Groot datalek bij jeugdzorgorganisatie had voorkomen kunnen worden

RTL Nieuws meldt woensdagmiddag een groot datalek bij Bureau Jeugdzorg Utrecht dat sinds 4 jaar SAVE heet. 3.278 dossiers, 200 voicemailberichten en interne mails met uiterst gevoelige informatie over kwetsbare kinderen zijn gelekt. Oorzaak? Een opgeheven domeinnaam in verband met een naamswijziging. Dit verhaal klinkt ons bekend in de oren. De politie overkwam ongeveer 2 jaar geleden hetzelfde. Hoe heeft dit opnieuw kunnen gebeuren?

In 2015 veranderde Bureau Jeugdzorg Utrecht zijn naam in Samen Veilig Midden-Nederland (SAVE). 3 jaar later ging de oude website van Jeugdzorg Utrecht offline. Normaal gesproken wordt de bijbehorende domeinnaam aangehouden en onbruikbaar gemaakt om misbruik te voorkomen. Maar dat gebeurde niet: de organisatie hield de domeinnaam niet aan, dat zo'n 10 euro per jaar kost. Gevolg? De domeinnaam kwam weer beschikbaar en kon door iedereen geregistreerd worden.

Data gelekt via oude mailadressen

SAVE stuurt de dossiers van patiënten onbeveiligd en geautomatiseerd naar e-mailadressen van verschillende werknemers, waaronder adressen die nog aan de oude domeinnaam zijn gekoppeld. 2 klokkenluiders registreerden de opgezegde domeinnaam opnieuw, waardoor zij al deze informatie konden ontvangen. Je kunt het vergelijken met een koper van een nieuw huis, die nog post ontvangt van de vorige eigenaar omdat hij vergeten is om zijn woonadres aan te passen. 

Waarschuwing voor soortgelijke organisaties

De klokkenluiders waarschuwen nu voor de onzorgvuldigheid in de zorgsector. Ze geven aan dat er vermoedelijk nog tientallen soortgelijke organisaties zijn die in onbruik geraakte domeinnamen hebben opgezegd, waardoor ze door kwaadwillenden te registreren zijn. Paul Janssen, bestuurder bij SAVE, geeft in reactie aan RTL Nieuws aan: "We hebben het lek gedicht, een onderzoek ingesteld en extern advies ingewonnen. We gaan direct ons securitybeleid aanpassen."

Vergelijkbare situatie? Dit is ons advies:

1. Zeg nooit zomaar je domeinnaam op. 

De kans is groot dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen. Voor een tientje per jaar wil je dit risico niet lopen.

2. Monitor je bedrijfs- of merknaam actief

Het is aan te raden om actief te monitoren op je bedrijfs- of merknaam. Er zijn verschillende monitoringsdiensten in de markt die registraties in de gaten houden die op een merknaam lijken. Zo zijn er in de ‘.nl-zone’ heel veel domeinnamen geregistreerd waarin de term ‘jeugdzorg’ voorkomt. Daarmee zijn het niet direct malafide domeinnamen, maar het is goed te weten wat er nog meer geregistreerd is en wordt en snel actie te kunnen ondernemen als dat nodig is.

Reacties

Marnie-van-Duijnhoven_Thumbnail

Marnie van Duijnhoven

Communicatiemanager

+31 26 352 55 00

  • dinsdag 11 december 2018

    .nl-domeinnaam

    De beste domeinnaam voor je onderneming met onze SIDN checklist

    zzpthumbnail

    Als starter, ondernemer, of zzp'er wil je een domeinnaam die klanten oplevert. Gebruik onze checklist!

    Lees meer
  • dinsdag 29 januari 2019

    Over SIDN

    Zorginnovatie: beter beslagen ten ijs met digitale keuzehulp

    Thumb-doctor-discusses-with-patient

    Winq helpt patiënten en zorgverleners samen te beslissen over de behandeling

    Lees meer
  • dinsdag 26 februari 2019

    Over SIDN

    Future internets: werken aan een beter internet

    Thumb-abstract-technical-background

    Nederland moet weer voorop gaan lopen

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.