RTL Nieuws meldt in een bericht op hun website dat door een fout bij het Bureau Jeugdzorg Utrecht de dossiers van duizenden kinderen op straat liggen. In deze dossiers kun je een gala aan privé informatie van kinderen vinden die in aanraking zijn gekomen met Jeugdzorg. Denk bijvoorbeeld aan hun psychische stoornissen of details van hun thuissituatie maar ook hun volledige naam en adresgegevens. De informatie en dossiers zijn bij RTL Nieuws terecht gekomen door twee klokkenluiders en na een onderzoek van het mediaplatform is gebleken dat het inderdaad om authentieke Jeugdzorg dossiers gaat. In totaal betreft het 3278 dossiers van 2702 kinderen. Het lekken van deze gegevens vormt een risico voor een groep kinderen die het al erg lastig hebben en laat daarnaast zien dat er nog steeds niet goed wordt omgegaan met de gegevens van burgers.
Bureau Jeugdzorg Utrecht veranderde in 2015 de naam in Samen Veilig Midden-Nederland (SAVE). Door deze naamsverandering werd hun oude website overbodig en zou het domein na een jaar verlopen. Jeugdzorg is echter vergeten na afloop van dat jaar de verlenging door te zetten. Volgens RTL Nieuws zou de website beveiligd moeten worden afgesloten, zodat niemand gebruik kon maken van de gegevens op deze website, alleen gebeurde dit niet. De domeinnaam van de organisatie werd niet verlengd, waardoor iedereen de website kon overnemen. De kosten van een domeinnaam betreft 10 euro per jaar. Daarnaast wordt het ook duidelijk dat er heel onvoorzichtig wordt omgegaan met de gegevens van de kinderen. De dossiers worden geautomatiseerd doorgestuurd naar de e-mailadressen van verschillende werknemers waaronder ook nog eens adressen die gelinkt zijn aan het oude domein. Een kwaadwillende had het domein zo klakkeloos over kunnen nemen en al deze e-mails kunnen onderscheppen.
Dit debacle getuigt van compleet gemis van kennis bij de mensen die onze persoonsgegevens in handen hebben. Ook laat het zien dat er veel te weinig controle is op instanties om te garanderen dat dit soort lekken niet voor kunnen komen. Kinderen die bij Jeugdzorg terecht komen zijn juist de kinderen die elke vorm van bescherming en hulp nodig hebben. Vaak zijn dit kinderen die uit thuissituaties komen waarin ze fysiek of mentaal mishandeld worden, kinderen die kampen met mentale stoornissen of kinderen die dagelijks op school gepest worden. Als dan ook nog eens al jouw gegevens op straat komen te liggen wordt het leven je alleen maar lastiger gemaakt dan dat het al is. Het feit dat volledige namen en adressen in deze dossiers staan maakt het des te makkelijker om de dossiers aan de kinderen te linken, die de problemen alleen maar vergoten. Zo zou een hele klas kunnen uitvinden dat je door je vader mishandeld wordt, wat natuurlijk tot pestgedrag kan leiden. In deze dossiers zitten ook gevallen waar kinderen slachtoffer zijn van seksueel misbruik of geweld. Zij moeten de kans krijgen om dit met professionele hulp te verwerken. Doordat deze informatie nu op straat ligt is er een kans dat zij altijd slachtoffer zullen blijven omdat het mogelijk is dat elke wildvreemde weet wat hen is overkomen. Dit is heel erg negatief voor de procesverwerking.
Persoonsgegevens die op straat komen te liggen zijn nooit een prettige aangelegenheid. Als dit nu ook gebeurt met een van de meest kwetsbare groepen van de samenleving wordt het misschien toch echt tijd om eens met een kritische blik te gaan kijken naar onze omgang met persoonsgegevens en de controle hierop.
Het is nogal schrikbarend dat een professionele organisatie zoals Jeugdzorg zoiets makkelijks als het verlengen van de domeinnaam niet lukt. Dit had voorkomen kunnen worden met drie a vier klikken op de muis. Ook had het maar 10 euro per jaar gekost om deze data te beschermen. Een alternatief voor het verlengen is het veilig afsluiten van de website, absoluut geen hogere wiskunde. De enige denkbare reden dat die mis heeft kunnen gaan is luiheid of kostenbesparing. Laten we hopen dat een tientje per jaar niet te veel is voor Jeugdzorg om onze persoonsgegevens veilig te houden.
Jeugdzorg zou een organisatie moeten zijn waar juist de privacy van de kinderen een hoofdzaak is. Het feit dat zulke fouten kunnen plaatsvinden is volkomen onacceptabel. Ook het onbeveiligd mailen van gevoelige persoonlijke informatie is absoluut schandalig.
De jeugdzorg valt onder de verantwoordelijkheid van de gemeente. Daarom zou de Piratenpartij Utrecht graag zien dat de gemeente Utrecht met een plan komt om te voorkomen dat dit in de toekomst nog eens kan gebeuren. Wij stellen dat onder andere de volgende punten opgenomen moeten worden in dit plan:
-Meer kennis van ICT is echt noodzakelijk in het ambtelijk bestand
-Actievere houding richting informeren over het voorkomen van datalekken
-Strengere wetgeving rondom controle op naleving van persoonsgegevens bescherming
De ongebruikte domeinnaam is het probleem niet. Het aanhouden van een domeinnaam is een lapmiddel en het kan op heel veel andere plekken alsnog misgaan. Kortom, verhalen als ‘voor een tientje per jaar kan je de domeinnaam aanhouden’ gaat nooit tot een deugdelijke oplossing leiden.
Dit probleem is veel fundamenteler: E-mail is niet geschikt voor het uitwisselen van dit soort gevoelige informatie.
Al jaren zijn er deugdelijke oplossingen beschikbaar om dit soort informatie veilig uit te wisselen. Sterker, binnen de overheid zijn dit soort oplossingen ook in gebruik. Iedereen focust nu op de techniek, maar dit is een probleem van bestuurlijke aard. Deze risico’s zijn al lang gesignaleerd en gemeld, maar de Jeugdzorg is zo gefragmenteerd dat er niemand is die er echt over gaat en dus niemand verantwoording neemt. Bestuurlijk gezien moet de verantwoordelijkheid veel centraler komen te liggen.