{"id":204109,"date":"2026-05-07T15:50:19","date_gmt":"2026-05-07T15:50:19","guid":{"rendered":"https:\/\/www.europesays.com\/nl\/204109\/"},"modified":"2026-05-07T15:50:19","modified_gmt":"2026-05-07T15:50:19","slug":"canvas-hack-treft-nederlandse-onderwijsinstellingen-omvangrijk-datalek-beperkte-gevoeligheid","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/nl\/204109\/","title":{"rendered":"Canvas-hack treft Nederlandse onderwijsinstellingen: omvangrijk datalek, beperkte gevoeligheid"},"content":{"rendered":"<p>Ethisch hacker en beveiligingsonderzoeker Sijmen Ruwhof moest \u201ewel even slikken\u201d, toen hij eerder deze week vernam dat de onderwijssoftware Canvas is <a href=\"https:\/\/www.nrc.nl\/nieuws\/2026\/05\/05\/gegevens-van-studenten-buitgemaakt-bij-hack-onderwijssoftware-canvas-onduidelijk-of-ook-nederlandse-instellingen-getroffen-zijn-a4926993\" rel=\"nofollow noopener\" target=\"_blank\">aangevallen<\/a> door hackerscollectief Shinyhunters. Want, zo zegt hij, het betreft een \u201esupergigantisch\u201d datalek, \u201eeen van de grootste wereldwijd\u201d.<\/p>\n<p>Shinyhunters, ook verantwoordelijk voor de <a href=\"https:\/\/www.nrc.nl\/nieuws\/2026\/02\/26\/vijf-vuistregels-zo-bescherm-je-je-tegen-de-gevolgen-van-de-odido-hack-a4921619\" rel=\"nofollow noopener\" target=\"_blank\">Odido-hack<\/a>, zou gegevens van 275 miljoen studenten hebben buitgemaakt van ongeveer negenduizend onderwijsinstellingen wereldwijd. Ook tientallen Nederlandse instellingen werden gehackt, aldus het collectief, waarvan niet bekend is wie erachter zitten.<\/p>\n<blockquote class=\"dmt-quote__content\">\n<p>Mijn vermoeden is dat de gegevens voor het overgrote deel niet gevoelig zijn<\/p>\n<\/blockquote>\n<p>\t\t\t\t\tSijmen Ruwhof<\/p>\n<p>\t\t\t\t\tethisch hacker en beveiligingsonderzoeker<\/p>\n<p>Op de lijst van Shinyhunters, ingezien door NRC, worden onder andere de Universiteit van Amsterdam, Tilburg University, Avans Hogeschool en Drenthe College genoemd als slachtoffers. Dat wil overigens niet zeggen dat ze daadwerkelijk werden gehackt, want nog niet iedere instelling heeft dat bevestigd.<\/p>\n<p>Op Canvas, een op veel onderwijsinstellingen gebruikte online leeromgeving, staat studiegerelateerde informatie. Instructure, het Amerikaanse bedrijf achter Canvas, heeft maandag <a href=\"https:\/\/status.instructure.com\/\" rel=\"nofollow noopener\" target=\"_blank\">laten weten<\/a> dat onder meer de namen,\u00a0e-mailadressen, studentnummers en onderlinge correspondentie van studenten, leraren en andere medewerkers werden buitgemaakt.\u00a0<\/p>\n<p>Kwantitatief indrukwekkend<\/p>\n<p>Werden gevoelige gegevens gestolen? Dat valt wel mee, vermoedt Ruwhof. Hij noemt de hack vooral kwantitatief indrukwekkend. De gegevens lijken hem \u201eniet heel heftig\u201d, maar de onderlinge berichten zijn \u201emogelijk wel een stuk ernstiger\u201d.  Maar, zegt hij: \u201eMijn vermoeden is dat de gegevens voor het overgrote deel niet gevoelig zijn omdat het een schoolsysteem is.\u201d<\/p>\n<p>Volgens Shinyhunters zou de hack \u201emiljarden\u201d berichten van studenten bevatten. Bovendien stelt het collectief nog \u201emeer data\u201d te hebben ontvreemd, zonder dat nader te specificeren. Instructure zelf zegt dat er geen wachtwoorden, geboortedata, identiteitsbewijzen, bankgegevens of andere bijzondere persoonsgegevens zijn gelekt. <\/p>\n<p>Momenteel hebben onderwijsinstellingen vooral hun handen vol aan het informeren van studenten over de roof en het in kaart brengen van de omvang en impact, zo blijkt uit een rondgang van NRC. Een woordvoerder van de Hogeschool Utrecht laat bijvoorbeeld weten dat de instelling zich \u201ezorgen\u201d maakt, omdat onzeker is om welke gegevens het gaat en hoeveel mensen van de Hogeschool Utrecht door de hack werden getroffen. De woordvoerder laat weten dat een aangifte is gedaan bij de politie en een melding is gemaakt bij de Autoriteit Persoonsgegevens.\u00a0<\/p>\n<p>Ook de zeven geraakte universiteiten hebben zo\u2019n melding gedaan, blijkt uit een <a href=\"https:\/\/www.universiteitenvannederland.nl\/actueel\/nieuws\/stand-van-zaken-datalek-leverancier-onderwijssoftware-canvas\" rel=\"nofollow noopener\" target=\"_blank\">gezamenlijk statement<\/a>. Ze zeggen te begrijpen dat de hack vragen kan oproepen bij studenten en medewerkers, die terecht kunnen bij hun eigen universiteit. De instellingen vragen hun studenten \u201ewaakzaam te zijn voor mogelijke phishingmails naar aanleiding van het datalek\u201d.