Cybersecurity en compliance zijn voor veel organisaties nog steeds gescheiden werelden. Dat blijkt opnieuw uit een recente boete van de Autoriteit Persoonsgegevens aan de Hogeschool van Arnhem en Nijmegen (HAN). In deze blog geeft Natascha van Duuren – advocaat IT, Privacy & Cybersecurity bij De Clercq Advocaten – belangrijke lessen voor security-resellers om klanten beter te adviseren.
De casus: datalek met grote gevolgen
Op 17 december 2025 legde de AP de HAN een boete op van 175.000 euro wegens onvoldoende beveiliging van persoonsgegevens. Aanleiding was een grootschalig datalek in 2021. Via een kwetsbaarheid in een webformulier wist een hacker toegang te krijgen tot een database met gevoelige gegevens van studenten en medewerkers.
Het ging daarbij onder meer om namen, adressen, e-mailgegevens, wachtwoorden (waarvan duizenden onversleuteld), BSN-nummers en zelfs medische informatie. De aanvaller eiste losgeld, maar de HAN ging hier niet op in.
Wat ging er technisch én organisatorisch mis?
Uit het onderzoek van de AP blijkt dat de HAN artikel 32 AVG heeft overtreden: de beveiligingsmaatregelen waren niet passend bij de risico’s van de gegevensverwerking. Concreet constateerde de toezichthouder onder meer:
- Onvoldoende toegangsbeheer: een database-account had onbeperkte rechten, waardoor één kwetsbare applicatie toegang gaf tot alle data;
- Gebrekkige logging en monitoring: eerdere SQL-injectieaanvallen bleven onopgemerkt;
- Onvoldoende wachtwoordbeveiliging: wachtwoorden waren niet (of niet adequaat) versleuteld opgeslagen.
Voor IT-resellers is dit herkenbaar: niet het ontbreken van tools, maar het ontbreken van juist ingerichte en beheerde maatregelen vormt vaak het grootste risico.
Reactie van de HAN
De HAN erkende de tekortkomingen en heeft na het incident aanvullende beveiligingsmaatregelen doorgevoerd. Bij het vaststellen van de boete hield de AP rekening met deze verbeteringen en met de inspanningen om de impact voor betrokkenen te beperken. De HAN heeft geen bezwaar gemaakt en wil de casus actief inzetten om andere organisaties te waarschuwen, onder meer via voorlichting en een congres over informatiebeveiliging.
Wat betekent dit voor IT-resellers?
Deze zaak laat zien dat klanten niet alleen behoefte hebben aan technische oplossingen, maar vooral aan risicogestuurde beveiliging die aantoonbaar voldoet aan wetgeving. Dat wordt alleen maar belangrijker met de komst van de Cyberbeveiligingswet (verwacht in mei 2026), die hogere eisen stelt aan governance, monitoring en documentatie.
IT-resellers kunnen hier waarde toevoegen door klanten te helpen met:
- Het uitvoeren en actualiseren van risicoanalyses als basis voor security-keuzes;
- Least-privilege toegangsbeheer en periodieke controle van rechten;
- Correcte *encryptie en lifecycle-management van data;
- Structurele logging, monitoring en incidentdetectie;
- Het aantoonbaar maken van beveiligingsmaatregelen richting toezichthouders (documentatie, policies, rapportages).
Juist de combinatie van technologie, configuratie, beheer en compliance-kennis maakt hier het verschil.
Conclusie
De boete voor de HAN is een duidelijke waarschuwing: ook organisaties die “iets aan security doen” lopen aanzienlijke risico’s als maatregelen niet aansluiten bij de actuele dreigingen en wettelijke eisen. Voor sectoren met veel persoonsgegevens – zoals onderwijs, zorg en overheid – is dit extra relevant.
Voor IT-resellers ligt hier een duidelijke kans: klanten helpen om cybersecurity niet alleen technisch, maar ook juridisch en organisatorisch op orde te brengen. Proactief investeren in passende beveiliging is geen luxe meer, maar een harde noodzaak.