Groot datalek bij jeugdzorgorganisatie had voorkomen kunnen worden

RTL Nieuws meldt woensdagmiddag een groot datalek bij Bureau Jeugdzorg Utrecht dat sinds 4 jaar SAVE heet. 3.278 dossiers, 200 voicemailberichten en interne mails met uiterst gevoelige informatie over kwetsbare kinderen zijn gelekt. Oorzaak? Een opgeheven domeinnaam in verband met een naamswijziging. Dit verhaal klinkt ons bekend in de oren. De politie overkwam ongeveer 2 jaar geleden hetzelfde. Hoe heeft dit opnieuw kunnen gebeuren?

In 2015 veranderde Bureau Jeugdzorg Utrecht zijn naam in Samen Veilig Midden-Nederland (SAVE). 3 jaar later ging de oude website van Jeugdzorg Utrecht offline. Normaal gesproken wordt de bijbehorende domeinnaam aangehouden en onbruikbaar gemaakt om misbruik te voorkomen. Maar dat gebeurde niet: de organisatie hield de domeinnaam niet aan, dat zo'n 10 euro per jaar kost. Gevolg? De domeinnaam kwam weer beschikbaar en kon door iedereen geregistreerd worden.

Data gelekt via oude mailadressen

SAVE stuurt de dossiers van patiënten onbeveiligd en geautomatiseerd naar e-mailadressen van verschillende werknemers, waaronder adressen die nog aan de oude domeinnaam zijn gekoppeld. 2 klokkenluiders registreerden de opgezegde domeinnaam opnieuw, waardoor zij al deze informatie konden ontvangen. Je kunt het vergelijken met een koper van een nieuw huis, die nog post ontvangt van de vorige eigenaar omdat hij vergeten is om zijn woonadres aan te passen. 

Waarschuwing voor soortgelijke organisaties

De klokkenluiders waarschuwen nu voor de onzorgvuldigheid in de zorgsector. Ze geven aan dat er vermoedelijk nog tientallen soortgelijke organisaties zijn die in onbruik geraakte domeinnamen hebben opgezegd, waardoor ze door kwaadwillenden te registreren zijn. Paul Janssen, bestuurder bij SAVE, geeft in reactie aan RTL Nieuws aan: "We hebben het lek gedicht, een onderzoek ingesteld en extern advies ingewonnen. We gaan direct ons securitybeleid aanpassen."

Vergelijkbare situatie? Dit is ons advies:

1. Zeg nooit zomaar je domeinnaam op. 

De kans is groot dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen. Voor een tientje per jaar wil je dit risico niet lopen.

2. Monitor je bedrijfs- of merknaam actief

Het is aan te raden om actief te monitoren op je bedrijfs- of merknaam. Er zijn verschillende monitoringsdiensten in de markt die registraties in de gaten houden die op een merknaam lijken. Zo zijn er in de ‘.nl-zone’ heel veel domeinnamen geregistreerd waarin de term ‘jeugdzorg’ voorkomt. Daarmee zijn het niet direct malafide domeinnamen, maar het is goed te weten wat er nog meer geregistreerd is en wordt en snel actie te kunnen ondernemen als dat nodig is.

Reacties

Marnie-van-Duijnhoven_Thumbnail

Marnie van Duijnhoven

Communicatiemanager

+31 26 352 55 00

  • maandag 6 mei 2019

    Over SIDN

    ALLAI maakt verantwoorde Artificiële Intelligentie de standaard

    Thumb-Woman-In-Kitchen-Calling-Digital-Assistant

    Het bedrijfsleven, beleidsmakers en burgers bundelen hun krachten

    Lees meer
  • dinsdag 21 november 2017

    .nl-domeinnaam

    Liever een andere domein- of bedrijfsnaam dan andere extensie

    Thumb-key-board-domains

    Minder dan 20% overweegt andere extensie bij bezette domeinnaam

    Lees meer
  • vrijdag 15 februari 2019

    Over SIDN

    Veiligheid van slimme apparaten steeds belangrijker

    Smart+home+tumb

    De markt voor smarthomeproducten groeit

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.