Begin mei bevestigde Instructure, de leverancier achter Canvas, een cybersecurity-incident waarbij bepaalde Canvas-gebruikersdata betrokken was. Op 7 mei kreeg dezelfde dreigingsactor volgens Instructure aanvullende toegang via een tweede Canvas-kwetsbaarheid, waarna Canvas tijdelijk in maintenance mode werd gezet.
De hackersgroep ShinyHunters claimde verantwoordelijkheid en dreigde met publicatie van data. Betrokken gegevens betroffen volgens berichtgeving onder meer namen, e-mailadressen, studentnummers en Canvas-berichten; Instructure stelde dat er geen bewijs was dat wachtwoorden, geboortedata, overheids-ID’s of financiële gegevens waren buitgemaakt. Nederlandse onderwijsinstellingen namen voorzorgsmaatregelen, waaronder het tijdelijk blokkeren van Canvas.
Maar liefst zeven Nederlandse universiteiten en meerdere hogescholen werden getroffen. Wat is er precies gebeurd, welke gegevens zijn buitgemaakt en wat betekent dit concreet voor studenten en medewerkers?
Wat is Canvas en waarom gebruiken zoveel onderwijsinstellingen het?
Canvas is een digitaal leerplatform van het Amerikaanse softwarebedrijf Instructure. Het systeem wordt door onderwijsinstellingen gebruikt als centrale hub voor het onderwijs: studenten leveren er opdrachten in, bekijken hun cijfers en studiemateriaal, en communiceren via het platform met docenten en medestudenten. Canvas heeft wereldwijd meer dan 30 miljoen actieve gebruikers bij ruim 8.000 instellingen, en in Nederland is het platform ingeburgerd aan zowel universiteiten als hogescholen. Het platform is daarmee geen randfenomeen, maar een onderdeel van het dagelijkse onderwijs geworden.
Hoe verliep de aanval op Canvas stap voor stap?
Op 25 april 2026 verschaften onbevoegden zich toegang tot de systemen van Instructure. Vier dagen later ontdekte het bedrijf de inbraak, trok de ongeautoriseerde toegang in en schakelde externe forensische experts in. Op 1 mei maakte Instructure het incident openbaar via de eigen statuspagina. Een dag later meldde het bedrijf dat het datalek naar eigen zeggen onder controle was, hoewel op dat moment al duidelijk was dat namen, e-mailadressen, studentnummers en privéberichten tussen gebruikers waren buitgemaakt.
De hackersgroep die verantwoordelijkheid opeiste voor de aanval is ShinyHunters, een groep die eerder naam maakte met grootschalige aanvallen op bedrijven als Microsoft en Ticketmaster. De groep claimde toegang te hebben verkregen tot maar liefst 3,65 terabyte aan data, afkomstig van ruim 9.000 onderwijsinstellingen wereldwijd. Op 3 mei publiceerde de groep een losgeldbriefje en dreigde de gestolen gegevens openbaar te maken als Instructure niet voor 6 mei contact zou opnemen om te onderhandelen.
Instructure reageerde niet op de eis, maar voerde wel technische beveiligingsmaatregelen door. Op 6 mei meldde het bedrijf dat Canvas weer normaal functioneerde. Dat bleek van korte duur. Op 7 mei kraakten de hackers het platform opnieuw. Studenten die inlogden op Canvas zagen plotseling geen lesmateriaal meer, maar een bericht van ShinyHunters zelf, rechtstreeks op het inlogscherm. De groep stelde dat Instructure de hack had genegeerd en eiste dat instellingen uiterlijk 12 mei contact zouden opnemen, anders zouden alle gegevens op het dark web worden gepubliceerd.
Welke Nederlandse en Belgische instellingen zijn getroffen?
In Nederland maken zeven universiteiten gebruik van Canvas: de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam, de Erasmus Universiteit Rotterdam, Tilburg University, de Universiteit Maastricht, de Universiteit Twente en de Technische Universiteit Eindhoven. Daarnaast zijn zeker twee hogescholen getroffen, namelijk Hogeschool Utrecht en Fontys Hogescholen. Ook in België werden instellingen geraakt, waaronder de Vrije Universiteit Brussel, Thomas More, Arteveldehogeschool en de Karel de Grote Hogeschool.
Alle getroffen Nederlandse universiteiten besloten Canvas onmiddellijk los te koppelen van hun systemen om te voorkomen dat criminelen verdere toegang zouden krijgen tot studentgegevens. De koepelorganisatie Universiteiten van Nederland (UNL) bevestigde dat de gegevens van studenten en medewerkers van alle zeven universiteiten bij het datalek waren betrokken. Een belangrijk detail: de Nederlandse universiteiten werden door de hackersgroep niet zelf benaderd om losgeld te betalen. De afhandeling van het incident viel daarmee volledig in handen van Instructure als leverancier.
Welke persoonlijke gegevens zijn gestolen?
De buitgemaakte data bestaat uit namen, e-mailadressen, studentnummers en de berichten die gebruikers onderling via het platform hebben uitgewisseld. Juist dat laatste maakt dit incident gevoeliger dan een gewone adressenlijst. In Canvas-berichten wordt regelmatig vertrouwelijke informatie gedeeld: persoonlijke omstandigheden, feedback op opdrachten, informatie over studieproblemen of privézaken. Dergelijke informatie is in verkeerde handen een middel voor gerichte oplichting of afpersing.
