Groot datalek bij jeugdzorgorganisatie had voorkomen kunnen worden

RTL Nieuws meldt woensdagmiddag een groot datalek bij Bureau Jeugdzorg Utrecht dat sinds 4 jaar SAVE heet. 3.278 dossiers, 200 voicemailberichten en interne mails met uiterst gevoelige informatie over kwetsbare kinderen zijn gelekt. Oorzaak? Een opgeheven domeinnaam in verband met een naamswijziging. Dit verhaal klinkt ons bekend in de oren. De politie overkwam ongeveer 2 jaar geleden hetzelfde. Hoe heeft dit opnieuw kunnen gebeuren?

In 2015 veranderde Bureau Jeugdzorg Utrecht zijn naam in Samen Veilig Midden-Nederland (SAVE). 3 jaar later ging de oude website van Jeugdzorg Utrecht offline. Normaal gesproken wordt de bijbehorende domeinnaam aangehouden en onbruikbaar gemaakt om misbruik te voorkomen. Maar dat gebeurde niet: de organisatie hield de domeinnaam niet aan, dat zo'n 10 euro per jaar kost. Gevolg? De domeinnaam kwam weer beschikbaar en kon door iedereen geregistreerd worden.

Data gelekt via oude mailadressen

SAVE stuurt de dossiers van patiënten onbeveiligd en geautomatiseerd naar e-mailadressen van verschillende werknemers, waaronder adressen die nog aan de oude domeinnaam zijn gekoppeld. 2 klokkenluiders registreerden de opgezegde domeinnaam opnieuw, waardoor zij al deze informatie konden ontvangen. Je kunt het vergelijken met een koper van een nieuw huis, die nog post ontvangt van de vorige eigenaar omdat hij vergeten is om zijn woonadres aan te passen. 

Waarschuwing voor soortgelijke organisaties

De klokkenluiders waarschuwen nu voor de onzorgvuldigheid in de zorgsector. Ze geven aan dat er vermoedelijk nog tientallen soortgelijke organisaties zijn die in onbruik geraakte domeinnamen hebben opgezegd, waardoor ze door kwaadwillenden te registreren zijn. Paul Janssen, bestuurder bij SAVE, geeft in reactie aan RTL Nieuws aan: "We hebben het lek gedicht, een onderzoek ingesteld en extern advies ingewonnen. We gaan direct ons securitybeleid aanpassen."

Vergelijkbare situatie? Dit is ons advies:

1. Zeg nooit zomaar je domeinnaam op. 

De kans is groot dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen. Voor een tientje per jaar wil je dit risico niet lopen.

2. Monitor je bedrijfs- of merknaam actief

Het is aan te raden om actief te monitoren op je bedrijfs- of merknaam. Er zijn verschillende monitoringsdiensten in de markt die registraties in de gaten houden die op een merknaam lijken. Zo zijn er in de ‘.nl-zone’ heel veel domeinnamen geregistreerd waarin de term ‘jeugdzorg’ voorkomt. Daarmee zijn het niet direct malafide domeinnamen, maar het is goed te weten wat er nog meer geregistreerd is en wordt en snel actie te kunnen ondernemen als dat nodig is.

Reacties

Marnie-van-Duijnhoven_Thumbnail

Marnie van Duijnhoven

Communicatiemanager

+31 26 352 55 00

  • donderdag 3 januari 2019

    .nl-domeinnaam

    Ondernemers opgelet! Trap niet in de verkooptruc met domeinnamen

    Thumb-CEO-fraud

    Laat je niet onder druk zetten!

    Lees meer
  • dinsdag 29 januari 2019

    Veilig internet

    4 redenen om een SSL-certificaat voor je website te gebruiken

    SSL-certificaat-thumbnail

    SSL, ook bekend als TLS, een certificaat of het groene slotje, maakt je website veiliger. Maar wat doet het? En welke vorm van SSL past bij jouw website?

    Lees meer
  • vrijdag 19 juli 2019

    Veilig internet

    Ook bij DigiD verkiezen veel gebruikers gemak boven veiligheid

    2fa 520

    Overheid publiceerde rapport Monitor Digitale Overheid 2019

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.