Ga direct naar inhoud
Profielen | Profielen translated
14 juli 2026

Zwart logo Profielen

Onafhankelijk nieuws van de Hogeschool Rotterdam

Gegevens van miljoenen studenten gestolen, ook uit Nederland

Gepubliceerd: 7 May 2026 • Leestijd: 2 minuten en 18 seconden • Nieuws

Bij een hack zouden de gegevens van wereldwijd 275 miljoen Canvasgebruikers zijn buitgemaakt. Als de maker van de onderwijssoftware geen losgeld betaalt, dreigen de hackers een deel van de gegevens openbaar te maken.

Namen, emailadressen, studentnummers en de correspondentie tussen studenten en docenten zouden zijn buitgemaakt bij een hack op het Amerikaanse Instructure, de maker van Canvas. Dat maakte het bedrijf afgelopen vrijdag bekend.

Hackersgroep ShinyHunters, eerder betrokken bij de grote Odido-inbraak, heeft de hack opgeëist en beweert de gegevens van 275 miljoen studenten, docenten en andere gebruikers in handen te hebben. Daar zitten ook Nederlandse studenten tussen, claimt de groep.

Zeker negen Nederlandse instellingen

Docenten van zeker zeven Nederlandse universiteiten en twee hogescholen gebruiken Canvas om bijvoorbeeld lesstof en opdrachten te delen met studenten. Het gaat om de twee Amsterdamse universiteiten, de Erasmus Universiteit, Tilburg University, de Universiteit Maastricht, de Universiteit Twente en de TU Eindhoven, en om de Hogeschool Utrecht en Fontys.

De Hogeschool Rotterdam maakt gebruik van Brightspace, niet van Canvas. Een woordvoerder laat weten dat er tussen 2018 en 2022 wel een pilot geweest is met het gebruik van Canvas bij een paar opleidingen van IGO.

Ongeveer 1.000 (oud-)studenten en 100 (oud-)medewerkers die hiermee hebben gewerkt, hebben vandaag een mail gekregen hierovermet de mededeling dat niet is uit te sluiten dat er gegevens uit die pilot zijn ingezien of misbruikt. Er wordt uitgelegd om welke gegevens het gaat en welke acties de HR heeft ondernomen. En ondanks dat er geen aanwijzingen zijn voor misbruik van de gegevens, adviseert de HR de betrokkenen toch extra alert te zijn.

Roosters, cijfers, berichten

Studenten kunnen op Canvas hun roosters of cijfers bekijken. Ook kunnen ze binnen de Canvasomgeving berichten sturen naar klasgenoten of docenten. Al die gegevens (maar niet de wachtwoorden) zouden in handen zijn van de hackers.

Nieuwsbrief

Hoe ShinyHunters de data van zoveel instellingen kon bemachtigen is nog niet bekend. Instructure moet uiterlijk vandaag (woensdag) losgeld betalen, anders dreigen de hackers de studentgegevens openbaar te maken. Dat deed de hackgroep begin dit jaar ook met de gegevens van Odido-klanten toen het telecombedrijf niet de gewenste één miljoen euro betaalde.

Wereldwijd in gebruik

Het Amerikaanse Instructure bestaat sinds 2008. Het learning management system Canvas is de belangrijkste activiteit van het bedrijf. Wereldwijd maken zo’n negenduizend onderwijsinstellingen er gebruik van. In 2024 werd Instructure voor 4,8 miljard dollar opgekocht door investeringsfonds KKR.

Kenmerkend aan Canvas is dat de software niet op de servers van universiteiten en hogescholen zelf draait, maar op servers van Amazon’s AWS. Instellingen krijgen een eigen login, maar verder beheert Instructure de software en de data.

In principe zijn de gegevens van de ene onderwijsinstelling streng gescheiden van andere instellingen, blijkt uit een privacy-APK die IT-coöperatie SURF vorig jaar uitvoerde. Maar dat heeft kennelijk niet kunnen voorkomen dat de hackers de gegevens van miljoenen gebruikers konden stelen.

Onderhandelen

Volgens BNR zou ShinyHunters nu ook onderwijsinstellingen oproepen om individueel met de hackers te onderhandelen over losgeld, zodat hun gegevens binnenskamers blijven. Dat zou erop kunnen wijzen dat Instructure geen losgeld wil betalen. BNR verwijst overigens naar 44 getroffen Nederlandse onderwijsinstellingen, maar dat aantal lijkt niet te kloppen. Enkele van de genoemde instellingen gebruiken geen Canvas.

De Universiteit Twente zegt in een bericht aan gebruikers dat het niet precies weet welke gegevens zijn gestolen. Na een update van de software dit weekend zouden studenten en docenten Canvas wel weer veilig kunnen gebruiken. Dat laatste geldt ook voor de Universiteit Maastricht, zegt een woordvoerder.

Tekst: HOP, Olmo Linthorst/Redactie Profielen

LinkedIn LogoProfielen is ook actief op LinkedIn. Volg ons, blijf op de hoogte en praat mee over actuele onderwerpen.

Recente artikelen

Recente reacties

Reacties

Laat een reactie achter

Comments are closed.

Spelregels

De redactie waardeert het als je onder je eigen naam reageert.

  1. Comments worden door de redactie gemodereerd. 's Avonds en in het weekend gebeurt dat niet standaard, en kan het dus langer duren voor je opmerking online komt.
  2. Houd het netjes, beschaafd, vriendelijk en respectvol. Niet vloeken of schelden.
  3. Dwaal niet af van het onderwerp (blijf ‘on topic’).
  4. Wees kort, duidelijk en maak een punt.
  5. Gebruik argumenten, geen uitroepen.
  6. Geen commerciële boodschappen.
  7. Niet op de persoon spelen.
  8. Niet discrimineren, aanzetten tot haat of oproepen tot geweld (ook niet voor de grap).
  9. Van bezoekers die een reactie achterlaten op de site wordt automatisch het IP-adres opgeslagen.
  10. De redactie geeft reacties die dreigende taal bevatten door aan de veiligheidscoördinator van de Hogeschool Rotterdam.

Lees hier alle details over onze spelregels.

Aanbevolen door de redactie

Back to Top