Op 8 mei 2026 nam de Vrije Universiteit Amsterdam een ingrijpende maatregel: alle systemen die verbonden zijn met de onderwijssoftware Canvas werden losgekoppeld. De stap volgde op berichten dat hackersgroep ShinyHunters donderdagavond toegang had gekregen tot meerdere Canvas-omgevingen, waarbij ook universiteiten in de Verenigde Staten werden genoemd. In de gehackte omgeving zou een mededeling zijn geplaatst waarin de groep stelt dat zij (nog) toegang hebben en dreigen met het openbaar maken van gestolen gegevens. De VU meldde de situatie en handelde volgens haar eigen protocollen om verdere risico’s te beperken.
De maatregel van de universiteit is bedoeld als voorzorg, maar kan direct zichtbaar worden in het onderwijsproces. Studenten en docenten kunnen hinder ondervinden bij het geven en volgen van colleges, inleveren van opdrachten en raadplegen van cijfers. De VU waarschuwde dat er op korte termijn gevolgen kunnen optreden voor de organisatie van onderwijs en administratie. Tegelijkertijd heeft de instelling contact gezocht met externe partijen en relevante toezichthouders om de mogelijke omvang van de datalekken en de impact te beoordelen.
Wat er volgens de universiteit is gebeurd
De melding verwijst naar een ongewenste toegang tot onderdelen van Canvas, de veelgebruikte digitale leeromgeving. Volgens de universiteit plaatste de hackersgroep een bericht in die omgeving, met de claim dat zij toegang behouden en dat zij mogelijk data zullen publiceren. Dit type incident betekende dat de VU haar systemen tijdelijk heeft losgekoppeld om verdere verspreiding te voorkomen en onderzoek mogelijk te maken. Niet alleen Nederlandse instellingen lijken slachtoffer; ook universiteiten in de Verenigde Staten werden genoemd in berichtgeving over de aanval.
Wie is ShinyHunters?
ShinyHunters is de naam waaronder een groep hackers in het publieke discours bekendstaat. De groep wordt in eerdere incidenten geassocieerd met het buitmaken en soms openbaar plaatsen van gegevens van organisaties. Hier wordt ShinyHunters gebruikt als aanduiding voor de actor achter de beweringen; de precieze motieven en methoden variëren per zaak. Het bestaan van een openbare dreiging tot publicatie van data is voor instellingen reden om snel te isoleren en stappen te nemen volgens standaardprotocollen voor datalekken.
Gevolgen voor onderwijs en privacy
Het direct loskoppelen van systemen kan leiden tot praktische obstakels: cursussen die op Canvas worden beheerd zijn tijdelijk niet beschikbaar, digitale toetsafnames kunnen vertraging oplopen en communicatie via de leeromgeving raakt verstoord. Voor studenten en medewerkers betekent dit mogelijk het missen van deadlines of het tijdelijk niet kunnen inzien van studiemateriaal. Vanuit privacyperspectief is de melding aan de Autoriteit Persoonsgegevens een belangrijke stap, omdat die instantie beoordeelt of er sprake is van een datalek dat gemeld moet worden en welke vervolgmaatregelen nodig zijn.
De rol van de Autoriteit Persoonsgegevens
Wanneer een organisatie melding maakt bij de Autoriteit Persoonsgegevens, start er een formeel traject om te bepalen of persoonsgegevens onrechtmatig zijn verwerkt of openbaar gemaakt. De melding helpt ook bij het afstemmen van maatregelen en het geven van eventuele adviezen over communicatie naar betrokkenen. In dit geval gaf de VU aan dat zij de gebeurtenis heeft gemeld; de AP kan vervolgens toetsen of nadere stappen, zoals waarschuwen van gedupeerden of het opleggen van sancties, noodzakelijk zijn.
Reactie en vervolgstappen van de universiteit
De VU benadrukt dat de loskoppeling een voorzorgsmaatregel is en dat er een onderzoek is gestart om de aard en omvang van de toegang te bepalen. Technische teams werken samen met externe leveranciers van systemen om herstel en veiligheidsverbeteringen te versnellen. Ook is er afstemming met andere getroffen instellingen om informatie uit te wisselen over de aanval. Studenten en medewerkers worden geadviseerd de communicatiekanalen van de universiteit te volgen voor updates en eventuele instructies omtrent wachtwoordwijzigingen of beschermende acties.
Samenvattend blijft de situatie in ontwikkeling: op 8 mei 2026 zette de Vrije Universiteit een reeks maatregelen in werking na een vermeende inbraak in Canvas-omgevingen door ShinyHunters. De korte termijn zal uitwijzen welke onderwijsactiviteiten gedupeerd raken en welke persoonsgegevens mogelijk zijn betrokken; intussen blijft de nadruk liggen op het beperken van verdere schade en het informeren van betrokkenen volgens de regels van de toezichthouder.
