De Universiteit van Amsterdam meldt een datalek bij Canvas, het digitale leerplatform van Instructure dat in het onderwijs wordt gebruikt. Het incident raakt de online leeromgeving in Amsterdam en wordt op het moment van schrijven onderzocht. De instelling heeft gebruikers geïnformeerd en extra beveiligingsmaatregelen genomen. De zaak raakt aan privacyregels uit de AVG en, breder, aan de Europese AI-verordening en de gevolgen voor overheid en onderwijsinstellingen.
UvA bevestigt datalek Canvas
Canvas is de leeromgeving waarin studenten opdrachten inleveren en lessen volgen. Instructure, het Amerikaanse bedrijf achter Canvas, beheert het platform in de cloud. De UvA gebruikt dit systeem voor cursussen, mededelingen en samenwerking. Door het datalek kan persoonlijke informatie zijn blootgesteld.
De universiteit schrijft dat de impact nog wordt vastgesteld. Het gaat om een beveiligingsincident binnen de Canvas-omgeving. De UvA werkt daarbij samen met Instructure en eigen securityteams. Waar nodig worden onderdelen tijdelijk uitgeschakeld.
De onderwijscontinuïteit krijgt voorrang, maar veiligheid staat voorop. Toegang van verdachte accounts wordt ingetrokken. Logs worden onderzocht om te zien wie wanneer bij data kon. Gebruikers ontvangen updates zodra er nieuwe feiten zijn.
Eerste maatregelen en onderzoek
De UvA heeft het incident gemeld bij de Autoriteit Persoonsgegevens, zoals de AVG eist. Ook worden gebruikers stap voor stap geïnformeerd. Versleuteling, wachtwoordresets en aanvullende monitoring zijn ingezet. Externe experts kunnen worden ingeschakeld voor digitaal forensisch onderzoek.
Instructure onderzoekt aan zijn kant de systemen en eventuele kwetsbaarheden. Waar nodig worden API-sleutels en integraties opnieuw uitgegeven. Dit beperkt toegang voor onbevoegde partijen. Het doel is herhaling voorkomen en de oorzaak helder vaststellen.
De universiteit adviseert alert te zijn op phishingscams. Aanvallers misbruiken vaak onrust rond datalekken. Let op onverwachte mails over Canvas of studiezaken. Ga altijd via de bekende UvA- en Canvas-pagina’s naar je account.
Mogelijke geraaktedata
Canvas kan namen, UvA-e-mailadressen en cursusinschrijvingen bevatten. Ook berichten, ingeleverde opdrachten en feedback kunnen aanwezig zijn. In sommige gevallen staan er cijfers of deadlines in het systeem. Welke gegevens precies geraakt zijn, wordt nog onderzocht.
Financiële gegevens worden normaal niet in Canvas beheerd. Betaalgegevens lopen via andere systemen. Toch kan unieke studie-informatie gevoelig zijn. Denk aan studievoortgang of bijzondere omstandigheden in berichten.
Dataminimalisatie is een kernprincipe uit de AVG. Instellingen moeten alleen noodzakelijke data bewaren. Dit beperkt schade bij een incident. De UvA zegt maatregelen te nemen die hierbij aansluiten.
Een datalek is elke inbreuk op de beveiliging die leidt tot het per ongeluk of onrechtmatig vernietigen, verliezen, wijzigen of ongeoorloofd verstrekken van of toegang tot persoonsgegevens.
AVG en AI-verordening
Onder de AVG moet een datalek binnen 72 uur worden gemeld aan de toezichthouder. Betrokkenen krijgen bericht als het risico op nadelige gevolgen reëel is. Beveiliging, logging en versleuteling zijn basisvereisten. De UvA volgt deze plichten en publiceert updates.
Canvas is een Amerikaanse dienst. Dat betekent dat doorgifte van data buiten de EU juridisch moet zijn afgedekt. Dit kan via het EU-U.S. Data Privacy Framework of via standaardcontractbepalingen. Transparantie hierover is belangrijk voor studenten en docenten.
De Europese AI-verordening raakt onderwijssoftware als er algoritmen met AI-risico’s in zitten, zoals proctoring of geautomatiseerde beoordeling. Dit incident draait om een datalek en valt primair onder de AVG. Toch groeit de druk om datamodellen en systemen in het onderwijs strenger te toetsen. Besturen moeten rekening houden met beide kaders in inkoop en beheer.
Gevolgen voor onderwijs
Door het incident kunnen deadlines of inlevermomenten verschuiven. Docenten kunnen opdrachten tijdelijk verplaatsen of alternatieven bieden. De UvA vraagt begrip en houdt de impact zo klein mogelijk. Continuïteit van colleges en tentamens is het uitgangspunt.
Als modules worden uitgeschakeld, kan dat de zichtbaarheid van cursusmateriaal raken. Studenten doen er goed aan lokaal kopieën van belangrijke stukken te bewaren. Officiële communicatie komt via de UvA-kanalen. Zo blijft informatie eenduidig en controleerbaar.
Instellingen in Nederland werken vaak met SURF-standaarden en SSO voor toegang. Die koppelingen worden extra gecontroleerd. Dit vermindert laterale beweging van aanvallers. Ook auditrapporten en pen-tests worden herzien.
Wat gebruikers nu doen
Gebruik sterke, unieke wachtwoorden en zet waar mogelijk twee-factor-authenticatie aan. Klik niet op links in onverwachte e-mails over Canvas-toegang. Controleer het webadres en log in via de bekende route. Meld verdachte berichten direct bij de UvA-helpdesk.
Studenten en medewerkers hebben rechten onder de AVG, zoals inzage en rectificatie. Wie zorgen heeft, kan contact opnemen met de Functionaris Gegevensbescherming van de UvA. Bewaar relevante correspondentie als bewijs. Dit helpt bij afhandeling van vragen of schade.
Blijf de updates van de universiteit volgen. Daarin staat wanneer systemen weer volledig beschikbaar zijn. Ook wordt duidelijk welke gegevens zijn geraakt. Daarna kunnen eventueel aanvullende maatregelen volgen.
