Door een fout bij Jeugdriagg zijn de dossiers van kinderen met veelal ernstige psychische problemen gelekt. Ondanks inspanningen van minister Hugo de Jonge om zorginstellingen beter te beveiligen, lijkt er in anderhalf jaar tijd nauwelijks iets veranderd.
Dat blijkt uit onderzoek van RTL Nieuws. In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
Als deze dossiers op straat komen te liggen en bijvoorbeeld op school worden verspreid, kan dat vreselijke gevolgen hebben voor deze toch al kwetsbare doelgroep, stellen experts. "Zo'n datalek kan consequenties hebben die hen de rest van hun leven achtervolgen", zegt Simone van der Hof, hoogleraar aan de Universiteit Leiden en gespecialiseerd in digitale kinderrechten.
Jeugdriagg.nl
Kenter Jeugdhulp, dat duizenden gezinnen behandelt, heeft zijn oude website (jeugdriagg.nl) niet beveiligd afgesloten waardoor iedereen de website en de bijbehorende e-mailadressen kon overnemen. RTL Nieuws deed dat en kreeg zo inzage in e-mails die daar nog binnenkwamen, van medische dossiers tot berichten die toegang geven tot hun online systemen.
Het is niet de eerste keer dat op deze manier gevoelige dossiers van kinderen lekken. RTL Nieuws nam in april van vorig jaar de oude website van Jeugdzorg Utrecht over en kreeg op exact dezelfde manier toegang tot duizenden dossiers van veelal minderjarige cliënten. RTL Nieuws is door dezelfde anonieme tipgevers op de hoogte gesteld van dit lek.
Gelekte dossiers
In één van de gelekte dossiers van Kenter Jeugdhulp gaat het om een jongere met autisme die geen aansluiting vindt in de maatschappij. Je leest over de problematiek binnen het gezin, de worsteling met school en medeleerlingen, welke medicatie wordt gebruikt en enkele andere zeer intieme details. Ook alle opnames in ggz-instellingen en verslagen van behandelaren zijn in het dossier te vinden, samen met zijn volledige naam, woonadres en burgerservicenummer.
Door het lek bij Kenter Jeugdhulp kon RTL Nieuws ook toegang krijgen tot de zakelijke cloudomgeving van werknemers, waarin zij samenwerken aan dossiers. Het was ook mogelijk om deel te nemen aan behandelgesprekken over cliënten, die sinds de coronacrisis via Microsoft Teams worden gevoerd. RTL Nieuws heeft beide niet gedaan vanwege de gevoeligheid van de informatie die daar te vinden is.
Toegang tot zorgdatabase
Ook biedt het lek toegang tot de database van Vecozo met daarin de volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. Daar kan per burger worden bekeken bij welke zorgverzekering diegene zit, welke pakketten diegene heeft en wat zijn of haar verzekeringsnummer is. Deze informatie is goud waard voor cybercriminelen, die met deze gegevens identiteitsfraude kunnen plegen of zeer gerichte phishingberichten kunnen sturen.
De toegang tot de Vecozo-database was mogelijk omdat Kenter Jeugdhulp de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde. RTL Nieuws gebruikte een digitale sleutel en het wachtwoord van een medewerker om toegang te krijgen tot de database en vervolgens, met toestemming van de betrokkenen, twee mensen op te zoeken.
Vecozo stelt 'erg geschrokken' te zijn en heeft de toegang voor Kenter Jeugdhulp tijdelijk stopgezet.
Team klaarstaan
"We zijn hier echt van geschrokken", zegt Bert Deitmers, voorzitter van de raad van bestuur bij Kenter Jeugdhulp. "En we betreuren dit zeer. Juist ook omdat we veiligheid van clienten en veilige gegevens in feite hoog in ons vaandel hebben staan."
Kenter Jeugdhulp zegt een speciaal team te hebben klaarstaan dat vragen van bezorgde gezinsleden kan beantwoorden. Er is tevens melding gedaan bij de Autoriteit Persoonsgegevens.
