Hogeschool Utrecht herstelt Canvas na cyberaanvallen: lesrooster verstoord
De Hogeschool Utrecht (HU) verwacht vrijdag het lesprogramma te hervatten na twee cyberaanvallen op de onderwijsplatform Canvas. Het incident onderstreept groeiende risico's voor onderwijsinstellingen en bedrijven die afhankelijk zijn van cloudgebaseerde systemen.
De Hogeschool Utrecht (HU) hoopt vrijdag de onderwijssoftware Canvas weer in bedrijf te stellen na twee cyberaanvallen die het platform onbruikbaar maakten. Een woordvoerder van de hogeschool bevestigde zaterdag 16 mei dat het herstel in volle gang is en dat een definitief besluit over de herstart later die dag zou worden genomen. Het incident heeft het lesrooster van duizenden studenten verstoord en werpt vragen op over de cyberweerbaarheid van Nederlandse onderwijsinstellingen.
Canvas is een leerplatform dat door veel hogescholen en universiteiten in Nederland wordt gebruikt voor het beheren van cursussen, opdrachten, cijfers en communicatie met studenten. Voor HU, met ongeveer 30.000 studenten verdeeld over meerdere campussen in Utrecht, is Canvas een cruciaal systeem. Zonder toegang kunnen docenten geen materiaal delen, kunnen studenten geen opdrachten inleveren en kunnen examens niet worden afgenomen. Een uitval van enkele dagen heeft dus directe gevolgen voor het onderwijs.
De exacte aard van de twee aanvallen is niet volledig openbaar gemaakt. Cyberaanvallen op onderwijsinstellingen kunnen verschillende vormen aannemen: ransomware (waarbij hackers bestanden versleutelen en losgeld eisen), DDoS-aanvallen (waarbij servers worden overspoeld met verzoeken), datalekken (waarbij gevoelige informatie wordt gestolen) of inbreuken op accounts. Gegeven dat Canvas volledig onbeschikbaar was, lijkt het waarschijnlijk om een ransomware-aanval of ernstige DDoS-aanval te gaan. HU heeft niet bekendgemaakt of losgeld is geΓ«ist of betaald.
De timing van het incident is opmerkelijk. Half mei, in de aanloop naar examens en het einde van het academische jaar, is een kritiek moment voor onderwijsinstellingen. Veel studenten gebruiken Canvas intensief om examenmateriaal te downloaden, laatste vragen te stellen aan docenten en eindopdrachten in te leveren. Een uitval van enkele dagen kan leiden tot vertraging van examens, stress bij studenten en extra werk voor docenten die alternatieve communicatiekanalen moeten inzetten.
HU heeft niet gemeld hoeveel studenten en docenten zijn getroffen of welke financiΓ«le schade het incident heeft veroorzaakt. Onderwijsinstellingen hebben doorgaans geen publieke communicatie over cyberincidenten, omdat zij voorzichtig willen zijn met gevoelige informatie en niet willen paniek zaaien. Wel is duidelijk dat het incident aanzienlijke operationele verstoringen heeft veroorzaakt.
Groeiende cyberdreigingen voor onderwijsinstellingen
De aanval op HU is geen geΓ―soleerd incident. Onderwijsinstellingen wereldwijd worden steeds vaker het doelwit van cyberaanvallen. Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waren hogescholen en universiteiten in 2024 en 2025 verantwoordelijk voor ongeveer 15 tot 20 procent van alle gemelde cyberincidenten in de VS. In Europa is het beeld vergelijkbaar.
In Nederland hebben meerdere onderwijsinstellingen in de afgelopen jaren cyberincidenten meegemaakt. De Universiteit van Amsterdam (UvA) werd in 2022 getroffen door een ransomware-aanval. De Universiteit Utrecht (UU) had in 2023 problemen met ongeautoriseerde toegang tot studentengegevens. De Hanzehogeschool in Groningen ondervond in 2024 verstoringen door een DDoS-aanval. Deze incidenten tonen aan dat cyberrisico's voor het Nederlandse hoger onderwijs reΓ«el en toenemend zijn.
Waarom zijn onderwijsinstellingen aantrekkelijk doelwitten? Ten eerste bezitten zij grote hoeveelheden gevoelige persoonlijke gegevens: namen, adressen, burgerservicenummers, bankgegevens en medische informatie van studenten en medewerkers. Ten tweede gebruiken zij vaak oudere IT-systemen die niet optimaal zijn beveiligd. Ten derde hebben veel instellingen beperkte IT-budgetten en kunnen zij niet altijd even snel beveiligingsupdates doorvoeren. Ten vierde zijn onderwijsinstellingen vaak niet-commercieel en hebben zij minder financiΓ«le middelen dan bedrijven om in cyberbeveiliging te investeren.
