Datalek bij Jeugdzorg: dossiers van duizenden kwetsbare kinderen gelekt

Datalek, hack

Bureau Jeugdzorg Utrecht heeft te maken met een groot datalek. Door een fout werden 3278 dossiers van 2702 kinderen gelekt. Dat meldt RTL Nieuws op basis van eigen onderzoek. Ongeveer tweederde van de getroffen kinderen is minderjarig, een kwart is jonger dan twaalf.

De fout heeft te maken met een domeinnaam van Bureau Jeugdzorg Utrecht. In 2015 werd de naam van de organisatie veranderd in Samen Veilig Midden-Nederland (SAVE), wat betekent dat ook de domeinnaam werd aangepast. De oude domeinnaam werd drie jaar later offline gehaald. Om misbruik te voorkomen, had de URL beveiligd moeten worden afgesloten.

Dit bleek echter niet te zijn gebeurd. De organisatie verlengde de domeinnaam simpelweg niet, waardoor iedereen de website over kon nemen. En dat is waar het fout ging. Jeugdzorg mailt namelijk dossiers van patiënten onbeveiligd en geautomatiseerd naar werknemers, ook naar e-mailadressen die nog gekoppeld zijn aan de oude website.

Al die informatie bleek op te vangen door de domeinnaam te registreren. Dat is wat twee klokkenluiders gedaan hebben, die het datalek vervolgens bij RTL Nieuws meldden. De problemen hadden voorkomen kunnen worden als Jeugdzorg de domeinnaam voor 10 euro per jaar had verlengd.

Gevoelige informatie

De dossiers blijken zeer gevoelige informatie te bevatten over de kinderen. Denk bijvoorbeeld aan informatie over hun psychische stoornissen, details over seksueel misbruik en zelfmoordpogingen. De dossiers bevatten de volledige namen en geboortedata van de slachtoffers, waardoor ze eenvoudig te vinden zijn.

Ook werden er interne e-mails van Jeugdzorg gelekt, evenals tweehonderd voicemailberichten. Jeugdzorg heeft inmiddels zijn excuses aangeboden aan de slachtoffers. Ook gaat het de slachtoffers op de hoogte stellen en heeft het het datalek bij de Autoriteit Persoonsgegevens gemeld. Het lek is gedicht.

De klokkenluiders stellen echter dat er nog tientallen soortgelijke organisaties zijn, die ook een verlopen domeinnaam hebben. Bij hen zou zo’n zelfde soort datalek dus plaats kunnen vinden, mocht iemand de domeinnaam overnemen.

Foto: Shutterstock.com