar beleid, maar vooral naar concrete implementatie, controle en structurele risicobeheersing. Dit is een belangrijke les voor elke organisatie die met persoonsgegevens werkt.

Waarom herstel na een datalek niet volstaat

Hoewel de HAN snel ingreep door middel van met technische upgrades, strengere toegangscontrole en een versterkt informatiebeveiligingsbeleid vond de toezichthouder dat de preventieve maatregelen ontoereikend waren. De boete maakt duidelijk dat herstel achteraf niet opweegt tegen structurele gebreken in gegevensbeveiliging.

Wat verwacht de Autoriteit Persoonsgegevens van organisaties?

De uitspraak laat zien dat digitale beveiliging verder gaat dan techniek. Toezichthouders verwachten een integrale aanpak, met blijvende aandacht voor:

  • actuele risicobeoordelingen;
  • zorgvuldig toegangsbeheer;
  • veilige opslag van persoonsgegevens;
  • monitoring van systemen;
  • tijdig opschonen van verouderde toepassingen.

Een goed AVG-beleid vraagt om meer dan intenties. Het vereist structurele implementatie en blijvende investering. De Autoriteit Persoonsgegevens benadrukt bovendien dat snelle en transparante maatregelen na een incident essentieel zijn om de schade voor betrokkenen te beperken. Het besluit in de HAN-zaak is een duidelijke waarschuwing: digitale veiligheid vraagt om voortdurende aandacht, onderhoud en verantwoordelijkheid.

Meer weten over gegevensbeveiliging of de AVG?

Wilt u meer weten over gegevensbeveiliging, datalekken of de eisen van de AVG? Neem dan contact op met onze advocaten gespecialiseerd in privacyrecht. Zij denken graag met u mee over risico’s, verantwoordelijkheden en passende maatregelen.

Meer weten?
Sharinne Ibrahim
Advocaat

+31 6 15 05 42 32
+31 88 30 40 141
[email protected]

Gerelateerde expertises
Intellectueel eigendom en IT
Bekijk alles
Updates
NIS2-richtlijn: dit betekent het voor uw organisatie Update DNR2025: aansprakelijkheid, schade en termijnen Uitspraak: Vertrouwensbreuk geen reden voor verwijdering mbo-student Schapafspraken: regels voor winkels en leveranciers Prijsweergave en kortingen: ACM zet de regels op een rij Mag je nog feliciteren op LinkedIn? Grenzen van het relatiebeding getest
Artikelen
Verhaal
Bouwen aan de toekomst, op de fundamenten van het verleden

Op 1 januari 2026 viert Boels Zanders zijn 25-jarig bestaan. Ons kantoor ontstond uit de voormalige maatschappen Boels van Eijndhoven & Coenegracht en Zanders & Eikendal. Een fusiemaatschap waarin ambitie en menselijkheid de toon...
Interview
Boels Zanders:
ruim baan voor jonge advocaten

In de buitenwereld staat de advocatuur bekend als een formele en competitieve wereld. Maar bij Boels Zanders springen juist het teamwork en de informele cultuur in het oog. Dat maakt het kantoor aantrekkelijk voor jonge advocaten, zoals ...

Beheer mijn cookies

Om ervoor te zorgen dat de website bz.nl goed functioneert, maakt Boels Zanders NV gebruik van technieken waarbij persoonsgegevens worden verwerkt, zoals cookies. Op de website bz.nl maken we onderscheid tussen functionele en niet-functionele cookies.

Functionele cookies (noodzakelijk)

Functionele cookies plaatsen we altijd. Deze zijn namelijk noodzakelijk om de website goed te laten werken. Deze cookies verwerken geen persoonsgegevens.

(Altijd actief)

Analytische cookies (optioneel)

Deze niet-functionele analytische cookies verwerken persoonsgegevens buiten uw gezichtsveld. Daarom vragen wij altijd uw toestemming voor wij deze cookies plaatsen. Analytische cookies hebben allerlei verschillende doeleinden, maar stellen ons vooral in staat om onze dienstverlening te verbeteren.

Als u hiermee akkoord gaat, kunt u gewoon verder gaan. In onze cookieverklaring leest u meer over cookies en u kunt indien gewenst uw cookie-instellingen aanpassen.

Mijn keuze opslaan