De hacker die 1 september mogelijk persoonsgegevens van de Hogeschool Arnhem Nijmegen (HAN) buit heeft gemaakt, heeft ook toegang gehad tot persoonlijke gegevens van studenten. Het gaat onder andere om medische informatie zoals functiebeperkingen en politieke voorkeuren van studenten, meldt de onderwijsinstelling dinsdag na onderzoek.

Op de server stonden grote hoeveelheden persoonsgegevens, laat de HAN weten. Of alle aanwezige gegevens ook door de hacker zijn buitgemaakt en geopenbaard zijn, is onduidelijk.

De HAN schrijft dat er op de server 530.000 unieke mailadressen van personen stonden. De meeste overige gegevens zouden algemene persoonsgegevens zijn, zoals telefoonnummers, adressen en namen.

Bij 3 procent van de gegevens zou er sprake zijn van meer privacygevoelige data, zoals BSN-nummers en persoonlijke documenten over studenten. In die documenten zouden gegevens over onder andere functiebeperkingen, politieke voorkeur en studievertragingen van studenten staan.

De school schrijft dat de hacker een losgeldbedrag zou hebben geëist. Een bedrag van 10.000 euro dat rondging in de media, klopt niet. Volgens de HAN gaat het om een veelvoud ervan. RTL Nieuws meldt op basis van een afpersmail van de hacker dat het over een bedrag van 4 bitcoin zou gaan, zo'n 156.000 euro. De onderwijsinstelling heeft het bedrag niet betaald.

Al eerder bleek dat de hacker gestolen gegevens van de HAN online zou hebben geplaatst. Ruim vierduizend mensen ontvingen een waarschuwing van de HAN voor het mogelijk op straat liggen van hun gegevens.