Ook salarisdata van Avans-werknemers was jaar lang inzichtelijk bij datalek

Bij het datalek op de Nederlandse hogeschool Avans waren ook gegevens van huidige en voormalige werknemers inzichtelijk. Het gaat onder meer om salarisgegevens en notities over contracten en arbeidsrelaties. Bij studenten gaat het ook om gegevens zoals studievoortgang, blijkt uit informatie die Tweakers ontving.

Verschillende tweakers hebben laten weten welke gegevens er bij het data-incident rondom Avans mogelijk zijn uitgelekt. Avans meldde afgelopen woensdag dat een dashboard met gevoelige info bijna een jaar lang verkeerd geconfigureerd stond. Daardoor konden onbevoegden de gegevens inzien, al heeft Avans geen aanwijzingen dat er daadwerkelijk gegevens zijn gestolen.

Avans zette een informatiepagina online, maar vermeldde daarop niet welke gegevens er precies inzichtelijk waren. Tweakers ontving van verschillende gebruikers de e-mails die Avans hen stuurde. Daarin staat die informatie wél. Voor studenten en oud-studenten gaat het in ieder geval om:

  • studentnummer
  • geslacht
  • nationaliteit
  • reden van uitval
  • gegevens over studiesucces (zoals het al dan niet behalen van een diploma of propedeuse)

Daarnaast waren ook gegevens van huidige en voormalige werknemers inzichtelijk. Voor die groep gaat het om:

  • personeelsnummer
  • salaris, salarisschaal
  • verzuimdagen, verzuimfrequentie, verzuimkosten
  • voornaam, achternaam, geboortedatum, leeftijd, geslacht
  • hoogst genoten niveau van onderwijs
  • pensioendatum
  • arbeidsrelatie, contractgegevens, werktijdfactor en reden van beëindiging van de arbeidsrelatie

Avans verwijst de betrokkenen naar de informatiepagina.

Update, 14.28 uur – In het artikel en de titel stond dat de informatie openbaar was, maar dat impliceert dat de data overal toegankelijk was. De data was alleen inzichtelijk voor bepaalde werknemers binnen de omgeving. Dat is aangepast.

Security/Hackers/Hack. Bron: Curly_Photo/Moment/Getty Images

Door Tijs Hofmans

Nieuwscoördinator

02-07-2026 • 12:06

26

Reacties (26)

Sorteer op:

Weergave:

Ik zit heel dicht bij het vuur en kan de hitte dus heel goed voelen, maar gelukkig niet direct mee te maken.

Dit systeem was alleen te benaderen als je al de nodige rechten binnen Avans had.
Als je geen medewerker bent, kon je er sowieso al niet bij.
Alleen binnen dit stuk is er blijkbaar iets fout gegaan waardoor ook ongeauthoriseerde medewerkers bij de bepaalde data zouden kunnen. Daarnaast moet je ook de nodige kennis hebben om te weten waar je data kunt halen en hoe je dat moet doen. Dit beperkt de pool van mensen enorm en is het ook heel aannemelijk dat niemand er misbruik van had gemaakt.
Toegang tot de data is rol/functie verbonden, dus het is normaal gesproken niet mogelijk om data in te kunnen zien waar je geen toegang tot hoort te hebben. Hier is een fout ontstaan.

Ook lees ik waarom de data niet geaggreerd is etc.
Heel duidelijk,. alles word zowat management data genoemd. Het is niet enkel bedoelt om te kunnen sturen, maar ook voor diverse medewerkers te voorzien van details/operationele data zonder dat je uit verschillende systemen data moet gaan halen en in een excel/access dropt. Niet alle gerelateerde data leeft namelijk in hetzelfde backend systeem. Soms bewust en soms gewoon technisch niet mogelijk. Dus om iets nuttigs met die data te kunnen doen, zul je data moeten gaan samenvoegen.
Met dergelijke operationele rapporten word vooral voorkomen dat mensen allerlei eigen oplossingen, zoals excelsheets, gaan maken die overal leven wat zelfs nog gevaarlijker is dan wat er nu is gebeurd.
Op deze data heb je veel minder controle dan alles op een centrale plek zetten.

En ik denk dat avans in deze situatie juist heeft geacteerd.
Omdat het heel aannemelijk is dat de data niet gelekt is en enkel inter te bereiken was, had Avans er ook voor kunnen kiezen niets te doen.
De persoon die de lek heeft gevonden heeft geacteerd, security/beheer heeft geacteerd door het op te lossen/analyseren en manangement heeft geacteerd door mensen op de hoogte te laten stellen.