<\/p>\n<p>Betalen?<\/p>\n<p>In vele opzichten doet de hack denken aan de <a href=\"https:\/\/www.nrc.nl\/nieuws\/2026\/02\/12\/twee-dagen-lang-hadden-cybercriminelen-toegang-tot-gegevens-van-miljoenen-odidoklanten-a4920295\" rel=\"nofollow noopener\" target=\"_blank\">Odido-hack<\/a> van eerder dit jaar, alleen het doelwit is opmerkelijk. Waarom koos Shinyhunters voor een onderwijssoftwarebedrijf? Dat lijkt volgens Ruwhof een willekeurige keuze, maar dat valt niettemin te rijmen met de werkwijze .\u00a0Shinyhunters is namelijk \u201eheer en meester\u201d op het gebied van het \u201eafpersen van bedrijven met datalekken\u201d. En dan vooral van \u201egrote bedrijven die veel persoonsgegevens beheren\u201d.<\/p>\n<p>Volgens de beveiligingsonderzoeker worden vooral bedrijven de dupe die gebruikmaken van SalesForce-software, waarmee klantrelaties worden beheerd. Zowel Odido als Instructure gebruikt dat programma.\u00a0Naast SalesForce is ook bij een ander systeem van Instructure ingebroken, waar waarschijnlijk de miljarden buitgemaakte berichten in waren opgeslagen, aldus Ruwhof. Grote verschil tussen de twee hacks is volgens Ruwhof de gevoeligheid van de gegevens.<\/p>\n<blockquote class=\"dmt-quote__content\">\n<p>Ik zou onderwijsinstellingen aanraden om een datasample op te vragen bij de hackersgroep<\/p>\n<\/blockquote>\n<p>\t\t\t\t\tSijmen Ruwhof <\/p>\n<p>\t\t\t\t\tbeveiligingsonderzoeker<\/p>\n<p>Verder spoort Ruwhof betrokken partijen aan te onderzoeken wat voor data werden gelekt. \u201eInstructure zegt te weten om wat voor informatie het gaat, maar Shinyhunters stelt dat er meer is\u201d, zegt hij. \u201eIk zou onderwijsinstellingen aanraden een datasample op te vragen bij de hackersgroep, zodat je weet welke informatie precies is gelekt en om hoeveel berichten het gaat.\u201d<\/p>\n<p>Betalen raadt Ruwhof in dit geval af. Hij is \u201ein principe\u201d tegen het \u201ebetalen van criminelen\u201d, waar hij alleen bij hoge uitzondering voorstander van is als de gegevens \u201esupergevoelig\u201d zijn. Instructure lijkt overigens niet te gaan betalen, vermoedt Ruwhof. Omdat Shinyhunters zich na de oorspronkelijke deadline van 6 mei nu ook tot individuele onderwijsinstellingen heeft gericht, lijkt het hackerscollectief hun heil bij die instellingen te zoeken. Deze hadden tot 7 mei om zich te melden bij de hackers, om te voorkomen dat hun gegevens openbaar zouden worden gemaakt.<\/p>\n<p><a class=\"dmt-article-suggestion\" href=\"https:\/\/www.nrc.nl\/nieuws\/2025\/05\/19\/tijdens-de-cyberaanval-op-de-tu-waren-ook-de-draaiboeken-voor-crises-onbereikbaar-gelukkig-zaten-die-in-ons-hoofd-a4893877\" rel=\"nofollow noopener\" target=\"_blank\"><\/p>\n<p>\n\t\t\t\tLees ook\n\t\t\t<\/p>\n<p>Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. \u2018Gelukkig zaten die in ons hoofd\u2019<\/p>\n<p><img decoding=\"async\" alt=\"Informatieborden in de universiteitsbibliotheek over het door een cyberaanval platgelegde netwerk van de TU Eindhoven. Foto Rob Engelaar\/ANP \" class=\"dmt-article-suggestion__image\" height=\"96\" loading=\"lazy\" src=\"https:\/\/www.europesays.com\/nl\/wp-content\/uploads\/2026\/05\/data132513273-ffd341.jpg\" width=\"160\"\/><br \/>\n<\/a><\/p>\n<p>Geef cadeau<\/p>\n<p>Deel<\/p>\n<p>Mail de redactie<\/p>\n","protected":false},"excerpt":{"rendered":"Ethisch hacker en beveiligingsonderzoeker Sijmen Ruwhof moest \u201ewel even slikken\u201d, toen hij eerder deze week vernam dat de&hellip;\n","protected":false},"author":2,"featured_media":204110,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[73,74,48,46,47,49,45,50,75],"class_list":{"0":"post-204109","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-zakelijk","8":"tag-business","9":"tag-commercial","10":"tag-dutch","11":"tag-nederland","12":"tag-nederlanden","13":"tag-nederlands","14":"tag-netherlands","15":"tag-nl","16":"tag-zakelijk"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@nl\/116534092127511716","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/posts\/204109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/comments?post=204109"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/posts\/204109\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/media\/204110"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/media?parent=204109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/categories?post=204109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/nl\/wp-json\/wp\/v2\/tags?post=204109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}