PrivacyTeam033 200 30 83
Inloggen

Grootschalig datalek bij Canvas-leverancier raakt universiteiten wereldwijd

Grootschalig datalek bij Canvas-leverancier raakt universiteiten wereldwijd

Diverse Nederlandse en Amerikaanse universiteiten hebben studenten en medewerkers gewaarschuwd naar aanleiding van een grootschalig datalek bij Instructure, de leverancier achter het onderwijsplatform Canvas. Canvas wordt wereldwijd gebruikt door onderwijsinstellingen voor digitale leeromgevingen, communicatie, opdrachten en toetsing.

Volgens de huidige berichtgeving heeft een hackersgroep toegang verkregen tot persoonsgegevens van studenten en medewerkers van duizenden onderwijsinstellingen wereldwijd. Onder meer namen, e-mailadressen, studentnummers en mogelijk berichtenverkeer binnen Canvas zouden onderdeel uitmaken van het datalek. Instructure heeft bevestigd dat sprake is van een cybersecurity-incident en meerdere onderwijsinstellingen hebben inmiddels bevestigd dat ook hun gegevens mogelijk betrokken zijn bij het incident.

Universiteiten van Nederland (UNL) heeft aangegeven dat bij zeven Nederlandse universiteiten gegevens van studenten en medewerkers zijn geraakt. Op basis van de huidige informatie gaat het om basisgegevens zoals namen, e-mailadressen en mogelijk Canvas-ID’s of student- en medewerkersnummers.

Internationaal wordt gesproken over mogelijk honderden miljoenen getroffen gebruikers en duizenden onderwijsinstellingen wereldwijd. Diverse media melden dat de hackersgroep ShinyHunters verantwoordelijkheid voor de aanval heeft opgeëist. Ook zouden delen van de infrastructuur tijdelijk zijn verstoord en is sprake geweest van dreiging met openbaarmaking van gegevens.

Hoewel Instructure heeft aangegeven dat er vooralsnog geen aanwijzingen zijn dat wachtwoorden, financiële gegevens of officiële identificatienummers zijn buitgemaakt, onderstreept het incident opnieuw de grote afhankelijkheid van onderwijsinstellingen van centrale cloud- en SaaS-platformen.

Vanuit privacy- en informatiebeveiligingsperspectief laat het incident meerdere aandachtspunten zien:

  • onderwijsinstellingen blijven verantwoordelijk voor de beveiliging en rechtmatige verwerking van persoonsgegevens, ook wanneer gebruik wordt gemaakt van externe leveranciers;
  • grootschalige gecentraliseerde onderwijsplatformen vormen aantrekkelijke doelwitten voor cyberaanvallen;
  • leveranciersrisico’s en ketenafhankelijkheden dienen expliciet te worden meegenomen in DPIA’s en leveranciersbeoordelingen;
  • dataminimalisatie en bewaartermijnen blijven essentieel, juist bij leerplatformen waarin grote hoeveelheden communicatie- en gebruikersgegevens worden verwerkt;
  • transparante incidentcommunicatie richting studenten en medewerkers is van groot belang bij dergelijke grootschalige datalekken.

Daarnaast benadrukt dit incident het belang van periodieke herbeoordeling van verwerkers en subverwerkers. In de praktijk wordt bij cloud- en onderwijsplatformen vaak sterk vertrouwd op contractuele afspraken en certificeringen, terwijl de feitelijke impact van een incident zich tegelijkertijd over duizenden organisaties kan uitstrekken.

Voor onderwijsinstellingen kan dit aanleiding zijn om opnieuw kritisch te kijken naar:

  • de gegevens die daadwerkelijk binnen leerplatformen worden verwerkt;
  • welke gegevens langdurig worden opgeslagen;
  • welke externe partijen toegang hebben tot gegevens;
  • de inrichting van logging, monitoring en incidentrespons;
  • de wijze waarop leveranciersrisico’s binnen DPIA’s en IBP-processen worden beoordeeld.

Het incident laat daarmee opnieuw zien dat cyberveiligheid binnen het onderwijs niet uitsluitend een technisch vraagstuk is, maar nadrukkelijk ook een governance- en privacyvraagstuk blijft.

Naar het overzicht