Datalek voor 1000-den kwetsbare kinderen

Bureau Jeugdzorg Utrecht heeft te maken met een groot datalek.

Door een fout werden 3278 dossiers van 2702 kinderen gelekt. Dat meldt RTL Nieuws op basis van eigen onderzoek. Ongeveer tweederde van de getroffen kinderen is minderjarig, een kwart is jonger dan twaalf.

De fout heeft te maken met een domeinnaam van Bureau Jeugdzorg Utrecht. In 2015 werd de naam van de organisatie veranderd in Samen Veilig Midden-Nederland (SAVE), wat betekent dat ook de domeinnaam werd aangepast. De oude domeinnaam werd drie jaar later offline gehaald. Om misbruik te voorkomen, had de URL beveiligd moeten worden afgesloten.

Dit bleek echter niet te zijn gebeurd. De organisatie verlengde de domeinnaam simpelweg niet, waardoor iedereen de website over kon nemen. En dat is waar het fout ging. Jeugdzorg mailt namelijk dossiers van patiënten onbeveiligd en geautomatiseerd naar werknemers, ook naar e-mailadressen die nog gekoppeld zijn aan de oude website.

Al die informatie bleek op te vangen door de domeinnaam te registreren. Dat is wat twee klokkenluiders gedaan hebben, die het datalek vervolgens bij RTL Nieuws meldden. De problemen hadden voorkomen kunnen worden als Jeugdzorg de domeinnaam voor 10 euro per jaar had verlengd.

Gevoelige informatie

De dossiers blijken zeer gevoelige informatie te bevatten over de kinderen. Denk bijvoorbeeld aan informatie over hun psychische stoornissen, details over seksueel misbruik en zelfmoordpogingen. De dossiers bevatten de volledige namen en geboortedata van de slachtoffers, waardoor ze eenvoudig te vinden zijn.

Ook werden er interne e-mails van Jeugdzorg gelekt, evenals tweehonderd voicemailberichten. Jeugdzorg heeft inmiddels zijn excuses aangeboden aan de slachtoffers. Ook gaat het de slachtoffers op de hoogte stellen en heeft het het datalek bij de Autoriteit Persoonsgegevens gemeld. Het lek is gedicht.

De klokkenluiders stellen echter dat er nog tientallen soortgelijke organisaties zijn, die ook een verlopen domeinnaam hebben. Bij hen zou zo’n zelfde soort datalek dus plaats kunnen vinden, mocht iemand de domeinnaam overnemen.

Bron: NUMRUSH

 

 

Delen:

Meer berichten

iso27001

ISO27001 Eenvoudig Uitgelegd

Het ABC van ISO 27001: Een Gids voor Informatiebeveiliging ISO 27001, een internationale norm voor informatiebeveiliging, is een leidraad die organisaties helpt

DORA

Hoe te voldoen aan DORA vereisten

Inleiding: In de snel evoluerende digitale wereld van vandaag is cybersecurity een prioriteit geworden voor organisaties van elke omvang en in elke

de toekomst van GDPR

De Toekomst van Gegevensbescherming

Inleiding: Sinds de implementatie in 2018 heeft de Algemene Verordening Gegevensbescherming (GDPR) een aanzienlijke impact gehad op de manier waarop organisaties wereldwijd

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden