Deze week kwam een bericht naar buiten via RTV-Utrecht dat er een groot datalek gevonden was bij ‘Samen Veilig Midden-Nederland’. Het gevolg? Dossiers van duizenden kinderen zijn openbaar geworden. Uiteindelijk zijn het twee klokkenluiders geweest die de benodigde documenten aangeleverd hebben om zo te waarschuwen voor onzorgvuldigheid in de zorgsector. Dit is extra gevoelig omdat er in de zorgsector natuurlijk veel gevoelige informatie van patiënten wordt gedeeld. In deze blog kijken we naar de oorzaak maar staan we ook stil bij hoe ‘Samen Veilig Midden-Nederland’ dit had kunnen voorkomen.
In 2015 veranderde Bureau Jeugdzorg, de organisatie die jeugdzorg regelt in de provincie Utrecht, van naam. De oude website ging in 2018 offline en de nieuwe website voor ‘Samen Veilig Midden-Nederland’ werd gelanceerd. Een heugelijk feit, normaal gesproken. De oude website werd echter niet op de juiste veilige manier afgesloten en dit is waar de organisatie de fout in ging. De organisatie verlengde de domeinnaam van de website niet terwijl dit jaarlijks slechts 10 euro kost. Niet dat dit de oorzaak zal zijn geweest, maar normaal wordt dit automatisch jaarlijks verlengd. Iemand heeft dus expliciet de betaling voor de domeinnaam stop gezet. Het gevolg? De website kwam weer beschikbaar en iedereen kon de website overnemen.
Uiteindelijk, na onderzoek van RTL, is gebleken dat er in totaal 3.278 dossiers van 2.702 kinderen toegankelijk waren. Wat deze situatie nog wat serieuzer maakt is de informatie die in de dossiers te vinden is. Hier wordt onder andere gesproken over psychische stoornissen, seksueel misbruik en suïcide. Op de korte termij heeft dit gevolgen voor de getroffen patiënten , maar op de lange termijn kan dit ook gevolgen hebben voor het vertrouwen van het publiek in een organisatie als Bureau Jeugdzorg. Naast de patiëntdossiers zijn er ook interne e-mails en voicemailberichten gelekt. Ook hier worden details besproken over, onder andere, de probleemsituaties bij gezinnen.
We spraken Emil Pilecki van Rootsec over de juiste werkwijze in dit geval. Ten eerste benadrukt Emil meteen het belang van het verlengen van je domeinnaam. Het moment dat deze vrij op de markt komt geef je kwaadwillende eigenlijk al een voorsprong. Daarnaast had Bureau Jeugdzorg voor een complete ‘wipe’ moeten gaan van het systeem en de server. Met andere woorden, eerst je rotzooi opruimen voordat je met iets nieuws begint. Dus verwijder alle data, zeg je hosting op en schakel uiteindelijk de complete server uit. Dan staat er wellicht nog wel data op de server, maar niemand komt hier meer bij.
Heeft u zelf soortgelijke problemen gehad? Of wilt u eens sparren over mogelijke complicaties binnen uw systeem? Laat het ons dan vooral weten. Onderschat de invloed van menselijk falen bij een datalek niet!