Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 175 000 euro mot HAN University of Applied Sciences (HAN) för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att AP år 2021 inledde ett tillsynsärende med anledning av ett personuppgiftsincident vid HAN. Genom utnyttjande av en sårbarhet i ett webbformulär erhöll en obehörig aktör åtkomst till utbildningsinstitutionens webbserver och databasserver. Den obehörige hotade därefter att offentliggöra de uppgifter som denne kommit över och begärde, utan framgång, betalning av en lösensumma. Incidenten omfattade personuppgifter i form av adresser, namn i kombination med lösenord samt medborgarservicenummer (BSN).
Enligt artikel 32 GDPR åligger det den personuppgiftsansvarige att, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Detta förutsätter att den personuppgiftsansvarige genomför en riskbedömning och därefter implementerar adekvata skyddsåtgärder.
AP konstaterade att HAN inte hade uppfyllt dessa skyldigheter. Säkerhetsåtgärderna för de berörda servrarna var inte anpassade till de identifierade riskerna, och åtkomsträttigheterna för ett användarkonto på databasservern saknade nödvändiga begränsningar. Följden var att en sårbarhet i en enskild applikation på webbservern kunde medföra obehörig åtkomst till samtliga personuppgifter på databasservern. AP konstaterade samtidigt att den inträffade personuppgiftsincidenten i sig inte utgjorde en överträdelse av GDPR.
HAN medgav att den vidtagna säkerhetsnivån varit otillräcklig och att lärosätet därigenom hade åsidosatt sina skyldigheter enligt artikel 32 GDPR. Under och efter tillsynsärendet vidtog HAN korrigerande åtgärder i syfte att avhjälpa de konstaterade bristerna och stärka skyddet för de personuppgifter som behandlades.