Nieuws 08 mei 2026

Universiteiten getroffen door cyberaanval, VU koppelt systemen los

Zeven Nederlandse universiteiten zijn geraakt door een cyberaanval op Instructure, het bedrijf achter onderwijssoftware Canvas. De VU in Amsterdam heeft de eigen systemen die met Canvas in verbinding staan losgekoppeld.

Koepelorganisatie Universiteiten van Nederland (UNL) geeft aan dat het gaat om de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam, de Erasmus Universiteit Rotterdam, Tilburg University, de Technische Universiteit Eindhoven, Universiteit Maastricht en Universiteit Twente.

Volgens de universiteiten heeft Instructure laten weten dat hun Canvas-omgevingen zijn getroffen. UNL stelt dat de getroffen onderwijsinstellingen nog niet zijn benaderd voor losgeld door de hackers, een groep die zichzelf ShinyHunters noemt.

Basisgegevens gelekt

UNL meldt verder dat volgens de huidige informatie van Instructure "basisgegevens" van studenten en medewerkers zijn gelekt, zoals namen en e-mailadressen. Er zouden geen wachtwoorden, geboortedata, identiteitsbewijzen, bankgegevens of andere bijzondere persoonsgegevens zijn gestolen.

"Universiteiten vragen Canvasgebruikers ook niet om persoonsgegevens in Canvas te registreren", meldt UNL. "Er kan niet worden uitgesloten dat er berichtenverkeer binnen Canvas is betrokken bij het lek."

De universiteiten waarschuwen dat de gestolen data kunnen worden gebruikt voor phishing en vragen om extra alert te zijn op verdachte berichten, bijvoorbeeld e-mails die onverwacht binnenkomen of mails waarin gevraagd wordt om persoonlijke gegevens.

VU koppelt systemen los

De Limburgse universiteit en de Universiteit van Amsterdam stellen dat hun Canvas-omgevingen weer veilig te gebruiken zijn. Maar de Vrije Universiteit Amsterdam heeft alle systemen die in verbinding staan met onderwijssoftware Canvas losgekoppeld.

"ShinyHunters heeft in de Canvas-omgeving een bericht geplaatst dat ze opnieuw of nog steeds toegang hebben", aldus VU Amsterdam in een update op de eigen site. "Ze dreigen met het publiek maken van de gestolen data."

Melding bij AP

De VU koppelde uit voorzorg de systemen los en deed een melding bij de Autoriteit Persoonsgegevens. De loskoppeling heeft mogelijk gevolgen voor het geven en volgen van onderwijs, schrijft de universiteit.

Volgens UNL hebben alle betrokken universiteiten het datalek gemeld bij de Autoriteit Persoonsgegevens. De cyberaanval op Instructure zorgt ook in andere landen voor problemen. Volgens Instructure heeft Canvas wereldwijd meer dan dertig miljoen gebruikers.

Update: ook UvA losgekoppeld

Kort na publicatie werd bekend dat Canvas voorlopig ook is afgesloten voor alle UvA-medewerkers en -studenten. "Helaas krijgen we maar heel weinig concrete informatie van Instructure. Daarom kunnen we nog niet vaststellen of/welke informatie buit gemaakt is en hebben we Canvas afgesloten tot we zeker weten dat het programma weer veilig gebruikt kan worden", zo meldt de UvA.