Instructure, het Amerikaanse bedrijf achter het leerplatform Canvas, heeft na een digitale inbraak een akkoord gesloten met de hackers. Het bedrijf wil hiermee verdere publicatie van buitgemaakte gegevens stoppen en biedt gebruikers excuses aan. De aanval raakt onderwijsinstellingen wereldwijd, ook in Nederland waar veel universiteiten en hogescholen Canvas gebruiken. De zaak zet privacy onder de AVG en, breder, toezicht uit de Europese AI-verordening in het licht, omdat leerplatforms steeds meer algoritmen en AI-functies aanbieden.
Schikking na data-inbraak
Het akkoord volgt op een incident waarbij ongeautoriseerde toegang is verkregen tot systemen rond Canvas. Instructure stelt dat het forensisch onderzoek loopt en dat eerste maatregelen zijn genomen om de toegang af te sluiten. Het bedrijf zegt op het moment van schrijven geen volledige duidelijkheid te hebben over de omvang. Wel biedt het excuses aan voor de ontstane onrust en hinder.
Een akkoord met hackers betekent meestal afspraken over het niet publiceren of verwijderen van gestolen data. Bedrijven kiezen hier soms voor om schade en risico’s voor gebruikers te beperken. Juridisch en ethisch ligt dat gevoelig, omdat betalen of schikken crimineel gedrag kan belonen. Instructure geeft aan dat het belang van continuïteit en dataveiligheid vooropstaat.
Het bedrijf werkt met externe beveiligingsexperts om logbestanden en netwerksporen te analyseren. Daarbij worden ook koppelingen met externe tools en API’s gecontroleerd. Zulke integraties zijn in het onderwijs gebruikelijk, bijvoorbeeld voor plagiatiedetectie of toetsafname. Elke schakel kan een ingang vormen voor aanvallers.
Impact op Nederland
Canvas is breed in gebruik bij Nederlandse universiteiten en hogescholen voor roosters, opdrachten en cijfers. Instellingen beoordelen nu of en welke gegevens van studenten en medewerkers zijn geraakt. Dit gebeurt vaak samen met eigen securityteams en landelijke expertise, zoals SURF en het Nationaal Cyber Security Centrum. Besluiten over meldingen en communicatie lopen via het crisisproces van de instellingen.
Voor onderwijsinstellingen is de rolverdeling onder de AVG belangrijk. De instelling is meestal verwerkingsverantwoordelijke, Instructure is verwerker. Dat betekent dat de instelling moet beoordelen of er melding nodig is bij de Autoriteit Persoonsgegevens en of betrokkenen moeten worden geïnformeerd. Instructure moet daarbij alle feiten en logs aanleveren uit de verwerkersovereenkomst.
De timing is extra gevoelig door tentamens en afstuderen in het voorjaar. Uitval van modules of vertraging in inzendingen kan studievertraging veroorzaken. Instellingen zetten daarom vaak noodprocedures klaar, zoals alternatieve inleverkanalen. Ook docenten krijgen instructies om deadlines en aanwezigheid flexibel te behandelen.
Mogelijke gelekte gegevens
Bij leeromgevingen gaat het vaak om namen, e-mailadressen, cursusinschrijvingen en communicatie binnen vakken. Soms zijn ook cijfers, feedback of ingeleverde documenten in scope. Betaalgegevens lopen doorgaans via andere systemen, maar die zekerheid is pas te geven na volledig onderzoek. Op het moment van schrijven zijn nog niet alle categorieën bevestigd.
Technisch gezien letten onderzoekers op toegangstokens en sessiesleutels. Die kunnen misbruikt worden om accounts over te nemen, ook zonder wachtwoord. Een reset van wachtwoorden en het ongeldig maken van actieve sessies is daarom gebruikelijk na een incident. Extra monitoring helpt verdachte inlogpogingen sneller te blokkeren.
