Bij Canvas, het leerplatform dat veel Nederlandse universiteiten, hogescholen, mbo-instellingen en trainingsbedrijven gebruiken, zijn gegevens buitgemaakt. Het criminele collectief ShinyHunters claimt data van zo'n 275 miljoen Canvas-gebruikers in handen te hebben en dreigde die te publiceren. Onderwijsminister Letschert liet de Tweede Kamer weten dat op dit moment nog onbekend is hoeveel Nederlandse studenten slachtoffer zijn geworden.
Dat klinkt als een ver-van-mijn-bedshow voor onderwijsinstellingen, maar de kern van het probleem geldt voor elke organisatie die persoonsgegevens bij een externe leverancier onderbrengt.
Wat er gebeurde
Canvas wordt geleverd door het Amerikaanse Instructure, dat naar eigen zeggen zo'n zevenduizend onderwijsinstellingen wereldwijd bedient met ruim 200 miljoen gebruikers. Instructure zegt een deal met de aanvallers te hebben gesloten en zogeheten shred logs te hebben ontvangen die zouden bewijzen dat de gestolen data is vernietigd. Beveiligingsexperts plaatsen daar grote vraagtekens bij, omdat zulke door criminelen aangeleverde bewijzen niet onafhankelijk te controleren zijn.
Welke gegevens precies zijn buitgemaakt, is onduidelijk: volgens de onderwijskoepels is alleen bekend welke instellingen geraakt zijn, niet welke datacategorieen of hoeveel mensen. Het dringende advies van de overheid is om geen losgeld te betalen, een lijn die de minister herhaalt.
Waarom dit ook niet-onderwijsorganisaties raakt
De Canvas-hack is een schoolvoorbeeld van een risico dat niets met onderwijs te maken heeft: je gegevens liggen bij een derde partij, en als die wordt gehackt, sta jij met de gevolgen. Trainingsbedrijven en interne opleidingsafdelingen die Canvas of een vergelijkbaar leerplatform koppelen, zitten in precies dezelfde positie als een universiteit.
Het patroon is bekend. Zo lekte wachtwoordmanager LastPass klantgegevens niet door een eigen inbraak, maar via een gehackte leverancier. De zwakste schakel zit steeds vaker bij een partij waar je zelf geen controle over hebt, maar waar je wel verantwoordelijk voor blijft.
Je AVG-meldplicht: wat je nu moet doen
Als organisatie ben je onder de AVG verwerkingsverantwoordelijke voor de persoonsgegevens die je bij een leverancier onderbrengt. Word je geraakt, dan ligt de meldplicht bij jou, niet bij de leverancier. Dat betekent: een datalek dat waarschijnlijk een risico vormt binnen 72 uur melden bij de Autoriteit Persoonsgegevens, en betrokkenen informeren als het risico hoog is.
Wacht daarbij niet passief op je leverancier. Vraag actief op welke van jouw gegevens betrokken zijn, leg de communicatie met de leverancier vast, en bereid een bericht aan je betrokkenen voor. Het kabinet werkt juist daarom aan een handelingskader voor wat organisaties na een groot datalek aan slachtoffers moeten communiceren. Tot dat er ligt, ben je zelf aan zet, en in een ongewisse situatie als deze is grondig en eerlijk communiceren het verschil tussen vertrouwen behouden en het kwijtraken.
Veelgestelde vragen
Voorbereid op een datalek
Ik help je in beeld brengen welke gegevens bij welke leverancier liggen en richt je meld- en communicatieproces zo in dat je bij een incident meteen kunt handelen. Van meedenken tot realiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