Kwetsbaar moment
De Autoriteit Persoonsgegevens noemt het datalek een 'ernstige waarschuwing' voor organisaties die gevoelige gegevens beheren. "Gegevens over je gezondheid zijn heel erg privé en moeten dat ook blijven", zegt voorzitter Aleid Wolfsen. "Dat deze dossiers in verkeerde handen zijn gevallen is heel erg en had niet mogen gebeuren." De Autoriteit Persoonsgegevens gaat om opheldering vragen bij het bestuur van Kenter Jeugdhulp.
"Als je kind ernstige psychische problemen heeft, niet goed weet aan te sluiten op school, of om een andere reden jeugdzorg nodig heeft, dan wil je er blind op kunnen vertrouwen dat alles wat jij en je kind met de zorgverleners delen, ook echt tussen jullie en de zorgverlener blijft. Dit is zó precair, en zo’n kwetsbaar moment in het leven van je kind - je moet er niet aan denken dat onbevoegden zomaar kunnen meekijken met wat er allemaal speelt, of dat dit rondzwerft op internet en je kind ook later nog achtervolgt."
Zorgelijk en ernstigquote:Hoe kon dit gebeuren?
Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. De oude website (jeugdriagg.nl) ging drie jaar later offline en zou normaal gesproken beveiligd worden afgesloten om misbruik te voorkomen. Maar dat gebeurde niet: de organisatie verlengde de domeinnaam van de website niet, dat zo'n 10 euro per jaar kost. Daardoor kon iedereen de website overnemen.
RTL Nieuws nam de website over en ontving in een aantal weken honderden gevoelige e-mails: van complete psychologische verslagen en aanvragen voor medicatie tot verzoeken van advocaten voor het verstrekken van dossiers. Ook kwamen er berichten van bezorgde ouders binnen, die in alle wanhoop hun verhaal per mail aan de zorginstelling kenbaar maakte.
RTL Nieuws heeft een beperkt aantal gevoelige e-mails steeksproefgewijs ingezien en na publicatie alle gevoelige gegevens verwijderd. Kenter Jeugdhulp heeft het oude webdomein Jeugdriagg.nl 48 uur voor publicatie teruggekregen.
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) noemt het datalek 'buitengewoon zorgelijk en ernstig'. Na het datalek bij Jeugdzorg Utrecht in 2019 hebben hackers van Deloitte op verzoek van het ministerie de online veiligheid van zes jeugdhulporganisaties getest. Kenter Jeugdhulp zat daar niet bij. Ook de Inspectie Gezondheidszorg en Jeugd (IGJ) is toen een onderzoek gestart.
Op basis van het onderzoek van de IGJ en de resultaten van deze hackers is het ministerie tot de conclusie gekomen dat er 'onvoldoende kennis' is binnen de Jeugdzorg op het gebied van online veiligheid en informatiebeveiliging, zo schrijft het in een reactie: "Het is duidelijk dat er in de jeugdhulpsector nog winst te halen is op dit gebied."
Het ministerie deelt in december een handleiding met jeugdzorgorganisaties die hen moet helpen om de online beveiliging te verbeteren. Ook worden er volgend jaar opnieuw hackers ingezet om de online veiligheid van een aantal nog niet geteste instellingen te checken.
Wake-upcall
Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: "Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam", aldus directeur Wim Hafkamp.
https://www.rtlnieuws.nl/(...)ulp-datalek-dossiers
bijv alle in en outs van slachtoffer misbruik verleden op straat
En als iemand liever zaken op papier doet, is die persoon een oude opa en wordt als seniel weggezet of digibeet, ook wanneer dit een principiele keuze betreft. Zoals mijn vader bijvoorbeeld behandeld wordt (antroposofen gebruiken uit principe veelal geen computers of televisie).
Onze overheid kan niet omgaan met digitalisering.
Stop nu eens met alles digitaal te doen. De Nederlandse staat is aansprakelijk voor alle leed die nu aangericht is. Slachtoffers, de kinderen en ouders in kwestie, kunnen miljoenenclaims indienen. Laat de Nederlandse overheid maar failliet gaan, kijken of Rutte dan nog zo vrolijk lacht.
