RTL Nieuws ontdekte het lek bij Kenter Jeugdhulp. Die organisatie verzuimde de website van de oude rechtsnaam Jeugdriagg beveiligd af te sluiten, waardoor iedereen die kon overnemen. RTL Nieuws nam de gelegenheid te baat en registreerde de domeinnaam, waardoor het ook de bijbehorende emailadressen kon overnemen en in het mailverkeer kon meekijken.
Digitale sleutel
In één van de e-mails, die niet beveiligd verzonden werden, stond een digitale sleutel om toegang te krijgen tot de database van Vecozo, het landelijk communicaitepunt voor de zorg. Daarin staan de verzekeringsgegevens van miljoenen Nederlanders opgeslagen. Er staat onder meer in waar iemand verzekerd is, welke pakket hij of zij heeft en wat diens verzekeringsnummer is. Kwaadwillenden kunnen die gegevens gebruiken voor identiteitsfraude of oplichtingspraktijken.
Toevalstreffer
“Een toevalstreffer”, zegt Bert Deitmers, lid raad van bestuur bij Kenter. “Het mailverkeer was zichtbaar en daar zat deze code tussen.” Deitmers benadrukt dat er geen gegevens naar buiten zijn gekomen, slechts de betrokken journalist heeft toegang gehad. Op de vraag hoe het kan dat Kenter Jeugdhulp exact dezelfde fout maakte als Jeugdhulp Utrecht eerder, moest hij het antwoord schuldig blijven. “Het onderwerp is destijds op politiek niveau besproken. Er is toen besloten dat een bureau dit type datalek zou onderzoeken. Zo’n vijfhonderd oude webadressen zijn vervolgens onderzocht, maar daar zaten wij niet tussen.”
Certificaat afgesloten
Vecozo laat weten erg geschrokken te zijn van het lek. “Dit kon gebeuren door onzorgvuldig handelen van een zorgaanbieder”, staat in een verklaring op de eigen website. “Vanzelfsprekend hebben we het certificaat van deze zorgaanbieder direct afgesloten en zijn we een onderzoek gestart.” Ook Kenter heeft aangekondigd de databeveiliging grondig te laten onderzoeken.