Ransomware-aanvallen zijn bijzonder lucratief voor criminelen. Hackers versleutelen kritieke systemen en eisen losgeld in ruil voor de decryptie-sleutel. Voor onderwijsinstellingen is het dilemma moeilijk: betalen betekent dat criminelen worden gefinancierd en dat toekomstige aanvallen waarschijnlijker worden, maar niet betalen kan betekenen dat systemen weken of maanden onbeschikbaar blijven. Veel instellingen kiezen uiteindelijk voor betaling, hoewel dit niet altijd garandeert dat de sleutel werkt of dat gestolen gegevens niet alsnog openbaar worden gemaakt.
Afhankelijkheid van cloudplatformen
Het incident bij HU illustreert ook een bredere trend: onderwijsinstellingen zijn steeds afhankelijker van cloudgebaseerde platforms. Canvas is een cloudservice van het Amerikaanse bedrijf Instructure. Dit biedt voordelen: geen dure servers ter plaatse, automatische updates, schaalbare capaciteit. Maar het betekent ook dat de veiligheid van het systeem afhankelijk is van de beveiligingsmaatregelen van Instructure en van de netwerkverbinding van HU.
Wanneer Canvas uitvalt, kunnen HU en andere gebruikers niet zelf het probleem oplossen. Zij moeten wachten tot Instructure het systeem herstelt. Dit kan uren of dagen duren, afhankelijk van de ernst van het incident. Voor kritieke systemen is deze afhankelijkheid risicovol. Veel onderwijsinstellingen hebben daarom noodplannen: offline onderwijsmaterialen, alternatieve communicatiekanalen, en procedures voor het afnemen van examens zonder digitale systemen.
HU heeft waarschijnlijk dergelijke noodplannen, maar de communicatie hierover naar studenten en docenten is niet openbaar gemaakt. Dit is een gemiste kans: transparantie over hoe de hogeschool omgaat met cyberincidenten kan vertrouwen vergroten en studenten en docenten helpen hun eigen planning aan te passen.
Gevolgen voor studenten, docenten en bedrijven
Voor studenten van HU betekent de uitval van Canvas directe gevolgen. Zij kunnen geen opdrachten inleveren, geen feedback van docenten ontvangen en geen examenmateriaal downloaden. Dit kan leiden tot vertraging van hun studie, stress en onzekerheid over deadlines. Studenten die dicht bij hun afstuderen staan, kunnen extra onder druk komen te staan.
Voor docenten betekent het incident extra werk. Zij moeten alternatieve manieren vinden om met studenten te communiceren, bijvoorbeeld via e-mail, Teams of fysieke bijeenkomsten. Dit is tijdrovend en kan leiden tot miscommunicatie. Docenten moeten ook voorzichtig zijn met het delen van gevoelige informatie via onbeveiligde kanalen.
Voor HU als organisatie betekent het incident reputatieschade. Studenten en hun ouders kunnen zich afvragen of HU voldoende in cyberbeveiliging investeert. Dit kan invloed hebben op inschrijvingen en het imago van de hogeschool. Ook kunnen er juridische gevolgen zijn als persoonlijke gegevens zijn gelekt.
Breder gezien onderstreept het incident het belang van cyberbeveiliging voor alle organisaties die afhankelijk zijn van digitale systemen. Dit geldt niet alleen voor onderwijsinstellingen, maar ook voor bedrijven, ziekenhuizen, overheidsinstellingen en andere kritieke infrastructuur. De Nederlandse regering heeft cyberbeveiliging aangemerkt als een prioriteit, maar veel organisaties hinken nog achter met het implementeren van basale beveiligingsmaatregelen.
Vooruitzicht en lessen
HU verwacht Canvas vrijdag weer in bedrijf te stellen. Dit geeft de hogeschool enkele dagen om het systeem te herstellen, back-ups te controleren en ervoor te zorgen dat geen gegevens verloren zijn gegaan. Na de herstart zal HU waarschijnlijk een onderzoek instellen naar hoe de aanvallen hebben kunnen plaatsvinden en welke beveiligingsmaatregelen kunnen worden verbeterd.
Voor andere Nederlandse onderwijsinstellingen is het incident een waarschuwing. Cyberbeveiliging mag niet als een IT-probleem worden gezien, maar als een strategisch risico dat aandacht van het management en voldoende budget vereist. Dit omvat regelmatige beveiligingsupdates, medewerkerstraining, back-upstrategieΓ«n, en noodplannen voor crisissituaties.
De Hogeschool Utrecht zal ook moeten nadenken over redundantie: het hebben van back-upsystemen en alternatieve platforms zodat onderwijs kan doorgaan als Canvas uitvalt. Dit vereist investeringen, maar is essentieel voor de continuΓ―teit van het onderwijs.
De aanval op HU is een herinnering dat cyberrisico's reΓ«el zijn en dat organisaties voortdurend alert moeten blijven. Voor onderwijsinstellingen, bedrijven en overheid geldt: investeer in cyberbeveiliging voordat het te laat is.
