Cybercriminelen stelen gegevens 275 miljoen studenten: Nederlandse uni's de klos?

maandag, 4 mei 2026 (14:52) - Dagelijkse Standaard

In dit artikel:

Bij een omvangrijke cyberaanval op het onderwijsplatform Canvas (ontwikkeld door het Amerikaanse Instructure) zijn naar schatting 275 miljoen gebruikersgegevens buitgemaakt, stellen veiligheidsonderzoekers: het gaat om namen, e‑mailadressen, studentnummers en privéberichten van studenten, docenten en medewerkers. De hackersgroep ShinyHunters heeft de aanslag opgeëist en zou de data op het dark web verhandelen; die groep werd eerder in verband gebracht met de grote Odido‑hack.

De publicatie hekelt de Nederlandse bestuurlijke en politieke reactie: universiteiten en hogescholen die massaal op Canvas vertrouwen — waaronder Hogeschool Utrecht, Universiteit van Amsterdam, VU Amsterdam, Erasmus Universiteit Rotterdam en Tilburg University — zouden vooralsnog geen concrete informatie hebben ontvangen over of hun eigen bestanden zijn getroffen en reageren volgens de krant uitermate laconiek. Ook wordt de landelijke politiek bekritiseerd wegens wat de auteur ziet als nalatigheid in digitale veiligheid en prioritering van andere controlemaatregelen.

Instructure zegt maatregelen te hebben genomen en het systeem te hebben bijgewerkt, en stelt dat er geen wachtwoorden, geboortedata of financiële gegevens zijn ontvreemd; de krant benadrukt echter dat basisgegevens als naam, e‑mail en studentnummer voor criminelen al voldoende zijn om gerichte phishing, identiteitsfraude en betalingsoplichting uit te voeren. De toon van het artikel is scherp: de auteur ziet de hack als symptoom van structureel falen bij grote instellingen en pleit voor strafrechtelijke consequenties voor organisaties die hun digitale zorgplicht verwaarlozen.

Kort additionele context en advies voor betrokkenen: wanneer instellingen door Canvas getroffen zijn, lopen gebruikers risico op gerichte fraude; het is raadzaam om waakzaam te zijn voor verdachte e‑mails en berichten, multi‑factor authenticatie in te schakelen waar mogelijk, wapens‑gewijs wachtwoorden te vernieuwen (vooral wanneer hetzelfde wachtwoord elders wordt gebruikt) en meldingen van identiteitsfraude direct te rapporteren aan de instelling en de bank. De gebeurtenis onderstreept ook bredere discussiepunten over afhankelijkheid van internationale platforms en de noodzaak van strengere digitale beveiligingsverplichtingen voor onderwijsinstellingen en bedrijven.