Stappenplan moet datalek na verlopen domeinnaam voorkomen

In de handreiking wordt in stappen uitgelegd wat organisaties moeten doen als een domeinnaam wordt afgestoten. Domeinnamen die door de eigenaar niet worden verlengd, komen na 40 dagen automatisch weer vrij. Dan kan de domeinnaam worden geregistreerd door ieder willekeurig persoon. Dat kan datalekken, imagoschade of financiële schade tot gevolg hebben. Mail- en ander dataverkeer wat naar of via het verlopen domein gaat, komt dan immers in handen van derden.

Het stappenplan om dit tegen te gaan bestaat uit een drietal fases. Eerst is er het verkrijgen van inzicht welke domeinnamen er nog zijn, dan is er het maken van afspraken over het behoud van de domeinnamen, en uiteindelijk is er het goed afbouwen van de activiteiten rondom een domeinnaam. Advies is om een domeinnaam nog tenminste 10 jaar vast te houden, met de voorwaarde dat er minstens een jaar geen netwerkverkeer overheen loopt. Dat laatste moet een organisatie dus monitoren.

Door naamswijziging

In 2019 ontdekte RTL Nieuws via klokkenluiders dat het mogelijk was om een verlopen domeinnaam van Bureau Jeugdzorg Utrecht te registreren. Deze instantie had in 2015 de naam veranderd van Bureau Jeugdzorg Utrecht naar Samen Veilig Midden-Nederland (SAVE). De website op oude naam ging offline en de domeinnaam werd niet verlengd.

Daarmee was het oude domein echter niet volledig in ongebruik geraakt. Dossiers van cliënten werden namelijk geautomatiseerd - en ook nog eens onbeveiligd - verstuurd naar mailadressen (met de oude domeinnaam) van werknemers. Zo kreeg de Nederlandse nieuwssite dus dossiers van kwetsbare kinderen in handen.

Politiedomein

Dit was niet het enige lek bij een jeugdzorginstantie, bleek uit een brief van toenmalig minister Hugo de Jonge van Volksgezondheid. Ook andere zorginstellingen maakten te fout. In 2017 ging ook de politie de fout in.