Geen, overheid is onaantastbaar.quote:Op donderdag 1 oktober 2020 17:05 schreef Glazenmaker het volgende:
Welke verantwoordelijken gaan hiervoor de cel in?
Maar is dit uit onwetendheid of roekeloosheid?quote:Op donderdag 1 oktober 2020 16:55 schreef Starhopper het volgende:
En alleen maar omdat ze te beroerd zijn een tientje te betalen voor hun domeinnaam
Op een gegeven moment zal ergens bij een manager de vraag komen of die registratie verlengd moet worden.
"We hebben nu toch een andere website? Nou dan hoeven we niet te verlengen."
Dan vraag ik me af of die manager nog tegenspraak heeft gehad en toch is doorgegaan of dat niemand op het idee is gekomen dat het riskant is om je oude domein weer op de markt te gooien.
En dit is nu twee keer gedaan door journalisten.
Ik ben benieuwd hoeveel oude domeinen nu in handen van kwaadwillenden zijn.
De oplossing lijkt mij dat SIDN alle domeinen van zorginstellingen als 'gevoelig' markeert en zo voorkomt dat later willekeurige personen ze kunnen registreren.
Dat is een journalist van RTLnieuwsquote:Op donderdag 1 oktober 2020 17:24 schreef maily het volgende:
Is D. Verlaan een.van de slachtoffers? Wie heeft dat screenshot gemaakt?
We hebben toch niets te verbergen?
Het is al een paar keer eerder gebeurd. Dan zou je toch beter moeten wetenquote:
[..]
Maar is dit uit onwetendheid of roekeloosheid?
Op een gegeven moment zal ergens bij een manager de vraag komen of die registratie verlengd moet worden.
"We hebben nu toch een andere website? Nou dan hoeven we niet te verlengen."
Dan vraag ik me af of die manager nog tegenspraak heeft gehad en toch is doorgegaan of dat niemand op het idee is gekomen dat het riskant is om je oude domein weer op de markt te gooien.
En dit is nu twee keer gedaan door journalisten.
Ik ben benieuwd hoeveel oude domeinen nu in handen van kwaadwillenden zijn.
De oplossing lijkt mij dat SIDN alle domeinen van zorginstellingen als 'gevoelig' markeert en zo voorkomt dat later willekeurige personen ze kunnen registreren.
Sterke post.quote:
[..]
Maar is dit uit onwetendheid of roekeloosheid?
Op een gegeven moment zal ergens bij een manager de vraag komen of die registratie verlengd moet worden.
"We hebben nu toch een andere website? Nou dan hoeven we niet te verlengen."
Dan vraag ik me af of die manager nog tegenspraak heeft gehad en toch is doorgegaan of dat niemand op het idee is gekomen dat het riskant is om je oude domein weer op de markt te gooien.
En dit is nu twee keer gedaan door journalisten.
Ik ben benieuwd hoeveel oude domeinen nu in handen van kwaadwillenden zijn.
De oplossing lijkt mij dat SIDN alle domeinen van zorginstellingen als 'gevoelig' markeert en zo voorkomt dat later willekeurige personen ze kunnen registreren.
Aanvullend ook de vraag hoelang men in dat geval een domeinnaam moet blijven aanhouden. De naamswijziging is immers in 2015 al geweest. Na vijf jaar afscheid nemen van de domeinnaam vind ik niet eens zo heel gek.
Ik vraag me dan ook af hoe het kan dat zo'n domeinnaam al die jaren actief in gebruik is gebleven. Als in, zijn al die tijd mailtjes gericht aan het oude domein doorgestuurd naar het juiste nieuwe adres. Of kwam er al jarenlang een 'bounce' op terug. In het eerste geval snap ik namelijk wel hoe het zo mis kan gaan. Maar als die adressen al bijna vijf jaar in onbruik waren dan vind ik het ook wel buitengewoon slordig van de afzenders om prive-gegevens naar een verouderd adres te sturen. Vooraleer je een brief in de bus mikt controleer je ook het adres lijkt me. En de post stuurt ook niet jarenlang post door na een fysieke verhuizing.
quote:
[..]
