Jouw organisatie hoeft zelf niks fout te doen om slachtoffer te worden van een cyberaanval. De hack op Canvas bewijst het opnieuw.
In mei 2026 sloeg de beruchte hackergroep ShinyHunters toe bij Instructure, de Amerikaanse aanbieder van het populaire leerplatform Canvas. Het resultaat: data van 275 miljoen studenten, docenten en medewerkers wereldwijd buitgemaakt — waaronder gegevens van 44 Nederlandse onderwijsinstellingen. Namen, e-mailadressen, studentnummers en privéberichten. Allemaal gestolen, zonder dat de instellingen zelf ook maar één fout hadden gemaakt.
Getroffen instellingen in Nederland: Universiteit van Amsterdam, VU Amsterdam, Erasmus Universiteit Rotterdam, TU Delft, Universiteit Utrecht, Maastricht University en meer.
Wat is ketensecurity en waarom is het zo lastig?
Ketensecurity — ook wel supply chain security — gaat over de digitale risico’s die binnenkomen via jouw leveranciers, partners en softwareleveranciers. Je organisatie gebruikt tientallen, soms honderden externe systemen en diensten. Elk van die systemen is een potentieel toegangspunt voor aanvallers.
Het probleem: jij hebt geen controle over de beveiliging van die leveranciers. Jij kunt je eigen systemen perfect op orde hebben en toch getroffen worden — simpelweg omdat een partij in jouw keten dat niet deed.
Dit speelt niet alleen in het onderwijs
Denk aan de softwareleverancier die toegang heeft tot jouw administratiesysteem. De cloudprovider die jouw klantdata beheert. De IT-partner die op afstand support levert. De HR-tool met gegevens van al je medewerkers. Stuk voor stuk schakels in een keten die je maar gedeeltelijk in de hand hebt.
En het risico groeit. Aanvallers weten dat grote organisaties hun eigen beveiliging steeds beter op orde hebben. Dus richten ze zich steeds vaker op de zwakkere schakels in de keten — kleine leveranciers, subverwerkers, externe platforms.
Wat kun je nu al doen?
– Breng je leveranciersketen in kaart. Welke externe partijen hebben toegang tot jouw systemen of data? Maak dit overzichtelijk.
– Stel beveiligingseisen aan leveranciers. Vraag naar certificeringen (ISO 27001), beleid rondom incidentrespons en dataverwerkingsovereenkomsten.
– Beperk toegang tot wat nodig is. Geef leveranciers alleen toegang tot systemen en data die ze echt nodig hebben — niet meer.
– Houd contracten actueel. Verwerkersovereenkomsten moeten aansluiten op de huidige situatie, inclusief NIS2-verplichtingen rond de toeleveringsketen.
– Test je eigen weerbaarheid. Een pentest of security assessment geeft inzicht in hoe aanvallers jouw organisatie via externe partijen kunnen bereiken.
Van incident naar inzicht
De Canvas-hack is pijnlijk voor de getroffen instellingen — maar het is ook een kans voor elke andere organisatie om de vraag te stellen: hoe kwetsbaar zijn wij via onze leveranciers? Niet als theoretische oefening, maar als concrete actie.
Digitale weerbaarheid stopt niet bij jouw eigen firewall. Het begint bij het begrijpen van de keten waar jij deel van uitmaakt.
Hoe BOEM je helpt
BOEM Cybersecurity helpt organisaties hun leveranciersketen in kaart te brengen en de grootste risico’s aan te pakken — van een Security Assessment tot begeleiding bij NIS2-compliance rondom ketensecurity. Praktisch, zonder omhaal.
Wil je weten hoe kwetsbaar jouw organisatie is via externe partijen? Neem contact op met BOEM.
