Groot datalek bij Jeugdzorg: dossiers duizenden kwetsbare kinderen gelekt

Daniël Verlaan • 10 april 2019 16:00 @danielverlaan

Beeld ter illustratie. Beeld © ANP

Door een fout bij Bureau Jeugdzorg Utrecht zijn de dossiers van duizenden kwetsbare kinderen gelekt. In de dossiers vind je uiterst gevoelige informatie, zoals hun psychische stoornissen, details over seksueel misbruik en zelfs zelfmoordpogingen.

Dat blijkt uit onderzoek van RTL Nieuws, dat de authenticiteit van de dossiers heeft geverifieerd. De documenten zijn aangeleverd door twee klokkenluiders, die willen waarschuwen voor de onzorgvuldigheid in de zorgsector. 

Het gaat in totaal om 3278 dossiers van 2702 kinderen, waarvan zo'n twee derde jonger is dan achttien jaar. Een kwart is zelfs jonger dan twaalf. Omdat hun volledige namen en geboortedata in de dossiers staan, zijn de slachtoffers gemakkelijk te vinden.

Als deze dossiers op straat komen te liggen en bijvoorbeeld op school worden verspreid, kan dat vreselijke gevolgen hebben voor deze toch al kwetsbare doelgroep, stellen experts. 

In detail beschreven

In de dossiers worden de thuissituaties van probleemgezinnen tot in detail beschreven. Je leest erin hoe een jong meisje seksueel is misbruikt, wordt verwaarloosd en erover nadenkt om uit het leven te stappen. Ook haar psychische stoornissen worden genoemd, soms met verslagen van haar psycholoog. Het meisje is makkelijk te vinden via sociale media. 

In een ander dossier lees je over hoe een ouder vreemdgaat met de partner van het kind. Of over de ruzies tussen een zoon en zijn stiefvader, die oplopen tot bloedens toe. In een ander dossier is de uitslag van een IQ-test van een jonge jongen te lezen, met daarin een psychologisch verslag over dat hij geen vriendjes heeft. Ook worden problemen rondom gamen, drugs, medicijnen, school en het kijken van porno in de dossiers besproken.

Hoe hebben wij de dossiers geanalyseerd?

Omdat het om zeer gevoelige informatie gaat, wil RTL Nieuws zo min mogelijk dossiers inzien. Daarom hebben we geautomatiseerd (met Python) unieke namen en de meest voorkomende woorden geteld. Op basis daarvan kunnen we bepalen om hoeveel slachtoffers het gaat, en een inschatting maken van de problematieken die in de dossiers voorkomen.

Veelvoorkomende woorden zijn: school, politie, gedrag, veilig, crisis, ambulante spoedhulp, geweld, ruzie, geslagen, boos, bang, huiselijk geweld, misbruik, agressief, ADHD, escalatie, huisarts en Altrecht (geestelijke gezondheidszorg, red.).

RTL Nieuws heeft in totaal tien dossiers gelezen. Na publicatie zijn alle dossiers verwijderd. Omdat het om een zeer kwetsbare doelgroep gaat, heeft RTL Nieuws besloten geen slachtoffers te contacteren.

Naast dossiers zijn ook interne e-mails van Jeugdzorg gelekt, samen met zo'n tweehonderd voicemailberichten. In deze audiobestanden bespreken hulpverleners de probleemsituaties bij gezinnen. In sommige voicemails is te horen hoe een moeder in paniek opbelt omdat ze vindt dat de organisatie niet goed voor haar kind zorgt. Ze krijgt naar eigen zeggen al weken geen contact met de zorginstelling.

10 euro

Bureau Jeugdzorg Utrecht veranderde in 2015 zijn naam in Samen Veilig Midden-Nederland (SAVE). De oude website van Jeugdzorg Utrecht ging drie jaar later offline en zou normaal gesproken beveiligd worden afgesloten om misbruik te voorkomen. Maar dat gebeurde niet: de organisatie verlengde de domeinnaam van de website niet, dat zo'n 10 euro per jaar kost. Daardoor kon iedereen de website overnemen.

De organisatie stuurt de dossiers van patiënten onbeveiligd en geautomatiseerd naar e-mailadressen van verschillende werknemers, waaronder adressen die nog aan de oude website zijn gekoppeld. Door de domeinnaam te registreren, kon je al deze informatie opvangen. Alsof je in een nieuw huis woont en de vorige bewoner is vergeten om zijn woonadres overal aan te passen.

Klokkenluiders

De domeinnaam van de oude website werd geregistreerd door twee klokkenluiders, die het datalek bij RTL Nieuws hebben gemeld. Zij willen waarschuwen voor de gevaren van verlopen websitedomeinen binnen de zorgsector. Volgens hen zijn er nog tientallen soortgelijke organisaties waarvan hun oude domeinnaam ook is verlopen, en door kwaadwillenden is over te nemen.

De twee mannen zijn geschrokken van hoe slordig Jeugdzorg met zeer gevoelige zorgdossiers omgaat. "Het is bizar dat deze dossiers gewoon plaintext (in platte tekst, red.) over de e-mail worden gestuurd", vertelt één van de mannen met een achtergrond in technologie. "Er is geen enkele beveiliging of authenticatie, je kan gewoon al die dossiers lezen."

Excuses

"Dit is het ergste wat ons kan overkomen", zegt Paul Janssen, bestuurder van Samen Veilig Midden-Nederland, tegen RTL Nieuws. "We werken met kwetsbare gezinnen die verwachten dat ze bij ons in veilige handen zijn. Het spijt me dat we dat niet hebben waargemaakt, en ik wil oprecht mijn excuses aanbieden omdat ze zich bij ons vertrouwd voelden."

"Dit is het ergste wat ons kan overkomen"

Janssen stelt dat de organisatie 'een achterstand' heeft opgelopen: "We hebben het lek gedicht, een onderzoek ingesteld en extern advies ingewonnen. We gaan direct ons securitybeleid aanpassen. Ik baal echt als een stekker." Daarnaast informeert de organisatie alle betrokken personen en is er melding van het datalek gedaan bij de Autoriteit Persoonsgegevens.

Heel erg privé

De Autoriteit Persoonsgegevens noemt het 'heel naar' dat deze dossiers in verkeerde handen zijn gevallen. "Dit zou niet mogen gebeuren", zegt woordvoerder Pauline Gras. "Gegevens over je gezondheid zijn heel erg privé. Dat geldt zeker voor gegevens van kinderen. Onbevoegden mogen nooit toegang hebben tot medische dossiers."

Volgens Gras moet je erop kunnen vertrouwen dat zorginstellingen zorgvuldig omgaan met jouw gegevens, en deze ook goed beveiligen: "Goede zorg betekent dus ook zorgvuldig omgaan met persoonsgegevens van patiënten, zeker ook als het zulke kwetsbare kinderen betreft."

Heb jij vragen over zelfmoord?

Stichting 113 Zelfmoordpreventie0900-0113

Openingstijden: 24 uur, 7 dagen per week