Verschillende Nederlandse en Belgische universiteiten hebben deze week contact gezocht met het hackcollectief ShinyHunters. Doel is om publicatie van gestolen gegevens uit het leerplatform Canvas van Instructure te voorkomen. Het gaat om onderwijsinstellingen die Canvas gebruiken voor cursussen en tentamens. Zij willen snel duidelijkheid en schade beperken voor studenten en medewerkers.
Universiteiten kiezen crisisroute
De instellingen proberen tijd te winnen door met ShinyHunters te communiceren. Zij willen weten welke data is buitgemaakt en of die al is gekopieerd. Ook onderzoeken zij of maatregelen, zoals intrekken van sleutels, nog zin hebben. Over betalingen is op het moment van schrijven niets bevestigd.
De stap is ongebruikelijk, maar komt voor bij digitale afpersing. Organisaties willen eerst vaststellen of er echt data is gestolen. Zonder die kennis is het lastig om gericht te waarschuwen. Ook kan een eerste gesprek helpen om een deadline te rekken.
In Nederland stemmen universiteiten hun reactie vaak af met SURFcert, het sectorale incidententeam. Zij delen technische sporen, zoals IP-adressen en gebruikte tools. Zo kunnen andere instellingen sneller reageren. Interne crisisteams bewaken tegelijk onderwijsprocessen en examens.
Toegang via Canvas-omgeving
De inbraak raakt de leeromgeving Canvas, een systeem van het Amerikaanse bedrijf Instructure. Canvas is de plek voor roosters, opdrachten, cijfers en communicatie. Veel Nederlandse en Belgische universiteiten gebruiken het platform. Daardoor is de mogelijke impact groot.
Op dit moment is niet publiek vastgesteld of de kern van Canvas is gehackt. Vaak begint zo’n incident met gestolen wachtwoorden, hergebruikte inloggegevens of misbruik van API-sleutels. API-sleutels geven een app geautomatiseerde toegang tot data. Deze sleutels moeten regelmatig worden vervangen en beperkt worden in rechten.
Een ander zwak punt kan een LTI-koppeling zijn. LTI is een standaard waarmee externe onderwijsapps aan Canvas hangen. Zo’n koppeling kan extra rechten krijgen en dus een ingang vormen. Beheerders controleren nu deze koppelingen en trekken verdachte toegang in.
Risico’s voor persoonsgegevens
In een leeromgeving staan veel persoonsgegevens. Denk aan namen, e-mailadressen, studiegegevens en ingeleverde documenten. Soms gaat het ook om cijfers, opmerkingen van docenten of medische verklaringen voor tentamenvoorzieningen. Dat zijn gevoelige gegevens onder de AVG.
Universiteiten moeten daarom een datalekmelding doen bij de Autoriteit Persoonsgegevens als er hoog risico is. Ook moeten betrokkenen op tijd worden geïnformeerd. Vaak volgt dan advies over wachtwoorden, phishing en misbruik van identiteitsgegevens. Interne logging helpt om te bepalen wie precies geraakt is.
De instellingen beoordelen nu de aard en omvang van de buitgemaakte data. Zij kijken of bestanden versleuteld waren en of toegang beperkt was. Dat heet dataminimalisatie: alleen bewaren wat nodig is, zo kort mogelijk. Hoe minder data, hoe kleiner de schade bij een lek.
De AVG verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de toezichthouder.
Europese regels sturen aanpak
Naast de AVG speelt NIS2 dit jaar een grotere rol. Deze Europese richtlijn verhoogt de eisen voor beveiliging en meldplichten bij sectoren die als belangrijk gelden. Lidstaten werken nu aan de nationale invoering en aanwijzing van instellingen. Hogescholen en universiteiten kunnen hieronder vallen, afhankelijk van hun profiel en omvang.
Voor AI-toepassingen in het onderwijs geldt bovendien de Europese AI-verordening (AI Act). Systemen die prestaties van studenten beoordelen kunnen in een hoge risicoklasse vallen. Dat vraagt om extra documentatie, risicobeoordeling en toezicht. Gegevenskwaliteit en herkomst worden dan nog belangrijker.
Een lek in een leeromgeving kan zo ook gevolgen hebben voor algoritmen. Gestolen data kan eindigen in trainingssets van niet-goedgekeurde systemen. Dat staat haaks op de eisen voor transparantie en doelbinding. Instellingen moeten daarom scherper sturen op data-uitwisseling met leveranciers.
Impact op studenten en docenten
Gebruikers kunnen tijdelijk hinder ervaren. Denk aan gedwongen wachtwoordresets, uitgeschakelde koppelingen of extra controles bij inloggen. Multifactor-authenticatie (MFA) wordt vaak versneld verplicht. Dit verkleint misbruik van eerder gestolen wachtwoorden.
Examenprocessen kunnen worden aangepast om fraude te voorkomen. Bijvoorbeeld door nieuwe tentamensets of een andere inleverroute. Docenten krijgen instructies om gevoelige informatie niet via onbeveiligde kanalen te delen. Studieadviseurs helpen studenten met vragen over privacy.
Voor studenten geldt een bekend advies: wees alert op phishing. Aanvallers misbruiken graag onrust rondom een datalek. Controleer afzenders, klik niet zomaar op links en meld verdachte berichten bij de ICT-helpdesk. Bewaar bewijzen van misbruik voor eventuele aangifte.
Beveiliging van koppelingen en sleutels
Beheerders nemen nu technische maatregelen. Zij trekken API-sleutels in en maken nieuwe aan met minimale rechten. Ook controleren zij toegangslogs op vreemde patronen. Verdachte apparaten worden geblokkeerd en sessies ongeldig gemaakt.
Externe tools via LTI krijgen een herkeuring. Alleen noodzakelijke koppelingen blijven actief. Leveranciers moeten aantonen dat zij voldoen aan de AVG en passende beveiliging. Verwerkersovereenkomsten worden waar nodig aangescherpt.
Tot slot helpt segmentatie: scheid gevoelige data van minder kritieke onderdelen. Gebruik versleuteling voor opslag en transport. Voer periodieke penetratietests uit via een onafhankelijk team. Deel bevindingen binnen de sector om herhaling te voorkomen.
Leveranciers onder vergrootglas
Instructure en andere edtech-leveranciers staan onder druk om transparanter te zijn. Instellingen willen weten waar data staat, wie toegang heeft en hoe incidenten worden afgehandeld. Duidelijke statuspagina’s en snelle communicatie beperken onzekerheid. Ook is inzicht nodig in de beveiliging van updates en integraties.
Contracten in Europa bevatten steeds vaker eisen uit de AVG en de AI Act. Denk aan dataminimalisatie, auditrechten en exit-opties. Leveranciers moeten uitleggen hoe hun algoritmen met onderwijsdata omgaan. Zonder die informatie lopen instellingen extra risico bij inkopen.
Voor Nederlandse universiteiten is dit een wake-upcall. Niet alleen techniek telt, maar ook governance en training. Heldere processen en geoefende crisisteams maken verschil in de eerste 48 uur. Dat verkleint de kans dat een incident uitgroeit tot een sectorbreed probleem.