Ook al heb je alles afgedekt met een heleboel processen en controles, dergelijke problemen gebeuren overal. De sleutel is om dergelijke problemen op tijd te kunnen te detecteren en op te kunnen acteren en uiteindelijk van de fouten te kunnen leren.
Nu word er geroepen dat de boel niet op orde is, en ja er kan een boel verbetert worden(zoals in elke organisatie), maar het beeld wat geschetst word is niet hoe het daadwerkelijk is gegaan of werkt.
helemaal eens. Gisteren deed iemand ontzettend moeilijk omdat het management informatie is en daar NOOIT indviduele data in mag staan. Jongens, dat is niet hoe PowerBI gebruikt wordt. Je gaat van hoog naar laag. Maar je ziet in de praktijk wel dat alles wordt afgedaan met rechten en rollen. Maar er wordt niet nagedacht over dataminimalisatie. Die stap wordt wel te vaak overgeslagen.
Het is onnodig om persoonsgegevens in een data warehouse op te slaan. Als de IT afdeling de policy krijgt om alle persoonsgegevens uit het warehouse te houden, dan kunnen die nooit lekken vanuit het warehouse.
Het is geen datawarehouse waar deze data vandaan komt.
Powerbi zit ook rechtreeks, al dan niet via een sync om het backend te ontlasten, aan backsystemen gekoppeld. En voorziet dus ook in operationeel datainzicht.
Aangezien er word gesproken over Tamigo, weet ik dat het om een backend gaat waar veelal operationeel data in staat.
Ik kan niet meer zeggen dan wat ik weet :P

Maar zo werkt powerbi inderdaad. Het is een tool om eenvoudig rapporten/dashboards te maken.
Dit kan op een datawarehouse met geagregeerde data zitten maar ook rechtsreeks op een backend met gedetailieerde data. Net waar behoefte voor is.

Dataminimalisatie word aan gedaan. Alleen is dat helemaal afhankelijk van de behoefte.
Als er maar een valide reden is om iemand toegang tot die data te geven.
Bedankt voor je uitleg.

Maar een jaar lang een "open systeem" [mitsen en maaren mbt toegang daar gelaten] is wel lang om hierop te acteren en (n)iets te doen. Toch?
Als ik moet guesstimaten gaat het om de zaken uit deze writeup: https://kanopysecurity.com/blog/in-plain-sight-how-microsoft-power-bi-reports-expose-sensitive-data-on-the-web/

Ik heb ooit wel eens een (embedded) PowerBI dashboard moeten onderzoeken, en om heel eerlijk te zijn maakt Microsoft het lekker moeilijk om te doorgronden wie er bij je data kan en hoe, ze zijn wel goed in een blog post schrijven over hoe veilig het wel niet is, maar het spreekt voor zich dat je naar een derde partij moet om uit te zoeken hoe dit kan gebeuren. Microsoft's documentatie gaat je daar niet bij helpen met een waarschuwing over hun default settings, dat moet je uiteraard zelf uitpluizen via een 3rd party writeup + tool en tientallen pagina's documentatie.

Ze bieden de mogelijkheid aan om het op diverse manieren in te richten wat fijn is, maar de quirks bij iedere keuze zijn niet meteen duidelijk, dus de gevolgen van een "fire and forget" SaaS update/config change zijn voor in dit geval Avans niet altijd duidelijk :").

[Reactie gewijzigd door Coy op 2 juli 2026 14:46]

In dat artikel ook echt. Een simpele zoekopdracht naar een bepaalde URL levert duizenden resultaten op. Gaat dus niet alleen bij Avans mis.

Net even testje gedaan en ja hoor.... heb zo 15 pagina's vol met allemaal URL's naar dashboards.

[Reactie gewijzigd door PdeBie op 2 juli 2026 13:36]

het gaat volgens mij ook niet om de dashboards zelf. Die mochten ingezien worden. Het probleem was dat toegang tot de achterliggende gegevens opeens open was. Als ik het goed begrijp, werd alle data opgehaald en dan gefilterd getoond op het dashboard. Je kon blijkbaar vroeger, via het dashboard, niet aan de achterliggende databronnen. Microsoft heeft dit aangepast waardoor het dus opeens wel kon tenzij je het zelf uitzette. En dat is hier dus over het hoofd gezien.
Maar waarom zou Power BI meer data moeten hebben dan je wil tonen? Dat gaat al veel eerder mis in het proces imho.
Gewoon heel de set data ophalen en daarna pas besluiten wat je wilt laten zien op dashboard. Lekker makkelijk.
Wat zou kunnen is dat er veelal dezelfde data benodigd was voor diverse rapporten/dashboards voor hetzelfde doelgroep van mensen, en dat hier dus een grotere/generieke dataset is gemaakt voor deze doelgroep. Dit om te voorkomen dat je veel dezelfde data in diverse sets hebt, maar ook om de backends te ontlasten met veel dataverkeer.

