Waarom is dit onderwerp relevant voor mijn organisatie?

Menselijk gedrag is de meest voorkomende oorzaak van beveiligingsincidenten. Kennis en bewustzijn van dit thema verlagen het risico direct en aantoonbaar.

Hoe helpt 2LRN4 hierbij?

2LRN4 koppelt dit thema aan een risicogericht trainingsmodule, optionele phishing-simulatie en rapportages, zodat u naleving kunt aantonen aan toezichthouders en het bestuur.

Is een awareness-training voldoende of is meer nodig?

Training is een noodzakelijke bouwsteen, maar geen volledig schild. Combineer het met technische maatregelen (MFA, e-mailfiltering), procedures en een meldzame cultuur voor de beste bescherming.

Het Canvas/Instructure-datalek: leveranciersrisico en cloudafhankelijkheid in het onderwijs

In mei 2026 werd het wereldwijd gebruikte leerplatform Canvas, van leverancier Instructure, getroffen door een grootschalige aanval die wordt toegeschreven aan de groep ShinyHunters. Wereldwijd waren mogelijk de gegevens van honderden miljoenen studenten, docenten en medewerkers in het geding, verspreid over duizenden onderwijsinstellingen. In Nederland bevestigden zeven universiteiten dat ze geraakt waren: de UvA, VU Amsterdam, Erasmus Universiteit Rotterdam, Tilburg University, TU Eindhoven, Universiteit Maastricht en Universiteit Twente. Het incident toont opnieuw aan dat de grootste afhankelijkheid soms een platform is dat je zelf niet beheert.

Wat er gebeurde

De aanval speelde in mei 2026 en raakte Instructure, het bedrijf achter Canvas. Dat is het leerplatform dat veel instellingen voor hoger onderwijs gebruiken voor cursussen, cijfers en de communicatie met studenten. Doordat zoveel instellingen op hetzelfde platform draaien, had één inbraak meteen een internationale reikwijdte.

Voor de Nederlandse universiteiten betekende dit dat gegevens die via Canvas liepen, mogelijk in handen van de aanvallers kwamen. Welke gegevens precies, verschilt per instelling, maar bij een leerplatform gaat het al snel om namen, e-mailadressen, studie- en cursusinformatie en interne communicatie.

Onder de AVG is dit een meldplichtig datalek: de getroffen instellingen moesten het bij de Autoriteit Persoonsgegevens melden en de betrokkenen informeren. Omdat de verwerker (Instructure) de bron van het lek was, draait dit ook om de afspraken in de verwerkersovereenkomst en de vraag wie waarvoor verantwoordelijk is.

Concentratierisico: één platform, één doelwit

Centrale clouddiensten maken het leven makkelijker: één systeem, overal toegankelijk en altijd actueel. Maar diezelfde centralisatie maakt zo'n platform tot een aantrekkelijk doelwit. Wie één keer binnenkomt, heeft in één keer toegang tot de gegevens van duizenden organisaties. Dat is precies waarom aanvallers zich richten op grote leveranciers in plaats van op losse instellingen. Hetzelfde patroon zag je bij de aanval op zorgleverancier ChipSoft, waar één systeem een groot deel van de Nederlandse ziekenhuizen raakte.

Voor het onderwijs is dit extra relevant. Universiteiten en hogescholen delen vaak dezelfde kerntoepassingen (leerplatform, studentenadministratie, e-mail), waardoor een aanval op één leverancier de hele sector tegelijk raakt. De afhankelijkheid is groot en de uitwijkmogelijkheden zijn beperkt.

De les voor wie awareness implementeert: je kunt niet alle risico bij je leverancier wegnemen, maar je kunt je organisatie wél voorbereiden op het scenario dat een centrale dienst wordt overgenomen. Wie weet hoe te handelen, beperkt de schade.

Begin bij de risicoanalyse: loop de hele BIV af

Voorbereiden op uitval begint niet bij een draaiboek, maar bij een risicoanalyse. Het BIV-model helpt je per systeem te bepalen welke eisen gelden voor beschikbaarheid, integriteit en vertrouwelijkheid, en welke maatregelen daarbij passen. Loop die drie bewust af in plaats van alleen naar de gevolgen van een lek te kijken. Wil je het verschil tussen deze drie en de AVG-begrippen scherp hebben? Lees dan het verschil tussen BIV en de AVG.

Beschikbaarheid: hoe erg is het als dit platform een dag of een week plat ligt? Moet de beschikbaarheid hoog zijn, dan zijn zwaardere maatregelen nodig. Vraag je af of uitwijken naar een alternatief platform mogelijk is, of je een recente back-up buiten het platform hebt, en of je de gegevens kunt scheiden van het platform. Met een eigen export of kopie kun je bij uitval sneller door met je colleges, cijferadministratie of dienstverlening.

Integriteit: kun je erop vertrouwen dat de gegevens niet zijn gemanipuleerd? Na een inbraak moet je kunnen vaststellen of cijfers, dossiers en inschrijvingen nog kloppen. Zonder controlemogelijkheid weet je niet of je op de gegevens kunt bouwen, en dat kan na herstel net zo verlammend zijn als de uitval zelf.

Vertrouwelijkheid: welke gegevens zijn zo gevoelig dat blootstelling de grootste schade veroorzaakt? Door je gegevens te classificeren weet je wat extra bescherming nodig heeft en wat als eerste om aandacht vraagt na een lek. Dat onderscheid maak je vooraf, zoals beschreven in gegevensclassificatie en het need-to-know-principe.

