Studenten in een moderne collegezaal tijdens een hoorcollege
Nieuws1 juli · 12:075 min leestijd

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling

Een configuratiewijziging in een Microsoft-omgeving maakte gevoelige persoonsgegevens bijna een jaar toegankelijk binnen Avans' systeem AMIGO. Geen hack, wel een pijnlijke les over toegangsbeheer voor elk bedrijf.

Een verkeerde instelling in een Microsoft-omgeving, bijna een jaar onopgemerkt, en gevoelige persoonsgegevens die al die tijd zichtbaar waren voor mensen die die informatie niet mochten inzien. Dat is in het kort wat er misging bij Avans Hogeschool, dat op 30 juni de betrokkenen per e-mail informeerde over een datalek in zijn interne informatiesysteem. Volgens regionale krant BN DeStem gaat het om zo'n 17.500 betrokkenen, van wie de gegevens bijna een jaar lang benaderbaar zijn geweest. Het is geen spectaculaire inbraak, en juist daarom een verhaal dat elke organisatie iets te zeggen heeft.

Een gebouw van Avans Hogeschool in Den Bosch. Bron: Cro-Cop2 / Wikimedia Commons (CC BY-SA 3.0)
Een gebouw van Avans Hogeschool in Den Bosch. Bron: Cro-Cop2 / Wikimedia Commons (CC BY-SA 3.0)

Wat er precies misging in AMIGO

AMIGO is het managementinformatiesysteem van Avans, gebouwd op Microsoft Power BI, dat dashboards toont over onder meer inschrijvingen en uitval van studenten. Op 30 juni 2025 zorgde een wijziging in de configuratie van de Microsoft-omgeving er per ongeluk voor dat gevoelige persoonsgegevens binnen die applicatie toegankelijk werden. Die gegevens waren volgens de hogeschool herleidbaar tot individuele personen. Om welke gegevens het precies gaat, maakt Avans niet openbaar: om de privacy van de betrokkenen te beschermen deelt de school dat niet. Wie geraakt is, kreeg persoonlijk bericht over de specifieke gegevens die inzichtelijk waren.

Pas op 8 juni 2026, bijna een jaar later, viel het een medewerker op. Diezelfde dag greep Avans in en werd de toegang afgesloten. De onderwijsinstelling meldde het lek bij de Autoriteit Persoonsgegevens en stuurde eind juni de betrokkenen een e-mail.

Geen hack, wel te veel interne toegang

Een belangrijk detail: dit was geen cyberaanval en de gegevens stonden niet openbaar op het internet. De data was alleen benaderbaar voor bestaande gebruikers van AMIGO, en dan nog via extra handelingen binnen de applicatie. Avans zegt geen aanwijzingen te hebben dat er misbruik van de gegevens is gemaakt, maar sluit dat ook niet volledig uit. Precies daar zit de kwetsbaarheid: als die ene medewerker het niet had opgemerkt, was het lek nog langer blijven bestaan.

Het is hetzelfde patroon dat toezichthouder CTIVD deze week bij de Nederlandse inlichtingendiensten blootlegde, waar te veel medewerkers onrechtmatig toegang bleken te hebben tot bewaarde persoonsgegevens. Over-toegang is zelden een geraffineerde hack. Het is een instelling die te ruim staat en die niemand controleert. En net als bij het datalek van Aflac Japan, dat pas opviel doordat de servers trager werden en uiteindelijk 4,38 miljoen klanten raakte, kwam ook dit lek aan het licht door oplettendheid en toeval, niet door een alarm dat aanging.

De AVG-meldplicht en wat Avans nu doet

Dat Avans de zaak meldde bij de toezichthouder is geen vrije keuze. Onder de AVG moet een organisatie een datalek in principe binnen 72 uur melden bij de Autoriteit Persoonsgegevens en een datalekregister bijhouden. Is het risico voor de betrokkenen groot, dan moeten ook zij worden ingelicht, wat Avans per e-mail deed. Voor een onderwijsinstelling met tienduizenden studenten en medewerkers in de systemen is die meldplicht geen formaliteit maar een juridische verplichting met termijnen.