Een datawarehouse is niet anders, al dan niet met enkel geagregeerd data en dit is een vrij normaal patroon om te bouwen.
En bij dit soort pakketen wordt dan verwacht dat business gebruikers lekker zelf aan de slag gaan om dashboards te maken. Vragen om problemen
Lekker access review proces hebben ze daar dan. De gegevens die in dit dashboard staan zijn niet de minste, je verwacht dat daar toch beter mee omgegaan wordt en er data security op van toepassing is.

Maar gezien de berichtgeving is het gemaakt door iemand die niet weet hoe dit werkt..

[Reactie gewijzigd door HKLM_ op 2 juli 2026 12:25]

Gisteren stond onder het artikel een goede, plausibele uitleg van wat er gebeurd is. Microsoft heeft vorig jaar de mogelijkheid geintroduceerd om meer inzichten te krijgen in de data achter een dashboard in Power BI. Hierdoor kan iedereen met toegang tot het dashboard informatie opvragen die anders niet toegankelijk zou zijn voor hen, tenzij je dit expliciet dicht zet.

En dat is typisch Microsoft. Nieuwe functionaliteit introduceren en direct voor iedereen actief zetten, ongeacht de gevolgen. Een praktijk die menig beheerder niet leuk vindt, en in dit geval dus mogelijks de oorzaak is van een datalek.
Ik heb dat ook gelezen en dat is ook het punt, organisaties gebruiken Microsoft 365 alsof het de IT uit 1995 is en doen een click en forget.. nee een Microsoft 365 beheerder doet pro-actief beheer binnen Microsoft 365 en 1 van zijn/haar taken is het bijhouden van wijzigingen welke er aan komen en hun omgeving raken.

Kan je zeggen ja maar dat is veel werk, jup welkom in 2026 waarbij Microsoft 365 a rolling release is en je minimaal een halve dag moet reserveren per week voor dit soort zaken.

Past dit niet binnen je IT dan moet je je af vragen of je beheersorganisatie modern is ingericht voor een rolling release product wat je gebruikt.

[Reactie gewijzigd door HKLM_ op 2 juli 2026 13:08]

Kan je zeggen ja maar dat is veel werk, jup welkom in 2026 waarbij Microsoft 365 a rolling release is en je minimaal een halve dag moet reserveren per week voor dit soort zaken.
Een van de valkuilen van moderne IT is de misvatting dat betere (vooruit, nieuwere) software automatische betekent dat je minder mensen nodig hebt of minder gespecialiseerde mensen. Dat geldt net zo goed voor beheer als voor AI. Nieuwe software kan steeds meer en per persoon worden we steeds productiever, maar er komen ook steeds meer taken en verantwoordelijkheden bij. Vroeger beheerde 1 persoon 20 PCs met MS-Office . Tegenwoordig kan 1 persoon 100 PC's beheren maar er is ook iemand nodig voor M365, iemand voor sharepoint, iemand voor security, iemand voor de contracten. Nog steeds vijf mensen.

[Reactie gewijzigd door CAPSLOCK2000 op 2 juli 2026 17:09]

We hebben het dan wel over modernere software van Microsoft. Er zijn veel soorten software die het wel kunnen.

Ik kan het artikel niet meer vinden, maar dat ging over dat corporate software dit expres doet. Als je namelijk 5 mensen hebt aangenomen, zijn er o.a. twee voordelen voor de leverancier:
  • het is veel minder makkelijk de software vervangen, omdat dan iemand zijn baan verliest en zal klagen
  • mogelijkheid voor upselling van tools&software die het de beheerder makkelijker maken
Het moment dat er afgevraagd wordt of het wel een goede keuze is, omdat een concurrent deze kosten niet heeft, is het overleg met de beheerder die zijn expertise zal verdedigen en ook een betaalde oplossing heeft.

