Studenten luisteren aandachtig in een collegezaal
Nieuws25 juni · 12:544 min leestijd

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn

Bij leerplatform Canvas, gebruikt door veel Nederlandse onderwijsinstellingen en trainingsbedrijven, zijn gegevens buitgemaakt door crimineel collectief ShinyHunters. Onderwijsminister Letschert laat weten dat nog onbekend is hoeveel Nederlandse studenten zijn getroffen.

Bij Canvas, het leerplatform dat veel Nederlandse universiteiten, hogescholen, mbo-instellingen en trainingsbedrijven gebruiken, zijn gegevens buitgemaakt. Het criminele collectief ShinyHunters claimt data van zo'n 275 miljoen Canvas-gebruikers in handen te hebben en dreigde die te publiceren. Onderwijsminister Letschert liet de Tweede Kamer weten dat op dit moment nog onbekend is hoeveel Nederlandse studenten slachtoffer zijn geworden.

Dat klinkt als een ver-van-mijn-bedshow voor onderwijsinstellingen, maar de kern van het probleem geldt voor elke organisatie die persoonsgegevens bij een externe leverancier onderbrengt.

Wat er gebeurde

Canvas wordt geleverd door het Amerikaanse Instructure, dat naar eigen zeggen zo'n zevenduizend onderwijsinstellingen wereldwijd bedient met ruim 200 miljoen gebruikers. Instructure zegt een deal met de aanvallers te hebben gesloten en zogeheten shred logs te hebben ontvangen die zouden bewijzen dat de gestolen data is vernietigd. Beveiligingsexperts plaatsen daar grote vraagtekens bij, omdat zulke door criminelen aangeleverde bewijzen niet onafhankelijk te controleren zijn.

Welke gegevens precies zijn buitgemaakt, is onduidelijk: volgens de onderwijskoepels is alleen bekend welke instellingen geraakt zijn, niet welke datacategorieen of hoeveel mensen. Het dringende advies van de overheid is om geen losgeld te betalen, een lijn die de minister herhaalt.

Waarom dit ook niet-onderwijsorganisaties raakt

De Canvas-hack is een schoolvoorbeeld van een risico dat niets met onderwijs te maken heeft: je gegevens liggen bij een derde partij, en als die wordt gehackt, sta jij met de gevolgen. Trainingsbedrijven en interne opleidingsafdelingen die Canvas of een vergelijkbaar leerplatform koppelen, zitten in precies dezelfde positie als een universiteit.

Het patroon is bekend. Zo lekte wachtwoordmanager LastPass klantgegevens niet door een eigen inbraak, maar via een gehackte leverancier. De zwakste schakel zit steeds vaker bij een partij waar je zelf geen controle over hebt, maar waar je wel verantwoordelijk voor blijft.

Je AVG-meldplicht: wat je nu moet doen

Als organisatie ben je onder de AVG verwerkingsverantwoordelijke voor de persoonsgegevens die je bij een leverancier onderbrengt. Word je geraakt, dan ligt de meldplicht bij jou, niet bij de leverancier. Dat betekent: een datalek dat waarschijnlijk een risico vormt binnen 72 uur melden bij de Autoriteit Persoonsgegevens, en betrokkenen informeren als het risico hoog is.

Wacht daarbij niet passief op je leverancier. Vraag actief op welke van jouw gegevens betrokken zijn, leg de communicatie met de leverancier vast, en bereid een bericht aan je betrokkenen voor. Het kabinet werkt juist daarom aan een handelingskader voor wat organisaties na een groot datalek aan slachtoffers moeten communiceren. Tot dat er ligt, ben je zelf aan zet, en in een ongewisse situatie als deze is grondig en eerlijk communiceren het verschil tussen vertrouwen behouden en het kwijtraken.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Voorbereid op een datalek

Ik help je in beeld brengen welke gegevens bij welke leverancier liggen en richt je meld- en communicatieproces zo in dat je bij een incident meteen kunt handelen. Van meedenken tot realiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen
Nieuws
5 min

4 jul 06:11

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen

Bij Medtronic, maker van pacemakers en insulinepompen, zijn de gegevens van ruim 3,8 miljoen mensen gelekt na een inbraak in de eigen bedrijfssystemen. Een scherpe casus over het risico van je leverancier.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt
Nieuws
6 min

30 jun 00:47

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

AI voor de makelaar: woningteksten, leadopvolging en bezichtigingsplanning automatiseren
Gids
8 min

2 jul 20:31

AI voor de makelaar: woningteksten, leadopvolging en bezichtigingsplanning automatiseren

Woningteksten schrijven, Funda-leads opvolgen en bezichtigingen inplannen kost een makelaarskantoor uren per week. Ik laat stap voor stap zien waar AI dat werk overneemt, en precies waar de AVG-grens ligt.