Voor gebruikers is het risico op phishing direct. Aanvallers kunnen geloofwaardige mails sturen met cursusnamen of docenten als afzender. Controleer afzenders en links, en log altijd via de bekende Canvas-URL in. Zet waar mogelijk multifactorauthenticatie aan voor extra bescherming.
Toezicht en Europese regels
De AVG eist datalekmeldingen bij verhoogd risico binnen 72 uur bij de toezichthouder. Ook moeten betrokkenen tijdig en duidelijk worden geïnformeerd. Transparantie over welke data zijn geraakt en welke maatregelen volgen is verplicht. Voor internationale doorgifte naar de VS gelden bovendien standaardcontractbepalingen of het EU-US Data Privacy Framework.
De AVG bepaalt dat verwerkingsverantwoordelijken een datalek dat waarschijnlijk een risico inhoudt voor betrokkenen “onverwijld en, indien mogelijk, uiterlijk 72 uur” na ontdekking bij de toezichthouder melden.
Veel leerplatforms bieden inmiddels AI-functies, zoals automatische feedback of risicosignalen over studievoortgang. Die vallen straks onder de Europese AI-verordening, die extra plichten geeft rond transparantie, datakwaliteit en menselijke controle. Onderwijs-IT zal daarom scherper moeten vastleggen welke algoritmen worden gebruikt en met welke gegevens. Een incident versnelt vaak zo’n herbeoordeling, inclusief een data protection impact assessment (DPIA).
Voor Nederlandse instellingen betekent dit dat inkoopcontracten en verwerkersovereenkomsten up-to-date moeten zijn. Heldere afspraken over logging, penetratietesten, subverwerkers en dataminimalisatie voorkomen grijze zones. Ook moeten bewaartermijnen kort en noodzakelijk zijn. Zo blijft de juridische basis stevig, ook bij een incident.
Wat gebruikers nu kunnen doen
Wijzig uw Canvas-wachtwoord en schakel multifactorauthenticatie in. Gebruik voor elke dienst een uniek wachtwoord via een wachtwoordmanager. Let extra op e-mails met bijlagen of links die naar Canvas lijken te verwijzen. Twijfelt u, ga direct naar de officiële site of app en log daar in.
Docenten kunnen tijdelijk minder persoonsgegevens in aankondigingen en cursusbeschrijvingen plaatsen. Deel gevoelige stukken via goedgekeurde kanalen met versleuteling. Vraag bij de instelling naar alternatieven als uploads problemen geven. Zo beperkt u de verspreiding van gegevens tijdens herstelwerkzaamheden.
Instellingen doen er goed aan gebruikers actief te blijven informeren. Korte statusupdates, duidelijke Q&A’s en advies tegen phishing helpen onrust te verminderen. Publiceer bovendien technische indicatoren van misbruik voor IT-teams. Dat versnelt detectie op lokale netwerken en apparaten.
Volgende stappen van Instructure
Instructure werkt aan herstel en extra beveiliging, zoals verscherpte toegangscontrole en monitoring. Het bedrijf zegt partners en klanten wereldwijd te informeren over bevindingen. Verwacht worden detailupdates zodra het forensisch onderzoek vordert. Die moeten duidelijkheid geven over de herkomst van de aanval en de exacte datacategorieën.
Transparantie is nu cruciaal voor vertrouwen bij onderwijsinstellingen. Een publiek incidentrapport, inclusief tijdlijn en leerpunten, helpt daarbij. Ook onafhankelijke audits, zoals ISO 27001 of SOC 2, geven extra zekerheid. Heldere afspraken over incidentrespons in contracten maken het verschil bij een volgende storing.
Voor Nederland ligt de focus op naleving van de AVG en continuïteit van onderwijs. Samenwerking tussen instellingen, SURF en beveiligingsteams versnelt herstel. Zodra het onderzoek is afgerond, volgt waarschijnlijk een evaluatie van processen en leveranciers. Dat vergroot de weerbaarheid van het onderwijs tegen toekomstige aanvallen.