Vendor-lock is een strategie.
Dat je governance niet op orde is (of oversharing) geeft makkelijker toegang tot data waarvan je niet wist dat je er toegang toe had. Tools maken dit toegankelijker (Copilot Cowork is ook zo'n tool). Dat is niet het probleem van de tool.
Gisteren stond onder het artikel een goede, plausibele uitleg van wat er gebeurd is. Microsoft heeft vorig jaar de mogelijkheid geintroduceerd om meer inzichten te krijgen in de data achter een dashboard in Power BI. Hierdoor kan iedereen met toegang tot het dashboard informatie opvragen die anders niet toegankelijk zou zijn voor hen, tenzij je dit expliciet dicht zet.
Gevalletje we maken wel een service account met alle rechten om de data op te halen. Ipv least privileged access. Dat laatste deed ik een kwart eeuw geleden al. Dat is echt niet nieuw. Wel wat arbeidsintensiever om expliciet rechten te geven ipv read all (of wellicht erger).
LPA word overal zoveel mogelijk toegepast, zeker binnen de Microsoft diensten.
Zodra je het woordje serviceaccount al roept gaan bij veel mensen al alarmbellen af en is dus ook niet zomaar aan te vragen. Al helemaal niet als deze toegang moet hebben buiten het eigen systeem.

Precies het fijne over hoe het is ontstaan weet ik niet, maar geen enkele beheerder zal bv een serviceaccount of identity bewust overal maar leesrechten op geven.
Ik acht de kans klein dat mensen dit hebben in kunnen zien, maar wat een geklooi daar zeg.
Ik graag mij af in welk dashboard of rapport het noodzakelijk is om informatie te visualiseren vanuit persoonsgegevens.


Vooral met dit soort gegevens wil je zoveel mogelijk en zo vroeg mogelijk in de data flow anonimiseren en aggregeren zodat dit niet in het uiteindelijke datamodel terecht komt. Tenzij ze dit soort data hebben gebruikt voor operationele rapportages. Mijn inziens raadpleeg je die maar lekker in je HR applicatie of studentenadministratie applicatie. Daar horen operationele rapportages ook thuis.

Er is geen enkele reden waarom managementinformatie deze data op dit verfijnde niveau moeten bevatten. Het is of luiheid/laksheid, of management wil tot in den treuren doorklikken op details. Ikzelf verzorg managementinformatie voor een soortgelijke instelling en als men de persoonsgebonden details wil weten achter de managementinformatie dan verwijs ik ze naar de applicatie of afdeling waar de data vandaan komt.

[Reactie gewijzigd door headphoneguy op 2 juli 2026 14:15]

Tamigo is een 360 view cloudsysteem voor personeelbeheer.
Dit gaat over de gehele levensloop van een persoon, van indienstname tot ontslag/en of pensioen.
En daar kan dus inderdaad veel data in zitten, zoals salarisgegevens,verzuim etc. Dit van iedereen binnen de organisatie of die bij de organisatie heeft gewerkt. Hoe lang die data bewaard word. Geen idee.

Er van uitgaande dat Tamigo de enige bron is voor de data.
Als ik lees wat er gelekt zou zijn, denk ik dat dit dashboard inderdaad rechtsreeks op de bron zat aangesloten, al dan niet met een sync ertussen.
Grote kans dat Tamigo namelijk niet het rapport kon leveren waaraan behoefte was. Of dit nu managementoverzicht of operationeel dashboard was, maakt niet eens uit.

En dus komt er een verzoek binnen om een rapport/dahsboard te maken welke de data wel kan tonen en worden dergelijke oplossingen gemaakt.
Toegang tot data via dergelijke oplossingen word bij de dataeigenaar aangevraagd.
Met enige regelmaat zijn dit ook de gebruikers van dergelijke dashboards.
In die situatie is dataeigenaar is degene met behoeftes

Kun je zeggen, dan moet je dit pakket niet aanschaffen als het bepaalde dingen niet kan waar behoefte aan is. Scholen zitten veelal verbonden aan bepaalde diensten/uitbestedingstrajecten en hebben daarin dus niet altijd vrije keuze in.

Dan blijft er de keuze over, bouwen of niet bouwen.
Die keuze maken ITérs zelf niet. Dat doet de organisatie.
Als er een behoefte komt om iets te maken, moet je er vanuit kunnen gaan dat dit door de hoge heren/mevrouwen is uitgedokterd. Sterker nog dat is zo.
Als technieker kun je uiteraard aangeven wat eventuele bezwaren zijn om iets wel of niet te doen. En dan mogen de hoge heren/mevrouwen daar mee ingaan of niet.
Bij dat laatste: Als er dan wat fout gaat zeggen we... zeiden we toch.
Nu heb je het over Tamigo, maar het systeem van Avans heet Amigo, Avans Management Informatie Go, wat met PowerBI gebouwd is. Ik heb gewerkt bij Avans.
hoogst genoten niveau van onderwijs
Waarom zou je bijhouden van welk onderwijs iemand het hoogst genoten heeft? 😜

Om te kunnen reageren moet je ingelogd zijn