Datalek bij Jeugdriagg

Recent deed zich een datalek voor bij Jeugdriagg, dat in 2015 haar naam wijzigde in "Kenter Jeugdhulp". Kenter Jeugdhulp is een zorginstelling die jaarlijks duizenden gezinnen met problemen helpt en voorziet van passende professionele behandeling. Drie jaar na de naamsverandering besloot Kenter Jeugdhulp de oude domeinnaam jeugdriagg.nl op te heffen, waardoor deze offline werd gehaald. De domeinnaam werd niet beveiligd afgesloten, waardoor misbruik mogelijk was. Kenter Jeugdhulp verlengde de domeinnaam van de website niet, wat tot gevolg had dat RTL Nieuws deze kon overnemen. RTL Nieuws ontving gedurende een aantal weken honderden gevoelige e-mails, waaronder psychologische verslagen. Daarnaast kwamen er e-mails binnen waarmee RTL Nieuws toegang tot systemen van Kenter Jeugdhulp verkreeg.

Het lukte RTL Nieuws ook om toegang tot de database van Vecozo te krijgen. Dit is het landelijke knooppunt voor veilige digitale communicatie in de zorg. De organisatie regelt het administratieve berichtenverkeer tussen alle zorgverzekeraars, zorgkantoren, gemeenten en meer dan 44.000 zorgaanbieders. De database bevat volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. De toegang was mogelijk doordat Kenter Jeugdhulp de inloggegevens naar oude e-mailadressen stuurde. Door het lek bij Kenter Jeugdhulp kon RTL Nieuws bovendien toegang krijgen tot de zakelijke cloudomgeving van werknemers, waarin zij samenwerken aan dossiers. Het was daarbij mogelijk om deel te nemen aan behandelgesprekken over cliënten, die sinds de coronacrisis via Microsoft Teams worden gevoerd.

Kenter Jeugdhulp heeft 48 uur na publicatie van het artikel van RTL Nieuws de oude domeinnaam weer teruggekregen en heeft een speciaal team ingezet dat vragen van bezorgde gezinsleden zal beantwoorden. Bovendien heeft Kenter Jeugdhulp melding gedaan van het datalek bij de Autoriteit Persoonsgegevens (AP). De AP noemt het datalek een ernstige waarschuwing voor organisaties die gevoelige gegevens beheren. De AP geeft aan dat gegevens over de gezondheid heel erg privé zijn en dat ook moeten blijven. De AP gaat om opheldering vragen bij het bestuur van Kenter Jeugdhulp.

Tips om datalekken te voorkomen

Cybersecurity is meer dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam. Het is belangrijk dat u dit in de toekomst zoveel mogelijk voorkomt. Maar hoe wapent u zich tegen dit soort datalekken?

1. Hef oude domeinnamen niet (zomaar) op, maar parkeer deze en monitor het verkeer richting de desbetreffende pagina.
2. Breng nauwkeurig in kaart over welke domeinnamen u beschikt en waarvoor u deze gebruikt.
3. Informeer uw medewerkers na een domeinnaam overstap. Oude e-mailadressen van de oude domeinnaam zijn niet langer geldig en e-mails vanaf die adressen moeten genegeerd worden.
4. Maak altijd gebruik van tweefactorauthenticatie, zodoende is een eventueel verkregen wachtwoord door een derde onvoldoende om in te loggen op bijbehorende e-mailaccounts.

Meer weten?

Bij ABAB zijn we graag van betekenis. Door kennis te delen, advies te geven en voor inzicht te zorgen. De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacy recht, en kunnen u bijstaan bij het opmaken van privacy beleid. Zo kunt u checken of uw organisatie voldoet aan de voorwaarden en bepalingen van de Algemene verordening gegevensbescherming (AVG).

Neem voor meer informatie of advies over privacywetgeving contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.