Het is al een paar keer eerder gebeurd. Dan zou je toch beter moeten weten
Het is anderen al een paar keer overkomen, wat kan ons nou gebeuren.Blijkbaar gaat het ook om interne mail. Hoe zou je anders toegang kunnen krijgen tot bijvoorbeeld hun cloud en de complete zorgverzekeringsdatabase?quote:
[..]
Sterke post.
Aanvullend ook de vraag hoelang men in dat geval een domeinnaam moet blijven aanhouden. De naamswijziging is immers in 2015 al geweest. Na vijf jaar afscheid nemen van de domeinnaam vind ik niet eens zo heel gek.
Ik vraag me dan ook af hoe het kan dat zo'n domeinnaam al die jaren actief in gebruik is gebleven. Als in, zijn al die tijd mailtjes gericht aan het oude domein doorgestuurd naar het juiste nieuwe adres. Of kwam er al jarenlang een 'bounce' op terug. In het eerste geval snap ik namelijk wel hoe het zo mis kan gaan. Maar als die adressen al bijna vijf jaar in onbruik waren dan vind ik het ook wel buitengewoon slordig van de afzenders om prive-gegevens naar een verouderd adres te sturen. Vooraleer je een brief in de bus mikt controleer je ook het adres lijkt me. En de post stuurt ook niet jarenlang post door na een fysieke verhuizing.
Wel jammer dat ze dit niet hebben gedaan. Even inbreken tijdens een gesprek van de directie ofzo. Dan zijn ze direct wakkerquote:Het was ook mogelijk om deel te nemen aan behandelgesprekken over cliënten, die sinds de coronacrisis via Microsoft Teams worden gevoerd. RTL Nieuws heeft beide niet gedaan vanwege de gevoeligheid van de informatie die daar te vinden is.
Als je het absoluut veilig wil doen dan zou je het domein nooit meer vrijgeven.quote:
[..]
Sterke post.
Aanvullend ook de vraag hoelang men in dat geval een domeinnaam moet blijven aanhouden. De naamswijziging is immers in 2015 al geweest. Na vijf jaar afscheid nemen van de domeinnaam vind ik niet eens zo heel gek.
Of je reserveert het voor een opvolger van de vorige eigenaar.
Gezien de gevoeligheid is het niet wenselijk dat een zorgdomein ooit in handen van derden komt.
Wat dat betreft zou je misschien meteen een TLD exclusief voor de zorg kunnen maken.
Dan heb je riagg.zorg.nl of riagg.zorg.
Hoewel dat weer het risico geeft dat mensen niet opletten en toch riagg.nl gebruiken waar dan weer een hacker achter zit.
Je kunt ook monitoren wat er nog op binnenkomt.
Bij elke mail stuur je dan een autoreply dat het adres niet meer geldig is.
Met cc naar de functionaris gegevensbescherming.
En pas als het domein een paar jaar geen verkeer meer krijgt geef je het vrij.
Dit laat je dan beheren door een afdeling van SIDN of een losse stichting die zich hier op toe legt.
Dan ben je ook weer niet afhankelijk van tig systeembeheerders verspreid over alle zorginstellingen.
Als ik een domein zo snel mogelijk kaap en op de mail een 'catch all' zet dan gaat er niets bouncen.quote:Ik vraag me dan ook af hoe het kan dat zo'n domeinnaam al die jaren actief in gebruik is gebleven. Als in, zijn al die tijd mailtjes gericht aan het oude domein doorgestuurd naar het juiste nieuwe adres. Of kwam er al jarenlang een 'bounce' op terug. In het eerste geval snap ik namelijk wel hoe het zo mis kan gaan. Maar als die adressen al bijna vijf jaar in onbruik waren dan vind ik het ook wel buitengewoon slordig van de afzenders om prive-gegevens naar een verouderd adres te sturen. Vooraleer je een brief in de bus mikt controleer je ook het adres lijkt me. En de post stuurt ook niet jarenlang post door na een fysieke verhuizing.
En de vraag is of een gewone zorgmedewerker er nog extra over nadenkt als hij hoort dat een mail niet aankwam.
