RTL Nieuws heeft op kinderlijk eenvoudige wijze toegang gekregen tot uiterst gevoelige medische gegevens van jeugdige patiënten van Kenter Jeugdhulp, het vroeger Jeugdriagg. Het lek bood bovendien toegang tot de database van Vecozo met daarin de volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders.

Kenter Jeugdhulp heette voorheen Jeugdriagg en had jeugdriagg.nl als domeinnaam. Na de naamswijziging werd de oude domeinnaam nog vijf jaar bewaard, maar in juni kwam deze vrij. Na enkele tips besloot een onderzoeker van RTL Nieuws de domeinnaam voor 10 euro aan te schaffen en e-mail-accounts aan te maken met de namen van medewerkers van Kenter. Al snel bleek dat veel artsen en andere betrokkenen de oude e-mail-adressen nog steeds gebruikten. De e-mails met uiterst gevoelige data stroomden binnen. Bovendien waren de e-mail-adressen te gebruiken om accounts van het netwerk van Kenter te resetten en zo toegang te krijgen tot de cloud-omgeving van de instelling.

Zeer gevoelige details
In de gelekte dossiers van Kenter Jeugdhulp staan zeer gevoelige details, waar criminelen op grove wijze munt uit zouden kunnen slaan. Het incident had volgens RTL Nieuws eenvoudig voorkomen kunnen worden, als de instelling de domeinnaam voor 10 euro per jaar had behouden of eenmalig een bedrag had betaald om te voorkomen dat de domeinnaam opnieuw geregistreerd kan worden. Het gebeurt overigens vaker dat criminelen afgedankte domeinnamen van bekende organisaties opkopen om die voor nepwebsites te gebruiken of om er spam mee te versturen. Vorig jaar nog paste RTL Nieuws hetzelfde trucje toe met de oude domeinnaam van Jeugdzorg Utrecht, met hetzelfde resultaat. Dat leidde tot veel ophef, maar niet tot verbetering van de situatie.

Behandelgesprekken
RTL Nieuws kon ook toegang krijgen tot de zakelijke cloud-omgeving van zorgverleners, waarin samengewerkt wordt aan dossiers. Het was zelfs mogelijk geweest om via Microsoft Teams deel te nemen aan behandelgesprekken over patiënten. De onderzoekers hebben dat niet gedaan uit respect voor de privacy van de betrokkenen. Verder kon via het lek simpel toegang worden verkregen tot de database van Vecozo. Daarin staan de volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. Criminelen zouden met deze informatie identiteitsfraude kunnen plegen of zeer gerichte phishingberichten kunnen versturen. De toegang werd verkregen door simpelweg namens een medewerker een nieuw wachtwoord aan te vragen, dat naar het oude e-mail-adres werd gestuurd.

Geschrokken
Kenter Jeugdhulp is op de hoogte gebracht, voordat het lek in de publiciteit werd gebracht. De instelling zegt er echt van geschrokken te zijn en dat de veiligheid van cliënten er hoog in het vaandel staat. Dat neemt niet weg dat er een moeilijk gesprek met de Autoriteit Persoonsgegevens in het verschiet ligt. Voorzitter Aleid Wolfsen noemt de kwestie een ‘ernstige waarschuwing’ voor organisaties die gevoelige gegevens beheren. Hij vindt dat het niet mag gebeuren dat gevoelige medische dossiers in verkeerde handen vallen. “Je moet er niet aan denken dat onbevoegden zomaar kunnen meekijken met wat er allemaal speelt, of dat dit rondzwerft op internet en je kind ook later nog achtervolgt.”
RTL Nieuws heeft de domeinnaam inmiddels overgedragen aan Kenter Jeugdhulp, evenals alle gevonden data. In december komt het ministerie van VWS met een handleiding waarmee jeugdzorginstanties hun online beveiliging kunnen verbeteren. Ook worden ethische hackers ingezet om de beveiliging van instellingen te testen.