Cybercriminelen drongen in september 2021 binnen op een server van de hogeschool. Daarop stonden de gegevens van ongeveer een half miljoen mensen, zoals naam, adres, woonplaats en telefoonnummer. De mensen hadden die informatie ingevuld op webformulieren, en de hogeschool had die opgeslagen.

Bij een kleine groep gedupeerden bewaarde de hogeschool meer informatie, zoals nummers van identiteitsbewijzen en niet-versleutelde wachtwoorden. Op de gehackte server stonden verder de cv’s van meer dan 800 mensen, de burgerservicenummers van ruim 400 personen en de politieke voorkeuren van 150 mensen. De hacker eiste enkele tienduizenden euro’s losgeld, wat de HAN weigerde te betalen.

Bram Kleisterlee, inmiddels afgestudeerd in de communicatie, had 1000 euro schadevergoeding geëist. De hogeschool wees dat af, en daarom stapte hij naar de rechter. De oud-student vindt dat de HAN de Europese privacyregels heeft overtreden door de systemen niet goed te beveiligen, en dat hij daardoor schade heeft geleden.

De kantonrechter in Arnhem geeft hem deels gelijk. Dat zijn naam, adres, woonplaats, mailadres en telefoonnummer in verkeerde handen zijn gevallen heeft „hoe vervelend ook, niet tot schade geleid”. Maar dat ook medische informatie op straat lag, heeft voor hem wel tot schade geleid.