Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/22

Kraj:

Holandia

Data wydania decyzji:

15.12.2025 r.

Podmiot kontrolowany:

Arnhem and Nijmegen University of Applied Sciences

Wysokość kary (EUR):

175.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie było skutkiem kumulacji zaniedbań: brak pełnej ochrony formularzy przed wstrzyknięciami SQL i ograniczonego monitoringu, konto serwerowe z prawem dostępu do wszystkich baz danych, brak polityki usuwania nieużywanych danych oraz przechowywanie haseł w postaci otwartej lub z użyciem przestarzałych algorytmów. Te słabe praktyki sprawiły, że pojedyncza luka umożliwiła napastnikowi dostęp do 94 baz zawierających dane osobowe i przejęcie tysięcy niezaszyfrowanych haseł.

 

Opis wydarzeń

  1. Wykrycie ataku i żądanie okupu: Pod koniec sierpnia 2021 r. cyberprzestępca wykorzystał podatność w formularzu internetowym na stronie HAN, używając techniki SQL Injection, by uzyskać nieautoryzowany dostęp do serwera baz danych. Po przejęciu danych skontaktował się z przewodniczącym zarządu, żądając okupu. Uczelnia odmówiła zapłaty.
  2. Zakres skradzionych danych: Śledztwo wykazało, że napastnik pobrał co najmniej 530 000 rekordów zawierających dane studentów, pracowników, absolwentów i osób, które kiedyś wypełniły formularze rekrutacyjne. Około 95 % wykradzionych danych stanowiły podstawowe informacje (imię, nazwisko, adres), niewielki odsetek dotyczył danych szczególnej kategorii (informacje o niepełnosprawności czy poglądach politycznych). Na serwerze znajdowało się także 407 numerów BSN oraz 183 numery dokumentów tożsamości.
  3. Niebezpieczne praktyki i możliwość eskalacji: Z konta serwerowego „dbroxen” można było odczytać wszystkie 282 bazy danych, z czego 94 zawierały dane osobowe, co złamało zasadę minimalnych uprawnień. Ponadto na serwerze znajdowały się dane pochodzące z wycofanych aplikacji (m.in. formularzy sprzed 2011 r.), a tysiące haseł przechowywano w postaci niezaszyfrowanej lub przy użyciu przestarzałych algorytmów MD5/SHA‑1, co znacząco zwiększyło skalę szkody.
  4. Reakcja uczelni i działania naprawcze: Po stwierdzeniu incydentu HAN odłączył serwer od sieci, powiadomił holenderski organ nadzorczy i zatrudnił zewnętrznych ekspertów. Przesłał również ostrzeżenia do poszkodowanych, instruując ich, jak uchronić się przed phishingiem i kradzieżą tożsamości. Holenderski organ nadzorczy podkreślił, że sam fakt naruszenia nie stanowi automatycznego złamania RODO, jednak w tym przypadku niewystarczające zabezpieczenia przesądziły o odpowiedzialności. Uczelnia rozpoczęła program wzmocnienia bezpieczeństwa, zwiększyła liczbę oficerów ds. bezpieczeństwa oraz zaczęła organizować warsztaty dla innych podmiotów.
  5. Następstwa prawne i kara: Holernerski organ nadzorczy nałożył na HAN administracyjną karę 175 000 € za naruszenie art. 32 RODO. Zaznaczył, że na wysokość kary wpłynęły również działania naprawcze i współpraca uczelni. Haker został skazany, a sądy przyznały niektórym poszkodowanym odszkodowania (np. 300 € za ujawnienie danych medycznych). Uczelnia nie odwołała się od decyzji organu nadzorczego i kontynuowała prace nad poprawą bezpieczeństwa.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Systematyczna analiza ryzyka: Administrator powinien identyfikować ryzyka związane z przetwarzaniem danych, oceniać ich prawdopodobieństwo i skutki. Nastepnie wdrażać środki je ograniczające oraz regularnie weryfikować, czy poziom ochrony pozostaje adekwatny. Analiza ryzyka musi być aktualizowana w miarę rozwoju technologii i zmian w organizacji.
  2. Bezpieczne projektowanie aplikacji i zapobieganie SQL Injection: Należy stosować zasady security by design i secure coding, w tym parametryzację zapytań, walidację danych wejściowych i regularne testy bezpieczeństwa, aby minimalizować ryzyko wstrzyknięcia kodu. Ważne jest też przechowywanie polityk i dowodów wykonania analiz ryzyka na potrzeby audytów.
  3. Rozszerzone logowanie i monitoring: Systemy powinny rejestrować wszystkie istotne działania w bazach danych i aplikacjach, a monitoring powinien umożliwiać szybkie wykrycie anomalii. Zakres logowania i monitoringu należy regularnie weryfikować, aby nie pomijać potencjalnych prób ataku.
  4. Zasada minimalnych uprawnień: Konta użytkowników (w tym kont serwisowych i aplikacyjnych) muszą mieć tylko niezbędne uprawnienia. Warto wprowadzić mechanizmy kontroli dostępu oparte na rolach i segregacji baz danych, tak aby podatność w jednej aplikacji nie dawała dostępu do innych zasobów.
  5. Regularna archiwizacja i usuwanie nieużywanych danych: Polityki retencji powinny być nie tylko spisane, lecz także wdrożone. Okresowo przeglądaj magazyny danych w celu identyfikacji i usuwania zbędnych informacji, zwłaszcza z wycofanych aplikacji.
  6. Bezpieczne przechowywanie haseł: Używaj współczesnych, uznawanych za bezpieczne algorytmów haszujących, zawsze z solą i wielokrotnym mieszaniem. Unikaj przechowywania haseł w postaci otwartego tekstu. Wraz z rozwojem technologicznym okresowo oceniaj, czy stosowane metody nadal spełniają wymagania.
  7. Szkolenia i budowanie świadomości: Pracownicy odpowiedzialni za rozwój systemów i obsługę danych powinni regularnie uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa i RODO. Warto dzielić się doświadczeniami z incydentów wewnątrz organizacji oraz na zewnątrz.
  8. Ciągłe doskonalenie: Rozsądne jest prowadzenie projektów zwiększających poziom dojrzałości bezpieczeństwa. Organizacje powinny stale podnosić standardy ochrony, korzystając z modeli branżowych i dostosowując je do własnych potrzeb.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO