Hogeschool Avans liet jaar lang dashboard met gevoelige info verkeerd openstaan

De Nederlandse hogeschool Avans heeft huidige en oud-studenten gewaarschuwd voor een mogelijk datalek. Een jaar lang waren gevoelige gegevens bereikbaar voor mensen die geen rechten daarvoor hadden. Vorig jaar was er in Microsofts Power BI, het onderliggende systeem, een aanpassing die Avans niet opmerkte. Er zijn waarschijnlijk geen gegevens gestolen.

Avans heeft studenten en ook oud-studenten per e-mail gewaarschuwd en ook een informatiepagina online gezet over het incident, dat niet heel ernstig lijkt te zijn. Avans heeft 'geen aanwijzingen dat er misbruik is gemaakt van de toegankelijkheid van persoonsgegevens', maar de school kan dat ook nog niet uitsluiten.

Avans zegt dat er op 30 juni vorig jaar een wijziging was in Power BI, het platform van Microsoft waarop Avans Amigo draait. Amigo staat voor Avans Management Informatie GO. Het is een dashboard waarop 'managementinformatie' staat voor de hele onderwijsinstelling.

Door die wijziging konden veel meer mensen data inzien dan de bedoeling was. Dat ontdekte Avans pas op 8 juni, bijna een jaar later. In die tussentijd lijkt het er niet op dat de data is uitgelekt, maar Avans behandelt het incident toch als een datalek. De school heeft betrokkenen geïnformeerd en melding gedaan bij de Autoriteit Persoonsgegevens.

Avans zegt dat ging het om 'gevoelige gegevens', maar deelt 'vanwege privacyoverwegingen' niet welke dat zijn. De school onderzoekt waarom de verkeerde configuratie zo lang onopgemerkt kon blijven. Avans erkent zelf daarvoor verantwoordelijk te zijn en zegt 'lessen te trekken' uit de situatie.

Datalek stock. Bron: Getty Images

Door Tijs Hofmans

Nieuwscoördinator

01-07-2026 • 16:05

58

Submitter: Niels800

Reacties (58)

Sorteer op:

Weergave:

In die tussentijd lijkt het er niet op dat de data is uitgelekt, maar Avans behandelt het incident toch als een datalek.
Tja dat kun je natuurlijk wel alleen maar stellen als je uitgebreide access logs hebt van die hele tijdspanne. Dat is natuurlijk niet onrealistisch, maar het analyseren van die logs en op basis daarvan die conclusie trekken is verre van eenvoudig.
Daarom zeggen ze ook 'waarschijnlijk'. Ik weet uit betrouwbare bron dat om toegang te krijgen tot de data via de kwetsbaarheid je 1) ingelogd moest zijn met een werknemer-account achter MFA (data was dus niet publiekelijk toegankelijk, ook niet voor studenten); 2) je toegang moest hebben tot PowerBI; 3) je vergaande kennis moest hebben van PowerBi; 4) bewust de intentie moest hebben om de kwetsbaarheid te misbruiken en doelgericht door de applicatie moest werken om bij de data te komen.

Het analyseren van de logging kost veel tijd, dus de tijd zal leren of er inderdaad misbruik is gemaakt - wat op dit moment niet waarschijnlijk lijkt, maar ook niet uit te sluiten is.
Het analyseren van die logs is juist doodsimpel geworden. En ook nog eens een heel stuk nauwkeuriger en completer en dieper.

Lang leven AI. De reeds uitgerolde tools daarvan zitten al in je MS stack.
Het is eenvoudiger als je een lijst van bekende IP adressen hebt, maar als je dat niet hebt, is het nagenoeg ondoenlijk. Het gaat hier zo te lezen niet om user access monitoring waarbij je relatief eenvoudig kunt filteren op gebruikersnamen.
edit:
Als wat Polydeukes hierboven zegt klopt, dan ligt dat inderdaad anders. Maar dat blijkt niet uit het artikel.

