Door een fout bij Jeugdriagg zijn de dossiers van kinderen met veelal ernstige psychische problemen gelekt. Ondanks inspanningen van minister Hugo de Jonge om zorginstellingen beter te beveiligen, lijkt er in anderhalf jaar tijd nauwelijks iets veranderd.
2 oktober 2020 • Nieuws
Groot datalek bij Jeugdriagg: medische dossiers kwetsbare kinderen gelekt
Dat blijkt uit onderzoek van RTL Nieuws. In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
Als deze dossiers op straat komen te liggen en bijvoorbeeld op school worden verspreid, kan dat vreselijke gevolgen hebben voor deze toch al kwetsbare doelgroep, stellen experts. “Zo’n datalek kan consequenties hebben die hen de rest van hun leven achtervolgen”, zegt Simone van der Hof, hoogleraar aan de Universiteit Leiden en gespecialiseerd in digitale kinderrechten.
Jeugdriagg.nl
Kenter Jeugdhulp, dat duizenden gezinnen behandelt, heeft zijn oude website (jeugdriagg.nl) niet beveiligd afgesloten waardoor iedereen de website en de bijbehorende e-mailadressen kon overnemen. RTL Nieuws deed dat en kreeg zo inzage in e-mails die daar nog binnenkwamen, van medische dossiers tot berichten die toegang geven tot hun online systemen.
Het is niet de eerste keer dat op deze manier gevoelige dossiers van kinderen lekken. RTL Nieuws nam in april van vorig jaar de oude website van Jeugdzorg Utrecht over en kreeg op exact dezelfde manier toegang tot duizenden dossiers van veelal minderjarige cliënten. RTL Nieuws is door dezelfde anonieme tipgevers op de hoogte gesteld van dit lek.
Gelekte dossiers
In één van de gelekte dossiers van Kenter Jeugdhulp gaat het om een jongere met autisme die geen aansluiting vindt in de maatschappij. Je leest over de problematiek binnen het gezin, de worsteling met school en medeleerlingen, welke medicatie wordt gebruikt en enkele andere zeer intieme details. Ook alle opnames in ggz-instellingen en verslagen van behandelaren zijn in het dossier te vinden, samen met zijn volledige naam, woonadres en burgerservicenummer.
Door het lek bij Kenter Jeugdhulp kon RTL Nieuws ook toegang krijgen tot de zakelijke cloudomgeving van werknemers, waarin zij samenwerken aan dossiers. Het was ook mogelijk om deel te nemen aan behandelgesprekken over cliënten, die sinds de coronacrisis via Microsoft Teams worden gevoerd. RTL Nieuws heeft beide niet gedaan vanwege de gevoeligheid van de informatie die daar te vinden is.
Toegang tot zorgdatabase
Ook biedt het lek toegang tot de database van Vecozo met daarin de volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. Daar kan per burger worden bekeken bij welke zorgverzekering diegene zit, welke pakketten diegene heeft en wat zijn of haar verzekeringsnummer is. Deze informatie is goud waard voor cybercriminelen, die met deze gegevens identiteitsfraude kunnen plegen of zeer gerichte phishingberichten kunnen sturen.
De toegang tot de Vecozo-database was mogelijk omdat Kenter Jeugdhulp de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde. RTL Nieuws gebruikte een digitale sleutel en het wachtwoord van een medewerker om toegang te krijgen tot de database en vervolgens, met toestemming van de betrokkenen, twee mensen op te zoeken.
Vecozo stelt ‘erg geschrokken’ te zijn en heeft de toegang voor Kenter Jeugdhulp tijdelijk stopgezet.
Team klaarstaan
“We zijn hier echt van geschrokken”, zegt Bert Deitmers, voorzitter van de raad van bestuur bij Kenter Jeugdhulp. “En we betreuren dit zeer. Juist ook omdat we veiligheid van clienten en veilige gegevens in feite hoog in ons vaandel hebben staan.”
Kenter Jeugdhulp zegt een speciaal team te hebben klaarstaan dat vragen van bezorgde gezinsleden kan beantwoorden. Er is tevens melding gedaan bij de Autoriteit Persoonsgegevens.
Kwetsbaar moment
De Autoriteit Persoonsgegevens noemt het datalek een ‘ernstige waarschuwing’ voor organisaties die gevoelige gegevens beheren. “Gegevens over je gezondheid zijn heel erg privé en moeten dat ook blijven”, zegt voorzitter Aleid Wolfsen. “Dat deze dossiers in verkeerde handen zijn gevallen is heel erg en had niet mogen gebeuren.” De Autoriteit Persoonsgegevens gaat om opheldering vragen bij het bestuur van Kenter Jeugdhulp.
“Als je kind ernstige psychische problemen heeft, niet goed weet aan te sluiten op school, of om een andere reden jeugdzorg nodig heeft, dan wil je er blind op kunnen vertrouwen dat alles wat jij en je kind met de zorgverleners delen, ook echt tussen jullie en de zorgverlener blijft. Dit is zó precair, en zo’n kwetsbaar moment in het leven van je kind – je moet er niet aan denken dat onbevoegden zomaar kunnen meekijken met wat er allemaal speelt, of dat dit rondzwerft op internet en je kind ook later nog achtervolgt.”
Hoe kon dit gebeuren?
Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. De oude website (jeugdriagg.nl) ging drie jaar later offline en zou normaal gesproken beveiligd worden afgesloten om misbruik te voorkomen. Maar dat gebeurde niet: de organisatie verlengde de domeinnaam van de website niet, dat zo’n 10 euro per jaar kost. Daardoor kon iedereen de website overnemen.
RTL Nieuws nam de website over en ontving in een aantal weken honderden gevoelige e-mails: van complete psychologische verslagen en aanvragen voor medicatie tot verzoeken van advocaten voor het verstrekken van dossiers. Ook kwamen er berichten van bezorgde ouders binnen, die in alle wanhoop hun verhaal per mail aan de zorginstelling kenbaar maakte.
RTL Nieuws heeft een beperkt aantal gevoelige e-mails steeksproefgewijs ingezien en na publicatie alle gevoelige gegevens verwijderd. Kenter Jeugdhulp heeft het oude webdomein Jeugdriagg.nl 48 uur voor publicatie teruggekregen.
Zorgelijk en ernstig
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) noemt het datalek ‘buitengewoon zorgelijk en ernstig’. Na het datalek bij Jeugdzorg Utrecht in 2019 hebben hackers van Deloitte op verzoek van het ministerie de online veiligheid van zes jeugdhulporganisaties getest. Kenter Jeugdhulp zat daar niet bij. Ook de Inspectie Gezondheidszorg en Jeugd (IGJ) is toen een onderzoek gestart.
Op basis van het onderzoek van de IGJ en de resultaten van deze hackers is het ministerie tot de conclusie gekomen dat er ‘onvoldoende kennis’ is binnen de Jeugdzorg op het gebied van online veiligheid en informatiebeveiliging, zo schrijft het in een reactie: “Het is duidelijk dat er in de jeugdhulpsector nog winst te halen is op dit gebied.”
Het ministerie deelt in december een handleiding met jeugdzorgorganisaties die hen moet helpen om de online beveiliging te verbeteren. Ook worden er volgend jaar opnieuw hackers ingezet om de online veiligheid van een aantal nog niet geteste instellingen te checken.
Wake-upcall
Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Lees meer op rtlnieuws.nl
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