Instructure benadrukte dat er geen wachtwoorden, geboortedatums, financiële gegevens of overheidsnummers zijn gestolen. Ook studieinhoud zoals ingediende opdrachten en tentamenresultaten zouden buiten de aanval zijn gebleven. Dit neemt echter niet weg dat de combinatie van naam, e-mailadres, studentnummer en persoonlijke berichten voor criminelen meer dan voldoende basismateriaal is om overtuigende fraudepogingen op te zetten.
Hoe werd het incident uiteindelijk opgelost?
Op 11 mei, kort voor het verstrijken van de deadline van 12 mei, maakte Instructure bekend een overeenkomst te hebben gesloten met de aanvaller. Volgens het bedrijf zijn de gestolen gegevens teruggegeven en zijn digitale vernietigingsbewijzen, zogenoemde “shred logs”, ontvangen. Instructure stelde verder dat geen enkele klant als gevolg van dit incident nog zal worden afgeperst. De FBI mobiliseerde in de tussentijd middelen in meerdere Amerikaanse staten om de slachtoffers bij te staan.
Toch roept de afhandeling vragen op. Instructure vermeldde nergens expliciet dat er geen losgeld is betaald. Het bedrijf erkende bovendien zelf dat er bij onderhandelingen met cybercriminelen “nooit volledige zekerheid” bestaat. Of de gestolen data daadwerkelijk en volledig is vernietigd, valt niet onafhankelijk te verifiëren. Cybersecurityexperts wezen erop dat het betalen van losgeld het verdienmodel van criminelen in stand houdt en geen waterdichte garantie biedt. De Nederlandse universiteiten waren op dit punt duidelijk: zij bleven Canvas ook na de aankondiging van de deal offline houden, in afwachting van een eigen uitgebreide risicoafweging met juridische en privacytoetsen.
Instructure-CEO Steve Daly bood publiekelijk zijn excuses aan voor de gebrekkige communicatie tijdens het incident. Hij erkende dat instellingen te maken hadden gehad met echte verstoringen en stressvolle situaties, en dat zij betere informatievoorziening hadden verdiend.
Wat is het concrete gevaar voor studenten en medewerkers?
Het directe risico na een datalek als dit is phishing: geraffineerde fraudemails die lijken te komen van een officiële instantie, maar in werkelijkheid zijn verstuurd door criminelen. Met een naam, e-mailadres en studentnummer kunnen oplichters berichten opstellen die heel geloofwaardig overkomen. Denk aan een mail over een incomplete inschrijving, een rekening die open staat of een uitnodiging om gegevens te bevestigen. Doordat de informatie echt is, klinkt de truc aannemelijker dan een willekeurig phishingbericht.
Criminelen kunnen de gelekte informatie ook combineren met gegevens van sociale media om nog gerichtere aanvallen op te zetten. Universiteiten adviseerden hun studenten en medewerkers dan ook waakzaam te zijn voor onverwachte mails, altijd het afzendadres te controleren en nooit op een link te klikken zonder dat adres grondig te verifiëren. Verdachte links kunnen worden gecheckt via checkjelinkje.nl. De overheid geeft daarnaast op veiligopinternet.nl aanvullend advies, onder meer over het herkennen van nep-domeinnamen waarbij letters door cijfers worden vervangen.
Wat laat dit incident zien over de digitale weerbaarheid van het onderwijs?
De Canvas-hack raakt aan een probleem dat al langer zichtbaar is in het Nederlandse onderwijs. Zoals wij eerder beschreven in ons artikel over de Monitor Digitalisering Onderwijs 2025, kampen onderwijsinstellingen breed met een gebrekkige kennis van digitale risico’s onder medewerkers, onduidelijke meldprocedures bij incidenten en onvoldoende monitoring van beveiligingsgebeurtenissen. Phishingaanvallen en datalekken zijn in het onderwijs al jaren de meest voorkomende incidenten.
Wat dit geval verder bijzonder maakt, is de bestuursrechtelijke dimensie. De Nederlandse universiteiten waren volledig afhankelijk van beslissingen van een Amerikaanse leverancier voor de afhandeling van een incident dat hun eigen studenten en medewerkers raakte. Instructure sloot een deal met de hackers, maar de Nederlandse instellingen waren daarin geen partij. Dat roept vragen op over toezicht, aansprakelijkheid en de mate waarin onderwijsinstellingen grip hebben op de gegevensverwerking door externe cloudleveranciers.
Het Normenkader Informatiebeveiliging en Privacy voor het onderwijs biedt instellingen een gestructureerd kader om hun digitale weerbaarheid stap voor stap op te bouwen. De Canvas-hack onderstreept waarom dat kader niet optioneel is, maar een noodzakelijke basis vormt voor verantwoord omgaan met gegevens van studenten en medewerkers.
Canvas-hack in het onderwijs: een wake-up call voor leveranciersafhankelijkheid en gegevensbeveiliging
De aanval op Canvas is meer dan een technisch beveiligingsincident. Het is een zichtbaar gevolg van de sterke afhankelijkheid van het onderwijs van één extern cloudplatform voor communicatie, lesmateriaal en toetsing. Wanneer zo’n platform wegvalt of wordt gecompromitteerd, staan instellingen met lege handen. Het incident benadrukt dat contractuele en technische afspraken met leveranciers over gegevensbeveiliging, incidentrespons en transparantie structureel aandacht verdienen, niet pas wanneer het mis is gegaan.
Heeft uw organisatie vragen over de beveiliging van cloudomgevingen, het beheer van toegangsrechten of de aanpak van datalekken? De specialisten van SolidBE denken graag met u mee over een aanpak die past bij uw situatie. Neem contact op voor een vrijblijvend gesprek.
