Privacy-incident binnen AMIGO

Op 8 juni 2026 heeft Avans vastgesteld dat vanaf 30 juni 2025 binnen AMIGO, het systeem voor managementinformatie, persoonsgegevens onbedoeld toegankelijk konden zijn voor gebruikers die deze informatie niet behoorden te kunnen zien. Op de dag van de ontdekking hebben we direct maatregelen genomen en de situatie beëindigd. Ook hebben we melding gedaan bij de Autoriteit Persoonsgegevens en een onderzoek gestart naar de oorzaak, omvang en impact van het incident.  

Daar doen we uitgebreid onderzoek naar. Wat we nu weten over de oorzaak, is dat er op 30 juni 2025 een wijziging binnen de Microsoft-omgeving is doorgevoerd. Met deze wijziging werd het in AMIGO mogelijk om, via een extra stap (een functionaliteit), gegevens te verkrijgen die herleidbaar waren tot individuele personen. 

De situatie is ontstaan op 30 juni 2025 en is door Avans beëindigd op 8 juni 2026. 

AMIGO staat voor Avans Management Informatie GO. Dit Avans-eigen systeem geeft via verschillende dashboards managementinformatie weer voor de organisatie. Deze dashboards geven AMIGO-gebruikers een totaalbeeld aan data. AMIGO is gebouwd in de Microsoft-tool PowerBI. 

Om de privacy van betrokkenen te beschermen, delen we die informatie hier niet. Alle betrokkenen zijn op 30 juni 2026 persoonlijk op de hoogte gesteld. Daarbij is uitgelegd om welke soort persoonsgegevens het precies gaat. 

Ja, uit het onderzoek blijkt dat ook gegevens toegankelijk konden zijn die als gevoelig kunnen worden beschouwd. Om de privacy van betrokkenen te beschermen, delen we die informatie hier niet. Alle betrokkenen zijn op 30 juni 2026 persoonlijk op de hoogte gesteld. Daarbij is uitgelegd om welke soort persoonsgegevens het precies gaat.

Ja, dit incident geldt als een datalek. Daarom heeft Avans hiervan melding gedaan bij de Autoriteit Persoonsgegevens. Maar er is géén sprake van een cyberaanval. Ook waren de gegevens niet openbaar toegankelijk. 

Ja, een medewerker van Avans ontdekte de situatie op 8 juni 2026. Dezelfde dag is de onbedoelde toegang beëindigd en is een onderzoek gestart. 

Dat is een belangrijke vraag. Behalve de technische oorzaak onderzoeken we ook waarom de situatie niet eerder is gesignaleerd. We hebben als Avans verantwoordelijkheden voor de gegevens die we beheren en voor de systemen waarmee we dat doen. Die verantwoordelijkheden nemen we heel serieus. We onderzoeken op dit moment daarom hoe we onze controle en monitoring kunnen verbeteren, zodat een situatie als deze zich niet herhaalt. 

Dat is een vraag die belangrijk is geweest voor ons onderzoek. We bekeken niet alleen de technische oorzaak, maar ook de omstandigheden waardoor de situatie niet eerder aan het licht is gekomen dan op 8 juni 2026. De processen die we hiervoor binnen Avans hanteerden, bleken in dit geval niet voldoende om de gegevens in kwestie genoeg te beschermen. Daarom zijn de maatregelen die we nu treffen en al hebben getroffen naar aanleiding van deze situatie vooral gericht op aanvulling en verbetering van deze processen, controles en monitoring.

Op dit moment hebben wij geen aanwijzingen dat er misbruik is gemaakt van de toegankelijkheid van de gegevens. We kunnen dit echter niet volledig uitsluiten. 

Op dit moment hebben wij geen aanwijzingen dat er misbruik is gemaakt van de toegankelijkheid van persoonsgegevens. We kunnen dit echter niet volledig uitsluiten. Wat we wel weten, is dat er geen sprake is van een cyberhack en dat de gegevens niet openbaar toegankelijk zijn geweest. 

Er is geen reden om aan te nemen dat er misbruik is gemaakt van de toegankelijk van jouw gegevens. We kunnen dit echter ook niet uitsluiten. Daarom geven we door middel van deze Q&A zo goed mogelijk antwoord op de vragen die je mogelijk hebt. Daarnaast kun je terecht bij ons Informatiepunt AMIGO. Je vindt de gegevens hiervoor onderaan deze pagina.

Wij realiseren ons dat een incident als dit impact kan hebben op het vertrouwen van medewerkers, studenten en andere betrokkenen/stakeholders. Daarom vinden wij het belangrijk om open te communiceren over wat er is gebeurd en welke maatregelen we nemen. 

Microsoft is eigenaar van PowerBI, het systeem waarop AMIGO is gebouwd. Als Avans zijn wij echter verantwoordelijk voor het beheer en de beveiliging van onze gegevens. Die verantwoordelijkheid nemen we en daar mag je ons aan houden. 

