Een verkeerde instelling in een Microsoft-omgeving, bijna een jaar onopgemerkt, en gevoelige persoonsgegevens die al die tijd zichtbaar waren voor mensen die die informatie niet mochten inzien. Dat is in het kort wat er misging bij Avans Hogeschool, dat op 30 juni de betrokkenen per e-mail informeerde over een datalek in zijn interne informatiesysteem. Volgens regionale krant BN DeStem gaat het om zo'n 17.500 betrokkenen, van wie de gegevens bijna een jaar lang benaderbaar zijn geweest. Het is geen spectaculaire inbraak, en juist daarom een verhaal dat elke organisatie iets te zeggen heeft.

Wat er precies misging in AMIGO
AMIGO is het managementinformatiesysteem van Avans, gebouwd op Microsoft Power BI, dat dashboards toont over onder meer inschrijvingen en uitval van studenten. Op 30 juni 2025 zorgde een wijziging in de configuratie van de Microsoft-omgeving er per ongeluk voor dat gevoelige persoonsgegevens binnen die applicatie toegankelijk werden. Die gegevens waren volgens de hogeschool herleidbaar tot individuele personen. Om welke gegevens het precies gaat, maakt Avans niet openbaar: om de privacy van de betrokkenen te beschermen deelt de school dat niet. Wie geraakt is, kreeg persoonlijk bericht over de specifieke gegevens die inzichtelijk waren.
Pas op 8 juni 2026, bijna een jaar later, viel het een medewerker op. Diezelfde dag greep Avans in en werd de toegang afgesloten. De onderwijsinstelling meldde het lek bij de Autoriteit Persoonsgegevens en stuurde eind juni de betrokkenen een e-mail.
Geen hack, wel te veel interne toegang
Een belangrijk detail: dit was geen cyberaanval en de gegevens stonden niet openbaar op het internet. De data was alleen benaderbaar voor bestaande gebruikers van AMIGO, en dan nog via extra handelingen binnen de applicatie. Avans zegt geen aanwijzingen te hebben dat er misbruik van de gegevens is gemaakt, maar sluit dat ook niet volledig uit. Precies daar zit de kwetsbaarheid: als die ene medewerker het niet had opgemerkt, was het lek nog langer blijven bestaan.
Het is hetzelfde patroon dat toezichthouder CTIVD deze week bij de Nederlandse inlichtingendiensten blootlegde, waar te veel medewerkers onrechtmatig toegang bleken te hebben tot bewaarde persoonsgegevens. Over-toegang is zelden een geraffineerde hack. Het is een instelling die te ruim staat en die niemand controleert. En net als bij het datalek van Aflac Japan, dat pas opviel doordat de servers trager werden en uiteindelijk 4,38 miljoen klanten raakte, kwam ook dit lek aan het licht door oplettendheid en toeval, niet door een alarm dat aanging.
De AVG-meldplicht en wat Avans nu doet
Dat Avans de zaak meldde bij de toezichthouder is geen vrije keuze. Onder de AVG moet een organisatie een datalek in principe binnen 72 uur melden bij de Autoriteit Persoonsgegevens en een datalekregister bijhouden. Is het risico voor de betrokkenen groot, dan moeten ook zij worden ingelicht, wat Avans per e-mail deed. Voor een onderwijsinstelling met tienduizenden studenten en medewerkers in de systemen is die meldplicht geen formaliteit maar een juridische verplichting met termijnen.
De hogeschool zegt de gebeurtenis aan te grijpen om kritischer te kijken naar dataminimalisatie, oftewel de vraag welke gegevens werkelijk bewaard moeten blijven, en naar strakkere monitoring en beheersing van applicaties zoals AMIGO.
Wat dit betekent voor jouw bedrijf
Je hoeft geen hogeschool met 17.500 dossiers te zijn om hier iets uit te halen. Elk bedrijf dat persoonsgegevens in interne systemen bewaart, van een CRM tot een gedeelde SharePoint of een Power BI-dashboard, loopt hetzelfde risico. De concrete lessen:
- Toegang volgens least-privilege. Wie mag welke gegevens zien, en klopt dat lijstje nog? Toegangsrechten groeien vaak mee met functies en projecten, maar worden zelden opgeschoond. Controleer periodiek wie waar echt bij moet.
- Configuratiewijzigingen zijn een risico op zichzelf. Een aanpassing in je Microsoft 365-, Power BI- of cloudomgeving kan ongemerkt data blootleggen. Leg vast wie zulke wijzigingen doorvoert en bouw een controle in, zodat een verkeerde instelling geen jaar blijft staan.
- Reken niet op toeval voor detectie. Bij Avans was een oplettende medewerker de redding. Actieve monitoring en logging op wie welke gegevens benadert, verkort de tijd tussen fout en ontdekking drastisch.
- Dataminimalisatie werkt preventief. Gegevens die je niet bewaart, kun je ook niet lekken. Kortere bewaartermijnen verkleinen simpelweg de schade als het misgaat.
- Vergeet derden niet. Externe leveranciers en partners die in je systemen kunnen, vallen onder dezelfde toegangsvraag. Hun rechten horen net zo strak geregeld als die van je eigen mensen.
- Zet je meldproces klaar. De klok van 72 uur begint te lopen op het moment dat je het lek ontdekt. Weet vooraf wie meldt, aan wie, en op basis van welke informatie.
De meeste datalekken beginnen niet met een geniale aanvaller, maar met een vinkje dat verkeerd staat en dat niemand terugdraait. De echte vraag is niet of jouw configuratie ooit een keer misgaat, maar hoe snel je het merkt. Bij Avans was dat bijna een jaar. Voor de meeste bedrijven is dat het verschil tussen een incident dat je zelf oplost en een lek dat je aan je klanten moet uitleggen.
Veelgestelde vragen
Grip op toegang en data
Ik help je end-to-end om je systemen zo in te richten dat gegevens alleen bereikbaar zijn voor wie ze echt nodig heeft, van meedenken over toegangsbeleid tot het bouwen en automatiseren van monitoring die fouten meteen zichtbaar maakt. Self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
