Bijna 800.000 Franse studenten en oud-studenten zijn deze week getroffen door een hack op een onderwijsdienst. Persoonsgegevens zijn buitgemaakt, zoals namen en contactgegevens. De aanval vond plaats in Frankrijk en raakt instellingen in het hoger onderwijs. De zaak is gemeld aan toezichthouder CNIL en raakt ook aan de Europese AI-verordening gevolgen overheid en onderwijs, omdat een sterke datahuishouding nu extra telt.
Groot databestand buitgemaakt
Bij de cyberaanval is een groot databestand met studentgegevens gekopieerd. Het gaat om standaardgegevens zoals naam, e‑mailadres en mogelijk telefoonnummer of geboortedatum. Of ook wachtwoorden of financiële gegevens zijn geraakt, is op het moment van schrijven niet bevestigd. De onderwijsdienst en betrokken instellingen doen nader onderzoek en beperken de toegang tot systemen.
De exacte technische oorzaak is nog niet publiek gemaakt. Vaak gaat het bij zulke incidenten om misbruik van een lek, zwak wachtwoord of een fout bij een leverancier. Onderwijsinstellingen werken met veel externe platforms voor inschrijvingen, huisvesting of alumni. Die keten maakt de beveiliging complexer en vergroot de kans op fouten.
Autoriteiten noemen dit type gegevens een hoog risico voor misbruik. Met naam en contactgegevens kunnen criminelen gerichte phishing sturen. In combinatie met geboortedata wordt identiteitsfraude eenvoudiger. Daarom zijn snelle melding en transparantie verplicht onder Europese regels.
Bijna 800.000 personen zijn geraakt, op het moment van schrijven. Dat vergroot de kans op grootschalige phishing in en rond het hoger onderwijs.
Phishingrisico neemt toe
Studenten en alumni kunnen de komende tijd meer nepmails en -berichten verwachten. Aanvallers gebruiken echte namen en studierelaties om geloofwaardig te lijken. Ze doen zich bijvoorbeeld voor als de universiteit, een beursloket of een woningplatform. Zo proberen ze inloggegevens of betaalinformatie los te krijgen.
Ook smishing en vishing nemen toe. Dat zijn phishingpogingen via sms of telefoon. Criminelen koppelen gelekte data aan openbare bronnen en sociale media. Zo maken ze het verhaal persoonlijk en dus overtuigender.
Extra let op berichten met spoed, druk of beloftes van geld. Controleer altijd de afzender en het webadres. Log niet in via links in e‑mails, maar ga zelf naar de bekende site. Zet waar mogelijk multifactorauthenticatie aan om accounts te beschermen.
AVG en CNIL in actie
Bij een datalek gelden in de EU de regels van de AVG (Algemene verordening gegevensbescherming). De verwerkingsverantwoordelijke moet binnen 72 uur melding doen bij de nationale toezichthouder, in Frankrijk is dat de CNIL. Als er een hoog risico is voor personen, moeten zij ook direct worden geïnformeerd. Daar horen heldere uitleg en praktische tips bij.
De AVG eist dat organisaties dataminimalisatie toepassen. Dat betekent: niet meer gegevens verzamelen dan nodig en ze niet langer bewaren dan nodig. Ook passende beveiliging is verplicht, zoals versleuteling, toegangsbeheer en logging. Schendingen kunnen leiden tot boetes en bindende verbetermaatregelen.
Voor onderwijsinstellingen is ook de rol van leveranciers cruciaal. Er moet een verwerkersovereenkomst zijn met duidelijke eisen voor beveiliging en audits. Bij gevoelige of grootschalige verwerkingen hoort een DPIA, een voorafgaand privacyrisico-onderzoek. Die stappen verminderen de kans en de impact van incidenten.
AI-verordening: gevolgen voor overheid
De Europese AI-verordening (AI Act) stelt extra eisen aan overheden en onderwijs als zij algoritmen inzetten. Systemen die studenten beoordelen of toewijzingen doen, vallen al snel in een hoge risicoklasse. Dat vraagt om strikte data‑kwaliteit, traceerbaarheid en menselijk toezicht. Een datalek ondermijnt die basis en vergroot het modelrisico.
Voor publieke organisaties betekent dit dubbele druk: voldoen aan de AVG én aan de AI‑verordening. Dat vergt een robuuste data‑governanceketen, van inwinning tot archivering. Ook leveranciers van AI‑diensten moeten aantoonbaar voldoen. Contracten en technische controles moeten daarop worden ingericht.
Praktisch gezien hoort daar encryptie van datasets bij en strikte scheiding tussen trainingsdata en operationele data. Toegang tot productiedata voor testen of modelontwikkeling moet beperkt zijn. En alle datastromen moeten te herleiden en te controleren zijn. Zo blijven algoritmen betrouwbaar, ook na een incident.
Lessen voor Nederland
Nederlandse hogescholen en universiteiten werken vaak via SURF en SURFconext voor veilige inlog en koppelingen. Toch blijft toeleveranciersrisico een zwakke plek. Eist daarom ISO 27001 of vergelijkbare normen in contracten en controleer die actief. Deel alleen het strikt nodige via koppelvlakken en wis data tijdig.
De Autoriteit Persoonsgegevens houdt toezicht op de AVG in Nederland. Bij een vergelijkbaar incident geldt ook hier de 72‑uurstermijn en informatieplicht aan betrokkenen. Een noodplan met rollen, sjablonen en contactlijsten versnelt de respons. Oefen dat plan minstens jaarlijks met IT, communicatie en juridische teams.
Voor studenten en medewerkers geldt: gebruik unieke wachtwoorden en een wachtwoordbeheerder. Zet multifactorauthenticatie aan, ook bij studie- en e‑mailaccounts. Let op look‑alike domeinen en QR‑phishing. Meld verdachte berichten bij de IT‑servicedesk zodat filters snel kunnen worden aangescherpt.
Aanpak van ketenrisico’s
Veel onderwijsprocessen lopen via externe platforms voor inschrijving, beurzen, alumni en huisvesting. Maak een actueel overzicht van alle datastromen naar die partijen. Beperk wat zij mogen zien en hoe lang zij mogen bewaren. Monitor afwijkingen met simpele, duidelijke rapportages.
Leg in verwerkersovereenkomsten hersteltermijnen, beveiligingsmaatregelen en auditrechten vast. Vraag om periodieke penetratietests en bewijs van patchbeleid. Toets ook de continuïteit: back‑ups, uitwijk en heldere aanspreekpunten. Zo staat de basis als er toch iets misgaat.
Ten slotte helpt bewustwording. Korte, herhaalde trainingen over phishing en dataminimalisatie werken beter dan lange cursussen. Combineer die met realistische tests en directe feedback. Dit verkleint de kans dat een menselijke fout tot een groot incident leidt.