Door de drie samen af te lopen voorkom je dat je alleen op beschikbaarheid let en integriteit of vertrouwelijkheid vergeet. Awareness betekent hier dat ook niet-technische collega's meedenken: zij weten het beste welk uitvallend systeem hun werk stillegt en welke gegevens in hun proces cruciaal zijn.

De gevaarlijkste fase begint ná het datalek

Net als bij andere grote datalekken is de diefstal zelf niet het grootste risico voor de gebruiker. De vervolg-phishing is dat wel. Met namen, e-mailadressen en de wetenschap dat iemand student of medewerker is bij een specifieke universiteit, kunnen criminelen uiterst geloofwaardige berichten sturen. Dit is hetzelfde mechanisme dat ook na het Odido-datalek tot een golf van nepberichten leidde.

Reken na een datalek in het onderwijs op golven van nepmails: 'controleer of jouw gegevens zijn gelekt', 'log opnieuw in op Canvas via deze link' of 'je inschrijving vervalt, bevestig nu'. Juist omdat het nieuws breed bekend is, spelen criminelen daar meteen op in.

Studenten zijn daarbij een kwetsbare groep: jong, druk en gewend aan veel digitale berichten van hun instelling. Awareness moet zich dus niet alleen op het personeel richten, maar ook op de manier waarop de instelling met studenten communiceert.

Wat een verwerkersovereenkomst hiermee te maken heeft

Als een leverancier je gegevens verwerkt, blijft jouw organisatie onder de AVG meestal de verwerkingsverantwoordelijke. Dat betekent dat je vooraf afspraken moet vastleggen in een verwerkersovereenkomst: welke beveiligingsmaatregelen neemt de leverancier, hoe en hoe snel meldt die een incident, en wie informeert de betrokkenen?

Bij het Canvas-incident werd zichtbaar hoe belangrijk die afspraken zijn. Hoe sneller en duidelijker een verwerker communiceert, hoe sneller de instelling kan melden en haar mensen kan waarschuwen. Awareness en inkoop raken elkaar hier: de mensen die contracten sluiten, bepalen mede hoe goed je later kunt reageren.

Voor wie awareness implementeert, is dit een kans om het gesprek te verbreden. Leveranciersrisico is niet alleen een technisch of juridisch onderwerp, maar ook een vraagstuk van gedrag en communicatie.

Zo verwerk je dit in je awarenessprogramma

Gebruik het Canvas-incident om twee dingen tegelijk op de agenda te zetten: de afhankelijkheid van centrale cloudplatforms en het belang van oplettendheid in de periode na een datalek.

Stem je campagne af op de groepen die er echt toe doen: inkoop en de functionarissen die contracten beheren, plus de communicatiekanalen richting studenten of klanten.

Doelgroep en ritme: geef inkoop en privacyfunctionarissen een module over verwerkersovereenkomsten en meldafspraken; geef communicatie- en frontofficeteams een draaiboek voor phishing na een datalek.
Begin bij de risicoanalyse: bepaal per kernsysteem de eisen voor beschikbaarheid, integriteit en vertrouwelijkheid, en leg uitwijk- en back-upmaatregelen vast voor systemen waar de beschikbaarheid hoog moet zijn.
Spreek vooraf af welke berichten je wél en niet stuurt (bijvoorbeeld nooit een inloglink in een mail), zodat nepberichten sneller opvallen.
Oefen het scenario dat een centraal platform uitvalt of wordt overgenomen: hoe communiceer je, en hoe ga je tijdelijk door op een gescheiden kopie van de data?
Wil je dit verankeren? Bekijk hoe dat werkt met een security awareness programma.

FAQ

Waarom raakte één aanval zoveel universiteiten tegelijk?

Omdat veel instellingen hetzelfde centrale leerplatform (Canvas van Instructure) gebruiken. Een inbraak bij die ene leverancier geeft in één keer toegang tot de gegevens van duizenden organisaties wereldwijd. Dat heet concentratierisico: één centraal platform betekent één centraal doelwit.

Wat is het grootste risico voor studenten en medewerkers na dit datalek?

Niet de diefstal zelf, maar de vervolg-phishing. Met namen, e-mailadressen en de wetenschap dat iemand aan een specifieke universiteit verbonden is, kunnen criminelen geloofwaardige nepmails sturen, zoals 'controleer of je gelekt bent' of 'log opnieuw in via deze link'. Daar moet je gericht voor waarschuwen.

Hoe bereid je een organisatie voor op uitval van een centraal platform?

Begin bij een risicoanalyse op basis van BIV (beschikbaarheid, integriteit, vertrouwelijkheid). Moet de beschikbaarheid hoog zijn, tref dan passende maatregelen: kijk of uitwijken naar een ander platform mogelijk is, of je een recente back-up buiten het platform hebt, en of je de gegevens kunt scheiden van het platform zodat je met een eigen export snel door kunt. Loop daarna ook integriteit (kloppen de gegevens nog?) en vertrouwelijkheid (wat is het gevoeligst?) af, en oefen het uitwijkscenario vooraf.

Wie is verantwoordelijk als de leverancier het lek veroorzaakt?

Onder de AVG blijft jouw organisatie meestal de verwerkingsverantwoordelijke, ook als de leverancier (de verwerker) het lek veroorzaakt. Daarom leg je vooraf in een verwerkersovereenkomst vast welke beveiliging de leverancier biedt, hoe snel die incidenten meldt en wie de betrokkenen informeert.