We kijken voor ons onderzoek naar alle relevante factoren in het proces, waarin ook Microsoft een rol speelt. Uiteindelijk is Avans verantwoordelijk voor het beveiligen van de gegevens die we beheren. Onze prioriteit ligt nu bij het informeren van betrokkenen en het nemen van maatregelen om herhaling te voorkomen. 

Het beschermen van persoonsgegevens is een belangrijke verantwoordelijkheid van Avans. Juist daarom nemen wij deze situatie serieus, onderzoeken we uitgebreid en zorgvuldig wat er gebeurd is en hoe we dit in de toekomst kunnen voorkomen.

Informatiebeveiliging heeft voor Avans hoge prioriteit. In deze situatie waren persoonsgegevens niet voldoende beschermd en daarvoor voelt Avans zich verantwoordelijk. We kijken kritisch naar de bestaande controle en monitoring. Ook houden we digitale ontwikkelingen nauwlettend in de gaten.

Er zijn bestaande controlemechanismen bij Avans die signaleren en deze situatie hadden moeten voorkomen. Dat is in dit geval niet gelukt, daar moeten we eerlijk over zijn. Dat onderzoeken we uitgebreid, waarmee we de oorzaak en gevolgen van de situatie goed leren begrijpen en daarop maatregelen kunnen instellen. Met als doel om dit in het vervolg wel te voorkomen. We trekken lessen uit deze situatie en gebruiken die om ons als organisatie verder te ontwikkelen.  

Ons onderzoek heeft zich nadrukkelijk gericht op bestaande processen, controles en monitoring. De controlemechanismen bij Avans hadden deze situatie moeten voorkomen. Dat wil niet zeggen dat er geen controle en monitoring is, maar wel dat het in deze situatie niet voldoende is geweest om de gegevens in kwestie genoeg te beschermen. Dat trekken we ons als Avans aan, want het is onze verantwoordelijkheid om dat goed te doen. Daarom zijn de voornaamste maatregelen die we treffen gebaseerd op aanvulling en verbetering van de bestaande processen, controles en monitoring. 

Als Avans zijn we verantwoordelijk voor de gegevens die we beheren. Dat nemen we serieus en daarom doen we uitgebreid en zorgvuldig onderzoek naar deze situatie.  

Avans heeft de toegang tot de gegevens direct na ontdekking beëindigd, melding gedaan bij de Autoriteit Persoonsgegevens en door middel van onderzoek de oorzaak van de situatie achterhaald. Nu ligt onze voornaamste aandacht bij het informeren van betrokkenen en het treffen van aanvullende maatregelen om herhaling te voorkomen.

De belangrijkste maatregel hebben we al genomen: de toegang tot de gegevens is direct na ontdekking beëindigd. We kijken kritisch naar dataminimalisatie: welke informatie is strikt noodzakelijk om te bewaren? Ook onderzoeken we hoe we onze controle en monitoring van systemen zoals AMIGO verder kunnen verbeteren.

We kijken kritisch naar dataminimalisatie: welke informatie is strikt noodzakelijk om te bewaren? Ook onderzoeken we hoe onze controle en monitoring van systemen zoals AMIGO verder kunnen verbeteren. 

Een absolute garantie kunnen wij niet geven. Wat wij wel doen, is de oorzaak zorgvuldig onderzoeken, lessen trekken uit de situatie en passende technische en organisatorische maatregelen treffen om het risico op herhaling zoveel mogelijk te beperken. 

We begrijpen dat je deze vraagt hebt. Nadat we de situatie hadden ontdekt, hebben we eerst de onbedoelde toegang beëindigd. Ook is direct onderzoek gestart naar de omvang en impact van de situatie. Verder hebben we binnen de wettelijke termijn melding gemaakt bij de Autoriteit Persoonsgegevens. Dat zijn we verplicht. Vervolgens hebben we gewerkt aan het zorgvuldig - en toch zo snel als mogelijk - informeren van betrokkenen.

We adviseren betrokkenen om zoals altijd alert te blijven op phishing en vreemde berichten. Controleer altijd zorgvuldig de afzender en klik niet op links die je niet vertrouwt.

Wij begrijpen dat dit incident vragen kan oproepen over vertrouwen. Juist daarom kiezen we ervoor om transparant te communiceren over wat er is gebeurd, wat nog wordt onderzocht en welke maatregelen we nemen. Daarin proberen we continu zo zorgvuldig mogelijk, maar ook zo snel als het kan te zijn. Daarnaast informeren we betrokkenen actief en werken we aan aanvullende maatregelen om herhaling te voorkomen.  

Het beschermen van persoonsgegevens is een belangrijke verantwoordelijkheid van Avans. Daarom nemen wij dit incident serieus, onderzoeken wij zorgvuldig wat er is gebeurd en treffen wij maatregelen om onze systemen en processen verder te versterken. Wij blijven betrokkenen informeren over de stappen die we zetten.