Witold Kepinski - 02 juli 2026

Gevoelige gegevens Avans jaar lang onbedoeld toegankelijk

Avans Hogeschool is getroffen door een omvangrijk datalek dat bijna een jaar lang onopgemerkt is gebleven. Door een foutieve configuratiewijziging in de Microsoft-omgeving waren gevoelige persoonsgegevens binnen het interne managementsysteem AMIGO toegankelijk voor personen die daar geen autorisatie voor hadden. De onderwijsinstelling heeft inmiddels melding gedaan bij de Autoriteit Persoonsgegevens (AP).

Gevoelige gegevens Avans jaar lang onbedoeld toegankelijk image

Het lek ontstond al op 30 juni 2025, maar werd pas op 8 juni 2026 door een oplettende medewerker ontdekt. Dezelfde dag is de onbedoelde toegang stopgezet. Op 30 juni 2026 zijn alle betrokkenen persoonlijk geïnformeerd over het incident.

Menselijke fout in Microsoft-omgeving

De oorzaak van het datalek ligt in een aanpassing binnen de Microsoft-omgeving van de hogeschool. AMIGO (Avans Management Informatie GO) is een eigen dashboardsysteem dat draait op Microsoft PowerBI en wordt gebruikt om managementinformatie inzichtelijk te maken.

Door de wijziging in juni vorig jaar werd er onbedoeld een extra functionaliteit actief. Via deze extra stap konden gebruikers gegevens inzien die direct herleidbaar waren tot individuele personen. Avans bevestigt dat het hierbij ook gaat om gegevens die als "gevoelig" worden beschouwd. Om welke data en hoeveel getroffenen het exact gaat, wil de hogeschool ter bescherming van de privacy niet publiekelijk delen.

Falende controlemechanismen

Dat de situatie bijna twaalf maanden kon voortduren, is een pijnlijke constatering voor de hogeschool. Avans erkent dat de interne processen en beveiligingsaudits tekort zijn geschoten.

"De controlemechanismen bij Avans hadden deze situatie moeten voorkomen. Dat wil niet zeggen dat er geen controle en monitoring is, maar wel dat het in deze situatie niet voldoende is geweest," aldus de instelling in een verklaring.

Hoewel het systeem op software van Microsoft draait, legt Avans de schuld niet bij de techgigant neer: "Als Avans zijn wij verantwoordelijk voor het beheer en de beveiliging van onze gegevens. Die verantwoordelijkheid nemen we."

Er is volgens het onderzoek geen sprake van een externe cyberaanval of een hack; de data waren enkel intern toegankelijk en stonden niet openbaar op het internet. De hogeschool benadrukt dat er tot nu toe geen aanwijzingen zijn dat er daadwerkelijk misbruik is gemaakt van de gelekte informatie, al kan dat op dit moment niet volledig worden uitgesloten.

Maatregelen en herstel van vertrouwen

Avans probeert de reputatieschade te beperken door nadrukkelijk in te zetten op transparantie. Naast het direct dichtzetten van het lek en het informeren van de gedupeerden, heeft de hogeschool een speciaal fysiek en digitaal informatiepunt opgericht voor studenten en medewerkers in Breda en Den Bosch.

Om herhaling te voorkomen, wordt de monitoring van systemen zoals AMIGO aangescherpt en kijkt de organisatie kritischer naar 'dataminimalisatie': het principe dat gegevens die niet strikt noodzakelijk zijn, ook niet moeten worden bewaard. Getroffenen wordt geadviseerd om extra alert te zijn op gerichte phishing-pogingen en verdachte berichten.

MSP Show NL BW + BN Flex IT BW + BN
Data Expo 2026 BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!