Gegevens van 275 miljoen studenten en docenten mogelijk buit bij Canvas: waarom deze aanval veel groter is dan 'nog een datalek'

Niet iedere cyberaanval voelt direct relevant voor Nederlandse organisaties. Deze wel.

Bij onderwijsplatform Canvas, van leverancier Instructure, zijn bij een cyberaanval gegevens buitgemaakt van studenten, docenten en medewerkers. RTL meldt dat het om zo'n 275 miljoen betrokkenen zou gaan, op basis van claims rond de aanval, terwijl Instructure zelf bevestigde dat onder meer namen, e-mailadressen, studentnummers en berichten tussen gebruikers zijn gestolen. Of alle genoemde aantallen volledig kloppen, is op dit moment nog niet onafhankelijk bevestigd, maar duidelijk is al wel dat het om een incident van uitzonderlijke omvang gaat.

Voor Nederlandse organisaties is dit niet alleen relevant omdat ook hier universiteiten en hogescholen Canvas gebruiken. Het is vooral relevant omdat dit incident opnieuw laat zien hoe groot het risico wordt zodra kritieke processen draaien op één externe digitale ketenpartner. RTL noemt onder meer de Erasmus Universiteit, Universiteit van Amsterdam, VU Amsterdam, Hogeschool Utrecht en Tilburg University als instellingen die Canvas gebruiken, terwijl Rutgers in de VS het incident inmiddels expliciet aanduidt als een landelijke leveranciergedreven verstoring.

Dit is geen 'klassieke schoolhack'

Wat deze aanval zo interessant en tegelijk zo zorgelijk maakt, is dat het niet gaat om één losstaande school die slecht beveiligd was. Het gaat om een platformleverancier die door duizenden onderwijsinstellingen wordt gebruikt. Daardoor verschuift het risico van lokaal naar systemisch.

Volgens de berichtgeving heeft ShinyHunters de aanval opgeëist. Die groep staat bekend om aanvallen op organisaties met grote hoeveelheden gebruikersdata en wordt in Nederland ook gelinkt aan eerdere datadiefstalzaken, waaronder Odido. RTL schrijft dat de groep nu opnieuw een 'betalen of lekken'-strategie gebruikt. Op ransomware.live claimen de aanvallers dat bijna 9.000 scholen geraakt zijn en dat er niet alleen persoonsgegevens, maar ook enorme hoeveelheden privéberichten zijn buitgemaakt. Die schaalclaim komt van de aanvallers zelf en moet dus met voorzichtigheid gelezen worden, maar onderstreept wel de ernst van het incident.

Dat maakt deze aanval fundamenteel anders dan een gemiddeld datalek. Zodra een SaaS-leverancier diep in primaire processen zit, wordt één compromise automatisch een ketenincident. Niet alleen accounts worden geraakt, maar mogelijk ook communicatie, onderwijslogica, procesdata en vertrouwelijke interacties tussen gebruikers.

Waarom juist berichtenverkeer hier zo gevoelig is

Instructure heeft aangegeven dat er op dit moment geen bewijs is dat wachtwoorden, geboortedata, identiteitsnummers of financiële gegevens zijn buitgemaakt. Tegelijk bevestigt het bedrijf wel dat namen, e-mailadressen, studentnummers en berichten tussen gebruikers zijn geraakt. Juist dat laatste maakt dit incident extra gevoelig.

Want berichten binnen een onderwijsplatform zijn geen gewone metadata. Daarin kunnen vragen over studievoortgang, persoonlijke situaties, disciplinaire kwesties, ondersteuningsvragen of vertrouwelijke docent-studentinteracties zitten. Zelfs als de zwaarste identiteitsgegevens niet zijn buitgemaakt, kan de context van communicatie nog steeds extreem gevoelig zijn.

Voor organisaties buiten het onderwijs zit daar een bredere les in. Veel bedrijven kijken bij leveranciersrisico nog te vaak alleen naar velden als naam, e-mail en telefoonnummer. Maar in de praktijk zit de échte gevoeligheid vaak in samenhang: wie praat met wie, waarover, binnen welk proces, en op welk moment. Contextdata is in 2026 vaak waardevoller dan een los record.

De echte les: third-party risk is nog steeds onderschat

Deze aanval raakt aan een oud probleem dat door AI, SaaS en platformisering alleen maar groter wordt: organisaties outsourcen functionaliteit, maar niet het risico.

