6 mei: Stand van zaken datalek leverancier onderwijssoftware Canvas
Actueel
Contact
Universiteiten van Nederland (UNL) is op de hoogte van het beveiligingsincident bij Instructure, de leverancier van onderwijssoftware Canvas. Hierbij zijn gegevens van Canvasgebruikers gestolen. Dit incident heeft wereldwijd plaatsgevonden en raakt naar schatting meer dan negenduizend onderwijsinstellingen, waaronder een aantal in Nederland. De gegevens van medewerkers en studenten van zeven Nederlandse universiteiten zijn volgens Instructure bij het datalek betrokken. Instructure heeft de universiteiten inmiddels formeel op de hoogte gesteld. Ook heeft het bedrijf aangegeven dat de hackers geen toegang meer hebben tot het systeem en dat het aanvullende beveiligingsmaatregelen heeft genomen.
Contact
Op basis van de huidige informatie van Instructure zijn er van de zeven universiteiten basisgegevens van studenten en medewerkers gelekt. Het gaat dan om namen, e-mailadressen en mogelijk Canvas-ID’s of student- en medewerkersnummers. Volgens Instructure zijn er geen wachtwoorden, geboortedata, identiteitsbewijzen, bankgegevens of andere bijzondere persoonsgegevens gelekt. Universiteiten vragen Canvasgebruikers ook niet om persoonsgegevens in Canvas te registreren. Er kan niet worden uitgesloten dat er berichtenverkeer binnen Canvas is betrokken bij het lek. Canvas is operationeel en Instructure geeft aan dat het veilig regulier gebruikt kan worden.
De Nederlandse universiteiten nemen het incident zeer serieus. De betrokken universiteiten hebben hun studenten en medewerkers ingelicht en vragen hen waakzaam te zijn voor mogelijke phishingmails naar aanleiding van het datalek. Daarnaast hebben de universiteiten elk een voorlopige melding gemaakt bij de Autoriteit Persoonsgegevens en staan zij in nauw contact met elkaar en SURF. Verdere stappen worden ondernomen op basis van nadere informatie van Instructure. De universiteiten zijn niet benaderd door de hackers om losgeld te betalen voor de data.
Universiteiten werken met leveranciers als Instructure op basis van strikte contractuele afspraken en beveiligingsstandaarden, om de risico’s zoveel mogelijk te mitigeren, als onderdeel van de UNL-brede cybersecurity aanpak. Instructure beschikt over de vereiste certificeringen en wordt regelmatig getoetst. Tegelijkertijd laat dit incident zien, dat ondanks zorgvuldige maatregelen, risico’s op een hack nooit volledig zijn uit te sluiten.
UNL begrijpt dat de hack vragen kan oproepen bij studenten en medewerkers. Voor specifieke informatie en ondersteuning kunnen zij terecht bij hun eigen universiteit, die hen via de gebruikelijke kanalen op de hoogte houdt van de ontwikkelingen.
Het gaat om de volgende universiteiten:
- Universiteit van Amsterdam
- Vrije Universiteit Amsterdam
- Erasmus Universiteit Rotterdam
- Tilburg University
- Technische Universiteit Eindhoven
- Universiteit Maastricht
- Universiteit Twente
