Avans Hogeschool heeft een datalek gemeld bij de Autoriteit Persoonsgegevens. Binnen managementsysteem AMIGO waren bijna een jaar lang persoonsgegevens onbedoeld toegankelijk voor gebruikers die die niet mochten zien. Een medewerker ontdekte de situatie pas begin deze maand, terwijl het systeem vanaf juni 2025 onbedoeld inzichtelijk was.
Het lek ontstond op 30 juni 2025 en werd pas op 8 juni 2026 beëindigd, dus bijna een jaar later. Volgens Avans lag de oorzaak bij een wijziging in de Microsoft-omgeving. Door die aanpassing werd het in AMIGO mogelijk om via een extra functionaliteit gegevens op te vragen die herleidbaar waren tot individuele personen.
AMIGO staat voor Avans Management Informatie GO. Het systeem toont via verschillende dashboards managementinformatie voor de organisatie en is gebouwd in Microsoft Power BI. Op de dag van de ontdekking beeindigde de hogeschool de toegang direct en startte een onderzoek naar oorzaak, omvang en impact.
Ook gevoelige gegevens toegankelijk
Uit dat onderzoek blijkt dat ook gegevens toegankelijk konden zijn die als gevoelig worden beschouwd. Om welke soort persoonsgegevens het precies gaat, deelt Avans niet publiekelijk. Alle betrokkenen zijn op 30 juni 2026 persoonlijk geinformeerd, waarbij is uitgelegd om welke gegevens het ging.
Avans benadrukt dat er geen sprake is van een cyberaanval en dat de gegevens niet openbaar toegankelijk zijn geweest. Toch geldt het incident als een datalek, waarvan melding is gedaan bij de AP. Aanwijzingen voor misbruik zijn er vooralsnog niet, maar de hogeschool kan dat naar eigen zeggen niet volledig uitsluiten.
Waarom dit een jaar duurde?
De hogeschool onderzoekt niet alleen de technische oorzaak, maar ook waarom de situatie zo lang onopgemerkt bleef. “Er zijn bestaande controlemechanismen bij Avans die signaleren en deze situatie hadden moeten voorkomen. Dat is in dit geval niet gelukt, daar moeten we eerlijk over zijn”, laat de organisatie weten.
De processen bleken in dit geval niet voldoende om de gegevens te beschermen. De maatregelen die Avans nu neemt, richten zich daarom vooral op het aanvullen en verbeteren van processen, controles en monitoring. Ook kijkt de organisatie kritisch naar dataminimalisatie. Welke informatie is strikt noodzakelijk om te bewaren?
Over de rol van Microsoft is Avans duidelijk. Microsoft is dan wel eigenaar van Power BI, maar de hogeschool ziet zichzelf verantwoordelijk voor het beheer en de beveiliging van de eigen gegevens. “Uiteindelijk is Avans verantwoordelijk voor het beveiligen van de gegevens die we beheren”, aldus de organisatie.
Advies aan betrokkenen
Avans adviseert betrokkenen alert te blijven op phishing en verdachte berichten, de afzender zorgvuldig te controleren en niet op onbekende links te klikken. Een absolute garantie dat een soortgelijk incident niet opnieuw gebeurt, kan de hogeschool niet geven. Wel zegt Avans passende technische en organisatorische maatregelen te treffen om het risico op herhaling te beperken.
Datalekken bij Nederlandse organisaties blijven regelmatig terugkeren. Zo meldde telecomprovider Odido eerder dit jaar een cyberaanval waarbij gegevens van miljoenen klanten werden gestolen en werd reisorganisatie Sunweb slachtoffer van een datalek. Ondertussen werkt de Europese Commissie aan een versoepeling van de GDPR.