Die update zijn contacten en gaat verder met zijn werk.
En de helpdeskmedewerker die dit dan voor de zorgmedewerker opheldert gaat ook niet direct alarm slaan. Die gaat door naar de volgende melding.
[ Bericht 2% gewijzigd door jeroen25 op 01-10-2020 18:33:32 ]
Vaak zijn dat soort instanties niet in staat om professioneel IT personeel in dienst te krijgen.
Bespaar je vervolgens een paar rotcenten per jaar mee, nou goeie deal hoor dit.De verantwoordelijken hiervoor zouden nooit meer in de IT aan het werk moeten mogen.
Ook de politie lekt nog dagelijks, zelfs nadat je ze dat laat zien. Een linkje naar een open Politie Dispatch systeem zou hier dan ook niet misstaan.
... jammer dat het (nu nog) niet mag.[ Bericht 0% gewijzigd door Oversight op 02-10-2020 09:53:22 ]
Dit is het probleem.quote:
Welke verantwoordelijken gaan hiervoor de cel in?
Het gaat keer op keer mis omdat er geen consequenties aan verantwoordelijkheden hangen.
quote:
Welke verantwoordelijken gaan hiervoor de cel in?
waarschijnlijk de melder, of de getuige. Als je bij iemand je gegevens mailt omdat je getuige was ergens van, wordt je doodleuk als verdachte ontboden en gehoord, OM heeft nog een boel te leren.Daar hebben ze in de UK nou echt nog nooit van gehoord.quote:
[..]
Digitaal kan prima, het gaat er om dat je niet met amateurs werkt.quote:Op donderdag 1 oktober 2020 17:06 schreef Linkse_Boomknuffelaar het volgende:
Lekker alles digitaal, toch overheid?
En als iemand liever zaken op papier doet, is die persoon een oude opa en wordt als seniel weggezet of digibeet, ook wanneer dit een principiele keuze betreft. Zoals mijn vader bijvoorbeeld behandeld wordt (antroposofen gebruiken uit principe veelal geen computers of televisie).
Onze overheid kan niet omgaan met digitalisering.
Stop nu eens met alles digitaal te doen. De Nederlandse staat is aansprakelijk voor alle leed die nu aangericht is. Slachtoffers, de kinderen en ouders in kwestie, kunnen miljoenenclaims indienen. Laat de Nederlandse overheid maar failliet gaan, kijken of Rutte dan nog zo vrolijk lacht.
Ik ben zelf mede verantwoordelijk voor 1 van de gevoeligste databronnen van Nederland (als in: Als dat in verkeerde handen valt zitten 40.000 man zonder werk).
Kortom dat is elke dag kritisch kijken hoe we de extreme beveiliging nog verder kunnen opvoeren, gelukkig kan dat met moderne cloud technologieën heel goed.
Qua bounces vermoed ik dat er wellicht gemailed is vanuit een andere applicatie, bijvoorbeeld een administratie pakket, nu heb ik best wat software gemaakt, maar met bouncende mailtjes hou je eigenlijk nooit rekening.quote:
[..]
Sterke post.
Aanvullend ook de vraag hoelang men in dat geval een domeinnaam moet blijven aanhouden. De naamswijziging is immers in 2015 al geweest. Na vijf jaar afscheid nemen van de domeinnaam vind ik niet eens zo heel gek.
Ik vraag me dan ook af hoe het kan dat zo'n domeinnaam al die jaren actief in gebruik is gebleven. Als in, zijn al die tijd mailtjes gericht aan het oude domein doorgestuurd naar het juiste nieuwe adres. Of kwam er al jarenlang een 'bounce' op terug. In het eerste geval snap ik namelijk wel hoe het zo mis kan gaan. Maar als die adressen al bijna vijf jaar in onbruik waren dan vind ik het ook wel buitengewoon slordig van de afzenders om prive-gegevens naar een verouderd adres te sturen. Vooraleer je een brief in de bus mikt controleer je ook het adres lijkt me. En de post stuurt ook niet jarenlang post door na een fysieke verhuizing.
