Door een datalek bij de oude website van Jeugdriagg, tegenwoordig bekend als Kenter Jeugdhulp, liggen complete dossiers van kinderen met psychologische problemen op straat. De dossiers staan vol met vertrouwelijke en zeer gevoelige, persoonlijke informatie. Door het lek konden kwaadwillenden ook toegang krijgen tot de zakelijke cloudomgeving van werknemers en de database van VECOZO, die privégegevens van miljoenen verzekerde Nederlanders bevat.
Dat blijkt uit onderzoek van Daniël Verlaan, techjournalist bij RTL Nieuws. Daarin beschrijft hij uitvoerig hoe hij het lek ontdekte en welke gegevens hij hiermee kon buitmaken. Het artikel eindigt met de droevige constatering dat er het afgelopen anderhalf jaar weinig tot niets is gebeurd om de beveiliging van zorginstellingen te verbeteren.
Jeugdriagg is een organisatie die kinderen met ernstige psychische problemen en hun ouders helpt. De organisatie veranderde in 2015 van naam, sindsdien heet de instantie Kenter Jeugdhulp. De oude website (jeugdriagg.nl) ging drie jaar later offline. Normaal gesproken wordt een site beveiligd afgesloten waardoor niemand er misbruik van kan maken, bijvoorbeeld door de bijbehorende e-mailadressen over te nemen.
Dat gebeurde echter niet bij jeugdriagg.nl. Kenter Jeugdhulp besloot om de domeinnaam niet langer te verlengen. Iedereen kon daardoor de domeinnaam en de website overnemen. Dat is precies wat Daniël Verlaan deed. Toen hij de domeinnaam over eenmaal had overgenomen, ontving hij in een aantal weken tijd honderden e-mails met privégevoelige details: denk aan psychologische verslagen van behandelaars, informatie over medicatie, problemen op school, verzoeken van advocaten en berichten van ouders gericht aan de instantie.
Niet alleen wist Verlaan de hand te leggen op de dossiers van duizenden kinderen die Kenter Jeugdzorg behandelt. Door het datalek kreeg hij ook toegang tot de zakelijke cloudomgeving van werknemers. Ook kon hij hierdoor deelnemen aan behandelgesprekken over cliënten, die met Microsoft Teams worden gevoerd.
Door het lek verkreeg Daniël Verlaan tevens toegang tot de database van VECOZO. Dat is een portaal waar zorgaanbieders, zorgverzekeraars, zorgkantoren, gemeenten en andere ketenpartijen digitaal berichten kunnen uitwisselen. Het bedrijf omschrijft zichzelf ook wel als ‘hét landelijke knooppunt voor veilige digitale communicatie in de zorg’.
In de database van VECOZO trof Verlaan de namen, woonadressen en burgerservicenummers van miljoenen verzekerde Nederlanders aan. Hij kon precies zien wie bij welke zorgverzekeraar verzekerd was, welke aanvullende pakketten iemand heeft afgesloten en wat zijn of haar verzekeringsnummer is. “Deze informatie is goud waard voor cybercriminelen, die met deze gegevens identiteitsfraude kunnen plegen of zeer gerichte phishingberichten kunnen sturen”, zo benadrukt Verlaan.
Om toegang tot de database te krijgen, gebruikte de techjournalist een digitale sleutel en het wachtwoord van een medewerker van Kenter Jeugdhulp. Beide zaken waren onbeveiligd naar oude e-mailadressen verstuurd.
In een reactie laat VECOZO weten dat ze “erg geschrokken” is van het incident. Ze heeft direct het certificaat van de zorgaanbieder afgesloten en is een onderzoek gestart. Het datalek is tevens gemeld bij de Autoriteit Persoonsgegevens.
Bert Deitmers, voorzitter van de raad van bestuur bij Kenter Jeugdhulp, zegt “echt geschrokken” te zijn van het lek. “En we betreuren dit zeer. Juist ook omdat we veiligheid van cliënten en veilige gegevens in feite hoog in ons vaandel hebben staan”, zo vertelt hij tegenover RTL Nieuws. Verder laat hij weten dat er een speciaal team klaarstaat voor ouders die vragen hebben, en dat de instantie het datalek aan de toezichthouder heeft doorgegeven.
“Gegevens over je gezondheid zijn heel erg privé en moeten dat ook blijven”, zegt voorzitter Aleid Wolfsen over de kwestie. “Als je kind ernstige psychische problemen heeft, niet goed weet aan te sluiten op school, of om een andere reden jeugdzorg nodig heeft, dan wil je er blind op kunnen vertrouwen dat alles wat jij en je kind met de zorgverleners delen, ook echt tussen jullie en de zorgverlener blijft. Dit is zó precair, en zo’n kwetsbaar moment in het leven van je kind – je moet er niet aan denken dat onbevoegden zomaar kunnen meekijken met wat er allemaal speelt, of dat dit rondzwerft op internet en je kind ook later nog achtervolgt.”
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) noemt het datalek “buitengewoon zorgelijk en ernstig”. Het is bovendien niet de eerste keer dat een zorgaanbieder de beveiliging niet op orde heeft. In april 2019 stelde Daniël Verlaan ook al een datalek aan de kaak, bij Jeugdzorg Utrecht. Naar aanleiding van dat incident beloofde het ministerie van VWS om de beveiliging van zorginstellingen op orde te brengen.
Na grondig onderzoek door Deloitte en de Inspectie Gezondheidszorg en Jeugd (IGJ) kwamen ze tot de conclusie dat er binnen de Jeugdzorg “onvoldoende kennis” is van online veiligheid en informatiebeveiliging. Volgens de onderzoekers is het duidelijk dat er “winst te behalen valt” in de jeugdhulpsector.
Wim Hafkamp van Z-CERT, het expertisecentrum op het gebied van cybersecurity, noemt het datalek bij Kenter Jeugdhulp “een pijnlijke wake-upcall voor de sector”. Het voorval laat volgens hem duidelijk zien dat cybersecurity niet alleen draait om beveiliging tegen hackers en ransomware. “De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus Hafkamp.
