datalek

Avans Hogeschool: gevoelige persoonsgegevens bijna een jaar onopgemerkt toegankelijk

Een configuratiewijziging in Microsoft Power BI zorgde ervoor dat gevoelige persoonsgegevens intern toegankelijk waren.


Wat is er gebeurd?

Het lek ontstond op 30 juni 2025 en werd pas op 8 juni 2026 ontdekt door een medewerker van de hogeschool. Bijna een volledig jaar lang waren gevoelige gegevens onbedoeld toegankelijk binnen de organisatie.

Het datalek deed zich voor in AMIGO, een systeem van de onderwijsinstelling dat allerlei managementinformatie weergeeft, bijvoorbeeld over aanmeldingen en uitval van studenten. Het systeem is gebouwd op Microsofts Power BI-platform. Op 30 juni vorig jaar werd een wijziging in de Microsoft-omgeving doorgevoerd, waardoor het onbedoeld mogelijk werd om gegevens te verkrijgen die herleidbaar waren tot individuele personen.

Via een extra stap konden gebruikers gegevens inzien die direct herleidbaar waren tot individuele personen. Avans bevestigt dat het hierbij ook gaat om gegevens die als "gevoelig" worden beschouwd. Om welke categorie gegevens het precies gaat wil de hogeschool ter bescherming van de betrokkenen niet publiekelijk delen.


Tijdlijn

Datum Gebeurtenis
30 juni 2025 Configuratiewijziging in Microsoft-omgeving introduceert lek
8 juni 2026 Medewerker ontdekt onbedoelde toegankelijkheid
8 juni 2026 Avans sluit toegang af en meldt lek bij Autoriteit Persoonsgegevens
30 juni 2026 Alle betrokkenen persoonlijk geïnformeerd per e-mail

Geen hack — maar toch een datalek

Avans benadrukt dat het niet gaat om een cyberaanval of een hack. De gegevens waren ook niet openbaar toegankelijk, maar binnen het systeem mogelijk zichtbaar voor bestaande gebruikers van AMIGO. Die moesten daarvoor wel een extra handeling uitvoeren in de applicatie.

Dit onderscheid is juridisch en communicatief begrijpelijk, maar beveiligingstechnisch minder relevant. Onder de AVG is een datalek elke inbreuk op de beveiliging die leidt tot onbedoelde toegang tot persoonsgegevens — ongeacht of er een externe aanvaller bij betrokken is. Interne onbedoelde toegankelijkheid telt even zwaar.

Aanwijzingen voor misbruik zijn er vooralsnog niet, maar de hogeschool kan dat naar eigen zeggen niet volledig uitsluiten. Dat is de standaardformulering bij dit soort incidenten — en ze is eerlijk. Na bijna een jaar is het onmogelijk om met zekerheid vast te stellen of iemand de data heeft ingezien en wat daarmee is gedaan.


De kern van het probleem: een wijziging zonder controle

De oorzaak van het datalek ligt in een aanpassing binnen de Microsoft-omgeving van de hogeschool. AMIGO is een eigen dashboardsysteem dat draait op Microsoft PowerBI en wordt gebruikt om managementinformatie inzichtelijk te maken.

Dit is een patroon dat OrangeGuard vaker documenteert: niet een aanval van buitenaf, maar een interne wijziging die onbedoelde gevolgen heeft voor de toegankelijkheid van gevoelige data. Een update, een configuratieaanpassing, een migratie — en plotseling zijn gegevens zichtbaar voor mensen die er geen toegang toe zouden mogen hebben.

Dat de situatie bijna twaalf maanden kon voortduren, is een pijnlijke constatering voor de hogeschool. Avans erkent dat de interne processen en beveiligingsaudits tekort zijn geschoten.

Avans legt de verantwoordelijkheid correct neer: hoewel het systeem op software van Microsoft draait, legt Avans de schuld niet bij de techgigant neer: "Als Avans zijn wij verantwoordelijk voor het beheer en de beveiliging van onze gegevens."


Wat dit leert over Power BI en cloudconfiguratie

Het Avans-incident is geen uniek geval. Power BI is een krachtige tool voor data-analyse en dashboards — maar de toegangscontrole is complex en verandert bij updates van Microsoft. Organisaties die Power BI gebruiken voor gevoelige data lopen het risico dat een platform-update onbedoeld de toegangsrechten aanpast.

De lessen zijn breed toepasbaar:

Wijzigingsbeheer is ook een beveiligingsproces
Elke configuratiewijziging in een platform dat gevoelige data verwerkt moet worden getoetst op de impact voor toegangsrechten. Niet alleen bij implementatie, maar bij elke update.

Monitoring werkt alleen als het getest wordt
Avans erkent: "Er zijn bestaande controlemechanismen bij Avans die signaleren en deze situatie hadden moeten voorkomen. Dat is in dit geval niet gelukt." Controlemechanismen die niet worden getest op effectiviteit geven een vals gevoel van veiligheid.

Dataminimalisatie als structurele maatregel
Om herhaling te voorkomen kijkt de organisatie kritischer naar dataminimalisatie: het principe dat gegevens die niet strikt noodzakelijk zijn, ook niet moeten worden bewaard. Gegevens die niet bestaan kunnen ook niet lekken.


Wat dit betekent voor uw organisatie

Het Avans-incident is relevant voor elke organisatie die:

  • Microsoft Power BI gebruikt voor dashboards met persoonsgegevens
  • Cloudplatforms inzet waarbij Microsoft updates kan doorvoeren
  • Interne managementsystemen heeft gebouwd op SaaS-platformen

De vraag is niet óf uw platform ooit een configuratiewijziging krijgt — dat is zeker. De vraag is of u dat merkt voordat iemand anders het merkt.

Directe aanbevelingen:

  1. Auditeer toegangsrechten na elke platform-update — stel een proces in waarbij wijzigingen in cloudplatformen worden getoetst op impact voor datatoegang
  2. Test uw monitoringmechanismen — werken de controlemechanismen die u heeft ingesteld daadwerkelijk zoals verwacht?
  3. Implementeer dataminimalisatie — sla geen gevoelige data op in rapportage- en dashboardtools tenzij strikt noodzakelijk
  4. Documenteer wie toegang heeft tot wat — een actueel overzicht van toegangsrechten is de basis voor elk beveiligingsincidentonderzoek
  5. Oefen uw meldproces — Avans handelde correct na ontdekking; zorg dat uw organisatie weet wat te doen als het misgaat

AVG-context: wat verwacht de AP?

Avans heeft correct gehandeld door het lek te melden bij de Autoriteit Persoonsgegevens. Onder de AVG geldt een meldplicht binnen 72 uur na ontdekking van een datalek dat risico's met zich meebrengt voor betrokkenen. Avans meldde op de dag van ontdekking — dat is exemplarisch.

De AP beoordeelt niet alleen of er gemeld is, maar ook of de organisatie voldoende maatregelen had getroffen om het lek te voorkomen én of de detectietijd acceptabel was. Bijna twaalf maanden is lang. De uitkomst van het AP-onderzoek zal bepalen of er sprake is van een boete of een waarschuwing.


Bronnen

Tags: Datalek · Power BI · Microsoft · AVG · Autoriteit Persoonsgegevens · Toegangsrechten · Configuratiebeheer · Onderwijs