Schriftelijke vragen : Het bericht ‘Psychische problemen HAN-studenten ook op straat na grote hack’.

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na
grote hack»?1

Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen
met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze
gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo
nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan
van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen
trekken?

Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens
van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt
u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit
zijn gemaakt? Zo nee, waarom niet?

Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is
er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het
sectorale computer emergency response team SURFcert ter (technische) ondersteuning?
Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen
qua ondersteuning vanuit SURFcert?

Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet
betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld
bij het voeren van deze dialoog? Zo nee, waarom niet?

Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten
en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval
tot nu heeft veroorzaakt?

Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie?
Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is
dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door
cybercriminelen?

Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige
medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy
van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer
zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met
betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact
die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld
van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee,
waarom niet?

Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen
te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken
naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe
komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering
bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om
de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering
in het onderwijs» beantwoorden?