[Reactie gewijzigd door The Realone op 1 juli 2026 17:29]

Zou zomaar kunnen dat ze die (volledige) logs maar hebben van 90 dagen of 180 dagen. Als dit dan al een jaar open staat, heb je een enorme blinde vlek natuurlijk en kun je ongeautoriseerde toegang nooit helemaal uitsluiten.
Je spreekt hier over een kwetsbaarheid alsof het een fout in de software is, maar dat strookt niet met de bewoording van Avans die het over een "wijziging" hebben. Dat leest meer als; "er zijn wat rechten aangepast en daarvan waren niet de juiste personen op de hoogte".
Een verkeerde configuratie na een update van de software die leidt tot onbedoelde toegang is toch ook een kwetsbaarheid?
Je hoeft alleen de studenten en oud-studenten te informeren over het datalek als er een aanzienlijke kans is op schade voor de rechten van betrokkenen.

Dat is in tegenspraak met wat jij hier aangeeft.
Wat is een aanzienlijke kans? Als er een risico met grote gevolgen is dan is het alleen maar netjes om het te melden, ook al is de kans erg klein. Ik gebruik Amigo zelf alleen om de studenteninstroom te bekijken hier en daar, de onderliggende data was niet voor mij, en ook veel collega's, irrelevant. Met duizenden werknemers en een groot deel daarvan wat toegang heeft tot Amigo is het alleen maar goed om het serieus te nemen, ookal moet je een Avans account (office) hebben waar MFA op zit.

Waar ik wel van schrok is wat er allemaal in opgeslagen stond. Dus ik ben blij dat Avans het meldt maar hopelijk is de les dat ze die data beter moeten anonimiseren of dat ze kritischer moeten zijn op welke data erin moet staan. We hebben als werknemers specifiek te horen gekregen welke info beschikbaar was en ik vroeg me meteen af, waarom staan sommige statistieken überhaupt daarin.
Analyseren van die logs en op basis daarvan een conclusie trekken is helemaal niet verre van eenvoudig, maar relatief simpel. Elke interactie met een rapport of model wordt gelogd en gelinkt aan het emailadres van de medewerker. Die emailadressen kan je vergelijken met je beoogde doelgroep van het rapport. Het zijn aanbieders van managementinformatie dus zo'n analyse moeten ze prima kunnen uitvoeren. Moet je wel de logs hebben aan staan.

Daarnaast kan je altijd via 1 of 2 clicks ook de logs erbij pakken van de laatste 30 dagen aan interacties. Als je dit periodiek bekijkt dan kan je precies zien wie het rapport of datamodel gebruikt en valt gelijk op als er iemand bij zit die niet in de beoogde doelgroep zit. Het bekijken van deze usage metrics hoort ook bij beheer van informatieproducten, want hoe weet je anders of het product wel wordt gebruikt door je doelgroep?

[Reactie gewijzigd door headphoneguy op 1 juli 2026 18:52]

De laatste 30 dagen is heel normaal, maar de laatste 365 dagen, wat je hier nodig gaat hebben, is al een stuk verre van standaard. Maar ook dat kan natuurlijk. Echter, dan moet je wel iets traceerbaars hebben, zoals een gebruikersaccount. Het staat niet in het artikel, maar als dit bijvoorbeeld zonder authenticatie te benaderen was, wat we al erg vaak hebben gezien in het verleden, dan schiet je daar al niks mee op. Dan heb je wellicht een IP adres in je access log, maar dan weet je vaak nog niet of degene die op dat moment toegang via een bepaald IP adres ook daartoe bevoegd was.

Natuurlijk, met genoeg data over een lange periode is alles wel aan elkaar te knopen. Maar dergelijke logging zie je meestal niet in dit soort organisaties, de meeste niet overigens.
Management informatie zou geen tot op de persoon herleidbare gegevens hoeven te bevatten. Dat ten eerste.

Ten tweede wil je geen tot op de persoon herleidbare gegevens in een cloudomgeving van een partij buiten de EU. De US Cloud Act reikt tot data van alle Amerikaanse bedrijven ongeacht waar die data staat.

Voor processturende rapporten waar je wel tot op de persoon herleidbare gegevens in wil laten zien zou je een ODS moeten gebruiken die je lokaal draait. Dat kun je dan het simpelste met een Power Query benaderen in Excel. Of je gebruikt een andere reporting tool. Hoe je het zelf wil, als het maar lokaal draait.

[Reactie gewijzigd door Zerokuni op 1 juli 2026 16:17]

Schrijf jij een aanbesteding voor (semi) overheid die juridisch klopt waarbij een data visualisatie platform aanbesteed gaat worden waarbij je garantie hebt dat een Europese provider eruit gaat komen zonder teveel in te leveren op kwaliteit / prijs.

Als je dat hebt geschreven zou het fijn zijn als je het kan publiceren. Denk dat iedereen het met plezier zou gebruiken.

Tot die tijd kan je dit makkelijk roepen en zal iedereen het met je eens zijn omdat het zo sexy klinkt
Je zou op zijn minst open source tools kunnen eisen. Dan word het aanbod aan bedrijven al heel anders en maakt een EU bedrijf meer kans. Iets als grafana kan best mooie dashboards maken en er zijn partijen die dat in een hele stack hebben.

En wat prijs betreft.... de power platforms van MS zijn niet echt goedkoop te noemen, zelfs niet voor onderwijs. En buiten een licentie ontvang je verder ook niets van MS. En de dashboards zijn nog lelijk ook.
Kreeg laatst nog de vraag... Dat Red Hat... Dat is toch opensource? Ik een beetje uitleggen hoe het in elkaar zit. Inclusief de CentOS / Alma / Rocky situatie. Volgende vraag... Dus als we AlmaLinux gebruiken zijn we wel veilig voor Amerika? Uhm nou, als Red Hat geen updates meer publiceert en AlmaLinux een harde fork krijgt zal je zien dat ons datacenter na 1 tot 2 maanden offline is omdat we niet meer kunnen updaten.

Opensource is een spinnenweb van afhankelijkheden.

Natuurlijk kan je zelf opensource kiezen en implementeren waarna je de implementatie partner aanbesteedt. Maar dan kom je weer bij de politiek uit die daar (vooralsnog) niet voor wilt betalen.
Open source tools hebben meestal weinig tot geen support en kunnen daarom niet gebruikt worden.
En daarom gaf ik als voorbeeld grafana. Daar kan je 100% commerciele support voor krijgen.
Powerbi en grafana op 1 hoop gooien om daar conclusies aan te verbinden, is.... bijzonder.

Totaal verschillende software met totaal verschillende doelen.
Beide maken rapportjes en diagrammen. Ik zou niet weten waar de doelen verschillen. De mogelijkheden van de software scheelt wel. Maar als je blij bent met powerbi dan kan je zeker blij zijn en ik denk blijder met grafana.

Maar waar zou je powerbi anders mee vergelijken?

[Reactie gewijzigd door bzuidgeest op 2 juli 2026 15:53]

Powerbi is analyse door eindgebruikers, grafana is volgen en anomalie detectie.

Echt hele andere doelen.
Ik denk dat voor goed of slecht beiden voor overlappende doelen worden gebruikt. Die schone scheiding van jou zie ik echt niet in de praktijk.
Nou, ik zie finance niet met grafana werken en een analyse van latency niet met powerbi
Tja dat is niet mijn probleem. Ieder zo zijn beperkingen😂
Je hoeft dat in deze casus toch niet te doen? Je moet geen tot op de persoon herleidbare informatie plaatsen in zo’n cloud. PowerBI is voor management rapportages. Daar werd het hier ook voor gebruikt. Zo’n rapport behoeft geen tot de persoon herleidbare gegevens.

Je kunt een ODS met BSN (als je wil) lokaal draaien. Dat kun je inbesteden. Ligt er wel aan hoe groot je bent, bedenk ik me nu. Maar als je klein bent kan dat goedkoop en val je niet onder de Europese aanbesteding. Middels die ODS kun je proces sturende rapportages maken.

Ben het je eens dat een Europese aanbesteding waarbij je wil dat jouw data niet onder de cloud act gaat vallen moeilijk te schrijven is. Maar ik ben ook geen inkoop adviseur/jurist. Maar je kunt wellicht opnemen dat de leverancier niet onderworpen mag zijn aan wetgeving van derde landen die strijdig zijn met de AVG (wat de US Cloud Act is). Ik zeg “wellicht” is want helemaal zeker weet ik het niet. Heb dit specifiek even gechecked bij Gemini en die zegt dat het kan - maar goed daar kun je ook niet echt op van aan ^^
Ken je PoweBi wel? Dat wordt juist gebruikt om data van zowel hoger niveai als specifiek niveau weer te geven.
Jazeker ken ik PowerBI. Maar je moet het niet willen om tot op de persoon herleidbare gegevens er in te stoppen. In onze overheidsinstelling doen we dat niet. Want we willen die gegevens niet in een Amerikaanse Cloud.

Ik verbaas me hoe een school dat dan wel lijkt te doen. En sommige gemeenten doen dat ook gewoon. Ik ken een aantal gevallen. Ongelofelijk hoe een CDO en FG dat toestaan.
En alle bedrijven doen dat. Wat een paniek om de cloud act. Voor de meeste bedrijven helemaal niet realistisch om er zo krampachtig mee om te gaan.
Principieel hosten bij partijen met continuiteitsrisico, ook niet slim of wenselijk
Ik verbaas me hoe een school dat dan wel lijkt te doen. En sommige gemeenten doen dat ook gewoon. Ik ken een aantal gevallen. Ongelofelijk hoe een CDO en FG dat toestaan.
Het is een van de schaduwzijdes van de grootschalig geintegreerde IT-paketten van (oa) Microsoft. Die worden verkocht als totaaloplossing voor al je problemen en dat kúnnen ze ook zijn míts je een heel leger aan beheerders, specalisten en toezichthouders hebt. Als je dat niet hebt dan kan het een ondoorgrondelijke puinhoop worden van niet goed op elkaar afgestemde info. Dan blijft je zitten met te brede groepen, rechten, niet geconfigureerde onderdelen en vooral veel onwetendheid over wat wel en niet met een systeem mag of kan.

Zoals je aangeeft moet je bepaalde gegevens niet in BI willen stoppen, maar management weet dat niet. Mgmt heeft een oplossing voor álle data gekocht, dachten ze. En zelfs als mgmt het wel beseft en opdracht geeft om geen gevoelige data te gebruiken dan zal mgmt ook voor een alternatief moeten zorgen en toezicht. Alleen verbieden werkt niet, dan gaan mensen het toch doen omdat ze anders hun werk niet kunnen doen.

Het kan heel mooi zijn zo'n totaalpakket, maar het is ook een risico, zeker als je mensen ontslaat omdat je denkt dat je met minder mensen toe kan. Je krijgt er misschien veel voor terug, maar minder werk wordt het nooit.
De data was niet openbaar beschikbaar, alleen voor ingelogde medewerkes. Dan had een verkeerd geconfigureerde lokale database of excel exact hetzelfde effect gehad als nu: ongeautoriseerde toegang door ingelogde gebruikers.
jezus wat maken we het ons weet moeilijk. Ieder bedrijf heeft gevoelige gegevens op de microsoft suite. En je kan management info proma herleidbare persoonsgegevens. Of mag je manager geen individuele statistieken over verzuim. En verwar dashboard niet met een rapportage. Rapportage kan algemener, maar een dashbord kan juist handig zijn om van hoog niveau naar laag te kunnen. Hangt allemaal van doel van dashboard af.
Ik krijg de kriebels van wat jij allemaal zegt. Dat is niet alleen omdat je gelijk hebt in dat het gebeurd. Maar meer omdat je het prima vindt. Ik kan je verzekeren dat de FG en CDO binnen onze overheidsinstelling dit niet toestaan. Ja we hebben M365, maar alles met tot de persoon herleidbare gegevens blijft ouderwets on premise. Clientvolgsysteem, on premise tenzij EU cloud, etc.

Maar ik merk ook van leveranciers dat anderen het anders doen. Dan zeggen ze “oh dit draait op een afgesloten Azure omgeving in de EU, helemaal veilig”. Nee, dan begrijp je de US Cloud Act niet. Wij gaan er niet mee in zee.
En hoe groot is het risico van cloud act daadwerkelijk? Voor de meeste bedrijven helemaal geen issue. Althans, ja het bereikt altijd wel een van de subverwerkers. Maar risico wordt gewoon geaccepteerd.

Jullie hanteren gewoon een veel strenger kader dan de AVG, en dat is goed want het is fantastisch dat organisaties bezig zijn met hé, moet je bepaalde informatie überhaupt op een amerikaans gerelateerde cloud hebben. Dus chapeau, maar het meerendeel van de organisaties staan er niet zo in.

[Reactie gewijzigd door Quintiemero op 2 juli 2026 07:04]

Management informatie zou geen tot op de persoon herleidbare gegevens hoeven te bevatten.
Uhmmm, hoe weet je anders welke leerlingen meer of minder hulp nodig hebben? Gericht ondersteunen is een ding. En beter dan iedereen hetzelfde behandelen. Mensen moeten de hulp krijgen die ze nodig hebben niet eenheidsworst hulp.
Dat is proces sturende informatie en geen management informatie.

Management informatie is ter verantwoording. Worden doelen behaald? Wat zijn de toekomstige prognoses? Dat kan met geaggregeerde gegevens.

Proces sturende informatie is: vallen lopende processen binnen de wettelijke termijnen? Hoeveel werkt handelt een medewerker af per week. En wat jij zegt: Welke leerlingen voldoen niet aan de normen en hebben hulp nodig. Bij een management rapport zou het zijn: hoeveel leerlingen voldoen niet aan de normen en hebben hulp nodig.
Dat vind ik een onderscheid dat niet echt bestaat in de echte wereld. Niets is zo zwart wit.
Het lijkt nu net alsof de instelling waar ik werk super streng is in deze BI regels. Maar dit zijn toch echt normale BI regels… het verbaast dat zoveel mensen dit niet zo doen :/

[Reactie gewijzigd door Zerokuni op 3 juli 2026 10:42]

Waarschijnlijk ben jij de persoon die de diverse ervaring mis en werk je bij een afwijkende instelling.

Mensen zouden excel ook niet voor alles moeten gebruiken, maar ze doen het in de praktijk wel. Geen projectmanager zonder een excelsheet te vinden.

Tools worden zelden alleen gebruikt voor het doel waarvoor ze "bedoeld" zijn.

En dan zijn er nog de "x" (vaak microsoft) first bedrijven. Die gebruiken powerbi voor alles, want dat is wat MS levert. Of gebruiken grafana voor alles, want dat is wat een andere X levert.

[Reactie gewijzigd door bzuidgeest op 3 juli 2026 10:43]

[...] hogeschool Avans heeft huidige en oud-studenten gewaarschuwd [...]
Avans heeft studenten niet gewaarschuwd, veel studenten waaronder ik hebben het nieuws vanuit de media moeten ontvangen. Tot op heden zijn wij op geen enkele wijze door de hogeschool op de hoogte gebracht van de situatie.
Wellicht alleen studenten op wie dit van toepassing is?
Ik heb ook nog bericht gekregen als oud-student. Ik zat 3 jaar geleden bij Avans en het heeft zelfs tot mij betrekking. Ik kreeg de informatie door middel van een mail.
Avans meldt: Alleen medewekers en studenten waarvan de data inzichtelijk was, zijn persoonlijk geïnformeerd. Als je niet persoonlijk geïnformeerd bent, was je data dus niet inzichtelijk.
Zelfs dan is jezelf zorgen maken logisch en begrijpelijk. Er zijn via mail, teams, en telefoon contactpunten open gesteld. Tevens zijn er op de hoofdlocaties ook de komende dagen punten ingericht/aangewezen waar medewerkers en studenten met hun vragen terecht kunnen. Ook op het intranet is er een FAQ en informatiepagina waarop updates gedeeld worden. Het is aan te raden daar te kijken en contact op te nemen.
Wat mij onduidelijk is, wat is de definitie van managementinformatie en wat was het doel van het dashboard. Zonder duidelijke beschrijving van bijvoorbeeld het datamodel, is het voor een buitenstaander onmogelijk om een risico inschatting te maken. Het klinkt mij iets te positief allemaal.
Waarom moet een buitenstaande een risico-inschatting maken? De getroffen medewerkers en studenten zijn persoonlijk geïnformeerd over welke data van hen via het lek potentieel beschikbaar was.

De data was niet toegankelijk voor studenten of niet-medewerkers, alleen voor ingelogde medewerkers.

De kans bestaat dus dat een medewerker (docent, manager of roosteraar) toegang had tot studentnummers, naam en e-mailadres, of informatie over studievoortgang, vertraging of uitval. Data die in de managementinformatie geaggregeerd wordt weergegeven, maar blijkbaar dus niet geanonimiseerd of gepseudonimiseerd in de databron zat.
Je had het een jaar lang zelf in kunnen zien...
Alsof de gemiddelde burger iets kan met die informatie.

En de definitie van management informatie? Simpel Alle informatie op basis waarvan management beslissingen worden gemaakt.

Dus eigenlijk is jou opmerking te positief. En stel je vragen die voor de hand liggend zijn.
Ik heb zelf de mail van Avans gekregen met de melding dat er een privacy-incident zou zijn.
Hier staat dat de volgende gegevens inzichterlijk waren:
  • Studentnummer
  • Geslacht
  • Nationaliteit
  • Reden van uitval
  • gegevens over studiesucces
    (zoals het al dan niet behalen van een diploma of propedeuse)
Dus toch wel redelijk gevoelige informatie die tot een persoon is te herleiden via het studentnummer.
Ook vindt ik het apart dat hier het geslacht en nationaliteit in staat maar dat terzijde.
Vorig jaar was er in Microsofts Power BI, het onderliggende systeem, een aanpassing die Avans niet opmerkte.
Ik ben nu wel benieuwd wat die 'aanpassing' dan was. Klinkt een beetje vreemd dat van de een op de andere dag een Power BI rapport voor het grote publiek zichtbaar wordt.
Ja dat is nu een beetje gissen. Ik gok dat ze geen RLS op het datamodel hebben gebruikt die data toegang en visualisatie beperkt tot de daadwerkelijke doelgroep. Daarnaast kan het zijn dat het daadwerkelijke rapport vindbaar was voor alle medewerkers, ipv in een afgesloten workspace. Als kers op de taart stond misschien de optie "analyse in excel" aangevinkt. Hierdoor kan je via excel in het hele datamodel rondstruinen, inclusief alle details als je de aggregatie pas in het daadwerkelijke rapport doet, ipv in het datamodel zelf. Een andere mogelijkheid is dat het datamodel te bewerken was in power bi service of power bi desktop.

Zelf heb ik meerdere lagen aan autorisaties:
  1. RLS op het datamodel
  2. Rechten om het rapport te viewen
  3. Rechten om de "App" te viewen
Pas bij rechten voor alle 3 lagen kan je bij de informatie.

Daarnaast kan niemand in de data grasduinen omdat je het datamodel alleen kan "benaderen" via het rapport in de app. Benaderen betekent hier dat het rapport en de visuals het datamodel gebruiken. En niet via excel of via pbi service/pbi desktop kan bewerken.

Als je via via (link sharing) bij het rapport uit komt dan krijg je blanco tabellen en grafieken tenzij je op de juiste plekken de juiste autorisaties hebt.

[Reactie gewijzigd door headphoneguy op 1 juli 2026 18:38]

Vorig jaar 30 juni ging er een explore preview feature live (werd automatisch aangezet voor je tenant), waardoor users die view rechten op het semantische model hadden door het model konden klikken, terwijl je daarvoor build rechten voor nodig had (Microsoft blogpost).

Ik ken de situatie niet maar dit past qua tijdlijn perfect.
Ik heb naast mijn studie ook een tijd als student-assistent gewerkt voor Avans. Daarover heb ik een mail ontvangen met daarin welke gegevens er in elk geval zijn gelekt. Niet eens definitief of dat alle gegevens zijn dus...

Over mijn gegevens als student heb ik geen informatie gekregen, dat valt mij dan weer tegen.
Ik vermoed dat dit om de Explore-feature gaat die vorig jaar in Power BI is geïntroduceerd. Met deze feature kunnen gebruikers niet alleen rapporten bekijken, maar ook zelfstandig de onderliggende data uit een semantisch model verkennen.

Vorig jaar had iemand op Reddit hier ook al voor gewaarschuwd. Gebruikers die uitsluitend toegang hadden tot rapporten via een Power BI App, konden via de functie Explore alsnog gegevens uit het onderliggende semantische model raadplegen. Dat terwijl zij geen toegang hadden tot de datasets of workspaces zelf en alleen geautoriseerd waren voor specifieke rapporten. De Reddit-post van vorig jaar lijkt overeen te komen met wat Avans nu meldt.

Persoonlijk erger ik mij al langer aan het feit dat Microsoft regelmatig preview-functionaliteiten standaard inschakelt, ook buiten Fabric. Echt not done als je ziet wat voor risico's dit veroorzaakt in (productie)omgevingen van klanten.

[Reactie gewijzigd door FREAKJAM op 1 juli 2026 20:09]

Suggereert "liet openstaan" niet dat het bewust werd opengelaten na melding van de kwetsbaarheid?

Kan aan mij liggen (als pentester schrijf je eerder droge rapporten dan headlines) maar er staat niks over treuzelen na een melding of zo, dus dit voelt wel een beetje als sensatie maken ten koste van hun reputatie (die gaat er hiermee ook zonder aandikken al niet op vooruit)
Ik zat bij Avans op school en ik weet nog dat een docent met Meteor een kleine dashboard app in elkaar had gesleuteld zodat je met een docent een moment kon inplannen om een gemaakt tentamen door te spreken.