De hogeschool zegt de gebeurtenis aan te grijpen om kritischer te kijken naar dataminimalisatie, oftewel de vraag welke gegevens werkelijk bewaard moeten blijven, en naar strakkere monitoring en beheersing van applicaties zoals AMIGO.

Wat dit betekent voor jouw bedrijf

Je hoeft geen hogeschool met 17.500 dossiers te zijn om hier iets uit te halen. Elk bedrijf dat persoonsgegevens in interne systemen bewaart, van een CRM tot een gedeelde SharePoint of een Power BI-dashboard, loopt hetzelfde risico. De concrete lessen:

  • Toegang volgens least-privilege. Wie mag welke gegevens zien, en klopt dat lijstje nog? Toegangsrechten groeien vaak mee met functies en projecten, maar worden zelden opgeschoond. Controleer periodiek wie waar echt bij moet.
  • Configuratiewijzigingen zijn een risico op zichzelf. Een aanpassing in je Microsoft 365-, Power BI- of cloudomgeving kan ongemerkt data blootleggen. Leg vast wie zulke wijzigingen doorvoert en bouw een controle in, zodat een verkeerde instelling geen jaar blijft staan.
  • Reken niet op toeval voor detectie. Bij Avans was een oplettende medewerker de redding. Actieve monitoring en logging op wie welke gegevens benadert, verkort de tijd tussen fout en ontdekking drastisch.
  • Dataminimalisatie werkt preventief. Gegevens die je niet bewaart, kun je ook niet lekken. Kortere bewaartermijnen verkleinen simpelweg de schade als het misgaat.
  • Vergeet derden niet. Externe leveranciers en partners die in je systemen kunnen, vallen onder dezelfde toegangsvraag. Hun rechten horen net zo strak geregeld als die van je eigen mensen.
  • Zet je meldproces klaar. De klok van 72 uur begint te lopen op het moment dat je het lek ontdekt. Weet vooraf wie meldt, aan wie, en op basis van welke informatie.

De meeste datalekken beginnen niet met een geniale aanvaller, maar met een vinkje dat verkeerd staat en dat niemand terugdraait. De echte vraag is niet of jouw configuratie ooit een keer misgaat, maar hoe snel je het merkt. Bij Avans was dat bijna een jaar. Voor de meeste bedrijven is dat het verschil tussen een incident dat je zelf oplost en een lek dat je aan je klanten moet uitleggen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op toegang en data

Ik help je end-to-end om je systemen zo in te richten dat gegevens alleen bereikbaar zijn voor wie ze echt nodig heeft, van meedenken over toegangsbeleid tot het bouwen en automatiseren van monitoring die fouten meteen zichtbaar maakt. Self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten
Gids
9 min

30 jun 17:00

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten

Inventariseer welke klantdata op Amerikaanse clouds staat, kies per systeem een EU-residency-optie en werk je verwerkersovereenkomsten bij, zonder in paniek je hele stack te verhuizen.

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing
Nieuws
5 min

9 jul 20:22

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Bedrijfskennis doorzoekbaar maken met AI: wanneer RAG loont, en wanneer je het niet moet bouwen
Gids
Uitgebreide gids11 min

3 jul 11:03

Bedrijfskennis doorzoekbaar maken met AI: wanneer RAG loont, en wanneer je het niet moet bouwen

Een AI-chatbot op je hele kennisbank klinkt geweldig, maar RAG loont maar in een deel van de gevallen. Vier vragen, een beslisboom en de eerlijke kosten van kant-en-klaar versus maatwerk.

Datalek bij Aflac Japan raakt 4,38 miljoen klanten: de les over dochter- en derdenrisico
Nieuws
5 min

1 jul 06:29

Datalek bij Aflac Japan raakt 4,38 miljoen klanten: de les over dochter- en derdenrisico

Een hack bij de Japanse dochter van verzekeraar Aflac bleef tien dagen onopgemerkt en raakte 4,38 miljoen klanten. Een scherpe casus over dochter- en derdenrisico en over hoe je na een datalek communiceert.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?