Instructure, het Amerikaanse bedrijf achter het leerplatform Canvas, heeft deze week een akkoord gesloten met hackers na een digitale inbraak. Het bedrijf biedt excuses aan en zegt extra beveiliging in te voeren. De aanval raakt een platform dat wereldwijd in het onderwijs wordt gebruikt. Nederlandse onderwijsinstellingen volgen het incident, omdat Canvas hier op grote schaal wordt ingezet voor lessen en toetsen.
Akkoord na cyberaanval
Instructure bevestigt dat er een regeling met de aanvallers is getroffen na een beveiligingsincident. Het doel is de schade te beperken en verdere publicatie van buitgemaakte gegevens te voorkomen. Het bedrijf biedt gebruikers excuses aan voor de onrust en mogelijke risico’s. Op het moment van schrijven zijn geen volledige technische details gedeeld.
Het onderzoek naar de oorzaak en omvang loopt nog. Instructure zegt forensische experts in te zetten en werkt samen met autoriteiten. Diensten van Canvas blijven beschikbaar tijdens het onderzoek. Wel kan de leverancier tijdelijk extra beveiligingscontroles inschakelen.
Of en in welke mate gebruikers in Europa geraakt zijn, is nog onduidelijk. Het bedrijf belooft betrokken instellingen rechtstreeks te informeren. Die communicatie is belangrijk voor de wettelijke meldplicht. Instellingen hebben die informatie nodig om besluiten te nemen over melding aan toezichthouders en gebruikers.
Impact op Nederlandse onderwijs
Canvas is het standaard leerplatform bij veel Nederlandse hogescholen en universiteiten. Het systeem bevat vaak namen, e-mailadressen, cursusinschrijvingen en ingeleverde opdrachten. Als zulke gegevens uitlekken, neemt het risico op phishing en misbruik toe. Wachtwoordhergebruik kan bovendien leiden tot toegang tot andere diensten.
Voor Nederlandse instellingen geldt de Algemene verordening gegevensbescherming (AVG). Zij zijn doorgaans verwerkingsverantwoordelijke en Instructure is verwerker. Dat betekent dat de instelling moet controleren of de verwerkersovereenkomst en beveiligingsmaatregelen op orde zijn. Ook moeten zij nagaan of melding bij de Autoriteit Persoonsgegevens (AP) nodig is binnen 72 uur.
Veel instellingen gebruiken Single Sign-On via SURFconext voor toegang tot Canvas. Dat beperkt het aantal wachtwoorden, maar koppelt ook meerdere systemen. Een incident vraagt daarom om extra controle van koppelingen, rechten en logbestanden. Zo kan misbruik sneller worden opgespoord.
Welke data verwerkt Canvas
Canvas is een Learning Management System (LMS). In zo’n platform staan lesmateriaal, opdrachten, cijfers en mededelingen op één plek. Docenten en studenten wisselen er berichten uit en leveren werk digitaal in. Soms zijn ook mobiele apps en plug-ins gekoppeld.
Typische gegevens in een LMS zijn persoonsgegevens en studiegegevens. Denk aan namen, e-mails, rollen (student of docent) en cursusinformatie. Bij integraties met video, proctoring of plagiaatcontrole kunnen extra datastromen ontstaan. Iedere extra koppeling vergroot het aanvalsoppervlak en vraagt aparte beveiliging.
Versleuteling tijdens transport (TLS) en strikte toegangsrechten zijn standaard, maar credentiaaldiefstal blijft een risico. Daarom is multifactor-authenticatie voor beheerders en docenten met verhoogde rechten belangrijk. Ook het beperken van API-sleutels en het regelmatig intrekken van oude tokens helpt. Zo wordt misbruik na een incident lastiger.
Canvas is een digitaal leerplatform (LMS) waarmee onderwijsinstellingen lesmateriaal, opdrachten en cijfers beheren en delen met studenten.
AVG en NIS2 eisen
Bij een mogelijk datalek moeten instellingen beoordelen of er een risico is voor betrokkenen. Is dat zo, dan volgt melding bij de AP en soms ook aan studenten en medewerkers. Dit moet binnen 72 uur na ontdekking gebeuren. Documentatie van besluiten en maatregelen is verplicht onder de AVG.
Omdat Instructure in de VS is gevestigd, spelen regels voor doorgifte van data buiten de EU. Op het moment van schrijven gebeurt dat vaak via het EU-US Data Privacy Framework of standaardcontractbepalingen. Instellingen moeten vastleggen op welke basis dat gebeurt. Ook moeten zij beoordelen of aanvullende waarborgen nodig zijn.
NIS2, de nieuwe Europese cybersecurityrichtlijn, verhoogt de eisen aan beveiliging en incidentmelding. Nederland werkt aan invoering in nationale wetgeving. Grote onderwijs- en onderzoeksorganisaties kunnen als belangrijke entiteit worden aangewezen. Dan gelden strengere eisen aan risicobeheer, rapportage en toezicht.
Een regeling met aanvallers verandert niets aan deze wettelijke plichten. Betrokken organisaties moeten nog steeds risico’s beperken en melden waar nodig. Ook blijven audits en verbeterplannen vereist. Toezichthouders kunnen handhaven bij nalatigheid.
Aanbevolen maatregelen nu
Onderwijsinstellingen doen er goed aan toegangsrechten, logins en integraties direct te controleren. Schakel multifactor-authenticatie in voor beheerders en machtigingen met veel rechten. Trek ongebruikte API-sleutels en tokens in en voer waar mogelijk een wachtwoordreset afgedwongen per rol uit. Leg deze stappen vast voor de AVG-documentatie.
Voor docenten en studenten is digitale hygiëne nu extra belangrijk. Gebruik unieke wachtwoorden en schakel multifactor-authenticatie in. Let op verdachte e-mails over cijfers, inleveropdrachten of betalingsverzoeken. Controleer app-koppelingen in Canvas en verwijder wat niet nodig is.
Bestuur en CISO’s kunnen Instructure om een formeel incidentrapport en tijdlijn vragen. Vraag naar concrete verbetermaatregelen, waaronder pentests en monitoring. Herzie de verwerkersovereenkomst op meldtermijnen, logging en auditrechten. Stem communicatie af met de privacy officer en, indien van toepassing, met SURFcert.
Tot slot: blijf de statuspagina en beveiligingsadviezen van de leverancier volgen. Centrale IT-diensten kunnen tijdelijk extra monitoring inschakelen. Zo wordt afwijkend gedrag sneller gedetecteerd. Dat verkleint de kans op vervolgschade voor het onderwijs.
Transparantie blijft cruciaal
Dit incident laat zien hoe afhankelijk het onderwijs is van digitale platforms. Snelle en duidelijke communicatie helpt vertrouwen te behouden. Transparantie over oorzaak, omvang en herstelmaatregelen is daarom essentieel. Dat geldt voor leverancier én instelling.
Europese regels zetten die lijn kracht bij. De AVG en straks NIS2 vragen om aantoonbare beheersing van risico’s. Wie data verwerkt, moet kunnen uitleggen hoe die wordt beveiligd. En wat er gebeurt als het misgaat.
Voorlopig draait Canvas door en loopt het onderzoek. De afgesproken regeling met de aanvallers verandert niets aan de noodzaak om te verbeteren. Betere toegangsbescherming, minder koppelingen en strakkere processen maken het onderwijs weerbaarder. Dat is nodig in een tijd van versnelde digitalisering van het klaslokaal.