Canvas is voor veel instellingen geen extra tool, maar een operationele laag voor onderwijsuitvoering. Als zo'n platform wordt geraakt, heeft dat direct gevolgen voor privacy, vertrouwen, reputatie, communicatie en mogelijk ook continuïteit. De vraag is dan niet meer alleen: 'Was de leverancier goed beveiligd?' De betere vraag is: 'Hoe afhankelijk waren wij eigenlijk van deze leverancier, en hoe snel kunnen wij handelen als het misgaat?'

Daar zit voor veel organisaties nog steeds een blinde vlek. Vendor risk assessments worden vaak als inkoopdocument behandeld, niet als levend onderdeel van security- en governancebeleid. Maar incidenten als deze laten zien dat leveranciersrisico gewoon bedrijfsrisico is geworden.

Wat Nederlandse organisaties hiervan moeten leren

Ook als je niets met onderwijs te maken hebt, is deze case relevant. Vrijwel iedere organisatie gebruikt vandaag platforms die diep in de dagelijkse operatie zitten: collaboration suites, HR-systemen, CRM's, ticketingplatforms, awarenessplatforms, cloudbeheertools of AI-diensten. Zodra één daarvan wordt geraakt, raak je niet alleen data kwijt, maar mogelijk ook grip.

De belangrijkste lessen zijn daarom praktisch:

Ten eerste: kijk niet alleen naar waar data staat, maar ook naar waar communicatie en procescontext samenkomen. Daar zit vaak de hoogste gevoeligheid.

Ten tweede: behandel leveranciers met een grote operationele rol als onderdeel van je eigen aanvalsoppervlak. Niet als 'externe partij', maar als verlengstuk van je kernproces.

Ten derde: zorg dat incidentrespons niet stopt bij je eigen omgeving. Je moet ook weten wat je doet als de verstoring of het datalek bij een platformleverancier zit.

Ten vierde: maak duidelijk welke data een leverancier echt verwerkt, bewaart en zichtbaar maakt. Veel organisaties weten dat pas goed zodra er een incident is.

Waarom dit óók een governanceverhaal is

De neiging bestaat om dit soort nieuws als puur technisch cybernieuws te lezen. Maar in werkelijkheid is dit net zo goed een governancevraag.

Wie mag zo'n platform inkopen? Wie toetst de risico's? Wie bepaalt welke data erin mag? Wie monitort contractueel en operationeel wat een leverancier wel of niet doet? En wie communiceert met gebruikers zodra er onduidelijkheid ontstaat over impact?

Dat zijn geen vragen voor alleen IT. Dat zijn vragen voor security, privacy, procurement, bestuur en operatie tegelijk.

Precies daarom zien wij bij Flowerbed dat moderne security steeds minder draait om losse producten en steeds meer om samenhang: leveranciersrisico, toegangsbeheer, awareness, logging, governance en incidentrespons moeten op elkaar aansluiten. Anders ontdek je pas bij een groot incident waar de echte afhankelijkheden zaten.

Onze conclusie

De aanval op Canvas is niet alleen groot vanwege het mogelijke aantal slachtoffers. Hij is vooral belangrijk omdat hij pijnlijk duidelijk maakt hoe kwetsbaar organisaties worden zodra één digitale leverancier diep in primaire processen zit.

Of uiteindelijk alle geclaimde aantallen volledig bevestigd worden of niet, doet weinig af aan die hoofdles. De impact zit al in wat wél vaststaat: een breed gebruikt onderwijsplatform is geraakt, persoonsgegevens en gebruikersberichten zijn buitgemaakt, en instellingen moeten nu onder tijdsdruk uitzoeken wat dit voor hun eigen omgeving betekent.

Voor organisaties in alle sectoren is dat de echte waarschuwing. Het volgende grote incident hoeft niet je eigen firewall te passeren om toch jouw probleem te worden.

Hoe goed ken jij je eigen ketenrisico?

Wil je weten hoe afhankelijk jouw organisatie echt is van SaaS-, cloud- en platformleveranciers, en waar de grootste ketenrisico's zitten? Plan dan een afspraak met Flowerbed engineering. Dan brengen we samen in kaart waar vendor risk, governance en security in jouw omgeving als eerste volwassen moeten worden.