Maar goed, desnoods draai je alles onder 1 domein om duidelijkheid en veiligheid te geven.
Het probleem bij veel organisaties is dat domeinnaam beheer op zijn best bij systeembeheer ligt, veelal is het een administratieve taak.quote:
Een domeinnaam van een medische instantie opzeggen welke ooit voor gevoelige inkomende mail is gebruikt, wat voor een amateur ben je dan?
De verantwoordelijken hiervoor zouden nooit meer in de IT aan het werk moeten mogen.
Ik zit zelf niet in de IT, maar overhoorde laatst een grappig gesprek tussen collega’s. Achtergrond is dat we een oliebedrijf zijn met een boel industriële controle systemen die wel data naar het corporate IT netwerk sturen maar niet zelf extern benaderbaar zijn. Blijkbaar was er vanuit corporate IT iets bedacht om configuratie van routers en switches die ergens in de controle systemen hangen extern te gaan doen zodat het centraal gedaan kon worden zonder dat mensen fysiek naar al die plants moeten. Dat was blijkbaar al geïmplementeerd, en het gesprek was van de engineers die verantwoordelijk zijn voor de controle systemen met iemand die meer aan de IT kant zat.. dat was geen vriendelijk gesprek...quote:
[..]
Digitaal kan prima, het gaat er om dat je niet met amateurs werkt.
Ik ben zelf mede verantwoordelijk voor 1 van de gevoeligste databronnen van Nederland (als in: Als dat in verkeerde handen valt zitten 40.000 man zonder werk).
Kortom dat is elke dag kritisch kijken hoe we de extreme beveiliging nog verder kunnen opvoeren, gelukkig kan dat met moderne cloud technologieën heel goed.
Er is een goede reden om SCADA systemen offline te houden, het zelfde is ook trouwens veel gebeurt bij Rijkswaterstaat, lekker goedkoop!quote:
[..]
Ik zit zelf niet in de IT, maar overhoorde laatst een grappig gesprek tussen collega’s. Achtergrond is dat we een oliebedrijf zijn met een boel industriële controle systemen die wel data naar het corporate IT netwerk sturen maar niet zelf extern benaderbaar zijn. Blijkbaar was er vanuit corporate IT iets bedacht om configuratie van routers en switches die ergens in de controle systemen hangen extern te gaan doen zodat het centraal gedaan kon worden zonder dat mensen fysiek naar al die plants moeten. Dat was blijkbaar al geïmplementeerd, en het gesprek was van de engineers die verantwoordelijk zijn voor de controle systemen met iemand die meer aan de IT kant zat.. dat was geen vriendelijk gesprek...
Als het domein nog actief was verwees het misschien nog wel door naar de juiste mailserver, ook al is de website daar niet meer actief.quote:
[..]
Qua bounces vermoed ik dat er wellicht gemailed is vanuit een andere applicatie, bijvoorbeeld een administratie pakket, nu heb ik best wat software gemaakt, maar met bouncende mailtjes hou je eigenlijk nooit rekening.
En iemand die met kwade bedoelingen een domein overneemt die forward alles wat binnen komt naar het nieuwe domein.
Dan merkt niemand iets en kan hij alle mails lezen.
En als er een cliëntenportal was dan neem je dat gelijk mee.
Ja, ongeveer 100 miljoen redenen per dag in ons geval!quote:
[..]
Er is een goede reden om SCADA systemen offline te houden, het zelfde is ook trouwens veel gebeurt bij Rijkswaterstaat, lekker goedkoop!
Het is te knullig voor woorden, sowieso horen dit soort gegevens VERPLICHT via 2 way authenticatie te gaan, daarnaast is het ook nog eens verboden om medische gegevens via email te delen.quote:
[..]
Als het domein nog actief was verwees het misschien nog wel door naar de juiste mailserver, ook al is de website daar niet meer actief.
En iemand die met kwade bedoelingen een domein overneemt die forward alles wat binnen komt naar het nieuwe domein.
Dan merkt niemand iets en kan hij alle mails lezen.
En als er een cliëntenportal was dan neem je dat gelijk mee.