Meteor heeft een compleet andere aanpak als het gaat om het bouwen van applicaties dan andere software, en het zet in grote lijnen een kopie van de backend database in de frontend. Je kan dan filters instellen om te zeggen welke data wel en niet gekopieerd moeten worden enzo, dit heeft grote voordelen voor de responsiveness van de applicatie, en zorgt er voor dat het ook by-default offline werkt wat erg cool is.

Anyway, ik ging dus even rondneuzen in die applicatie en zag dat er gegevens van honderden studenten zo uit die frontend database getrokken konden worden 8)7 . Dat was voornaam, achternaam, email, en volgens mij nog wel meer, want het maakte een kopie van de gegevens die uit je Avans account kwamen... volgens mij zaten er ook telefoonnummers in, maar weet ik niet zeker meer.

Had netjes een mailtje gestuurd, "Foutje in je systeem", was daarna snel opgelost.

Wel wat anders dan een powerBI dashboard, maar toch goed om rekening te houden dat je ook bij kleine interne tools en weekendprojectjes rekening moet houden met security
Even ter toevoeging. Ik heb via de mail een bericht ontvangen als oud-student van 2 jaar geleden met de volgende tekst waarin dus naar voren komt dat er gegevens een jaar lang toegankelijk zijn geweest. Het gaat gelukkig niet om naamgegevens maar uiteindelijk wel tot gevoelige prestatie data en te herleiden tot een persoon via het studentnummer:
"Beste alumnus,

Je ontvangt deze e-mail omdat jouw persoonsgegevens betrokken zijn bij een privacy-incident binnen Avans.

Op 8 juni 2026 heeft Avans vastgesteld dat vanaf 30 juni 2025 binnen de applicatie AMIGO persoonsgegevens toegankelijk zijn geweest. AMIGO geeft via dashboards Avans-brede inzichten aan de organisatie. Het bleek echter mogelijk om gegevens te verkrijgen die herleidbaar waren tot individuele personen.

Toegang direct beëindigd

Het gaat hierbij nadrukkelijk niet om een cyberaanval. De gegevens waren niet openbaar toegankelijk, maar konden binnen dit Avans-systeem zichtbaar worden voor bestaande gebruikers.

Op de dag dat het incident is ontdekt, 8 juni 2026, heeft Avans direct maatregelen genomen waarmee toegang tot de gegevens is beëindigd. Daarnaast is melding gedaan bij de Autoriteit Persoonsgegevens en loopt aanvullend onderzoek naar de oorzaak en impact van het incident.

Om welke gegevens gaat het?

We informeren je hierover omdat jouw gegevens als oud-student van Avans betrokken zijn bij dit incident. Het gaat hierbij in elk geval om de volgende gegevens:
  • Studentnummer;
  • Geslacht;
  • Nationaliteit;
  • Reden van uitval;
  • Gegevens over studiesucces
    (zoals het al dan niet behalen van een diploma of propedeuse).
Wat betekent dit voor jou?

Op dit moment zijn er geen aanwijzingen dat er misbruik is gemaakt van de toegankelijkheid van de gegevens. We kunnen dit echter niet volledig uitsluiten.

Wij begrijpen dat dit bericht vragen of zorgen kan oproepen. Daarom hebben we een speciale informatiepagina ingericht met een Q&A over dit privacy-incident:
Privacy-incident binnen AMIGO | Avans

Heb je daarna nog vragen? Dan kun je terecht bij het Informatiepunt AMIGO: e-mail: info.amigo@avans.nl en telefonisch: 088 525 09 00 (maandag t/m vrijdag van 09.00-17.00 uur).


Indien er nieuwe informatie beschikbaar is, informeren wij jullie hierover. Mogelijk vraag je je af wat je zelf aan acties kunt ondernemen.  Zoals altijd geldt: wees alert op phishing, vreemde berichten, controleer de afzender en klik niet op links die je niet vertrouwt.

Met hartelijke groeten,

College van Bestuur
Avans Hogeschool


Marjan Hammersma

Charissa Freese

Frits Gronsveld"

Om te kunnen reageren moet je ingelogd zijn