Kinderdossiers van Jeugdzorg uitgelekt

De datalekkende instantie heeft in 2015 zijn naam veranderd van Bureau Jeugdzorg Utrecht naar Samen Veilig Midden-Nederland (SAVE). De website op de oude naam is drie jaar na deze naamsverandering offline gegaan. Normaliter zou dit dan beveiligd worden afgesloten om misbruik te voorkomen, schrijft RTL Nieuws. Het blijkt echter dat dit niet is gebeurd. Het verlengen van de registratie voor de oude domeinnaam, wat ongeveer 10 euro per jaar kost, is niet gedaan. Hierdoor kon iedereen deze website overnemen.

Automatisch en in plain-text

Geautomatiseerde en onbeveiligde verzending van patiëntendossiers blijkt ook nog via dat oude webdomein te verlopen. Iemand die de verlopen naam claimt, kan daardoor beschikken over al die informatie. Twee klokkenluiders hebben dit gedaan en zijn vervolgens met die gevoelige informatie naar de pers gegaan. Zij willen waarschuwen voor de gevaren van verlopen websitedomeinen binnen de zorgsector, meldt RTL Nieuws. Er zouden namelijk nog tientallen soortgelijke organisaties zijn waarvan de oude domeinnaam is verlopen en niet geblokkeerd. Websites en mails zouden daar door kwaadwillenden zijn over te nemen.

In het geval van Bureau Jeugdzorg Utrecht zijn dossiers in plain-text verzonden, wat dus volledige inzage geeft in informatie over psychische stoornissen, seksueel misbruik, zelfmoordpogingen, verwaarlozing door ouders, en meer. Dit alles compleet met volledige namen en geboortedata. De aan RTL Nieuws aangeleverde betanden betreffen 3278 dossiers van 2702 kinderen. Ongeveer driekwart van die jongeren is niet ouder dan achttien jaar.

Kwetsbare gezinnen

SAVE (voorheen Bureau Jeugdzorg Utrecht) reageert tegenover RTL Nieuws geschrokken. "Dit is het ergste wat ons kan overkomen", zegt bestuurder Paul Janssen. "We werken met kwetsbare gezinnen die verwachten dat ze bij ons in veilige handen zijn. Het spijt me dat we dat niet hebben waargemaakt, en ik wil oprecht mijn excuses aanbieden omdat ze zich bij ons vertrouwd voelden."

De twee klokkenluiders zijn geschokt over de slordige omgang met de zeer gevoelige zorgdossiers. Bestuurder Janssen spreekt van 'een achterstand' die SAVE heeft opgelopen. Hij stelt dat het lek is gedacht, dat een onderzoek is ingesteld en dat er extern advies is ingewonnen. "We gaan direct ons securitybeleid aanpassen. Ik baal echt als een stekker."

De zorgorganisatie gaat alle betrokken personen informeren en heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Die toezichthouder laat aan RTL Nieuws weten dat goede zorg ook zorgvuldige omgang met persoonsgegevens van patiënten omvat. "Zeker ook als het zulke kwetsbare kinderen betreft", aldus woordvoerster Pauline Gras van de AP.