Staatssecretaris Paul Blokhuis (Volksgezondheid, Welzijn en Sport) is bezorgd over de beveiliging van persoonsgegevens in de jeugdzorg. Tot zijn schrik kwam onlangs opnieuw een groot datalek aan het licht bij Kenter. Notabene op vergelijkbare wijze als in april 2019 konden onbevoegden toegang tot persoonsgegevens krijgen. En dat terwijl het datalek gemakkelijk was te voorkomen. Dat maakt deze affaire extra pijnlijk.
Naar aanleiding van het vorige datalek bij SAVE Utrecht heeft het expertisecentrum voor cybersecurity in de zorg (Z-CERT) een domein naam check gedaan. De jeugdhulpaanbieders werden opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020. Ze ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam had eenvoudig kunnen worden voorkomen, stelt de staatssecretaris in antwoord op Kamervragen.
Jeugdzorg Nederland had zijn achterban eerder al gewaarschuwd voor het risico van niet goed afgesloten domeinnamen. Inmiddels is Jeugdzorg Nederland met Z-CERT met in gesprek over de mogelijkheid van aansluiting bij dit expertisecentrum. Dit kan op zijn vroegst in het eerste kwartaal van 2021 starten.
Z-CERT
Datalekken hebben vaak een systeem- en een menselijke component. Voor de systeemcomponent kan Z-Cert, als een ict-brandweer, ondersteuning bieden bij een crisis en informatie delen en ter voorkoming van cyberincidenten informatie delen over relevante dreigingen en kwetsbaarheden van gebruikte systemen inzake dataveiligheid.
Z-Cert is dan ook binnen deze context in gesprek met Jeugdzorg Nederland over wat zij voor elkaar kunnen betekenen. Door de risico gestuurde aanpak van Z-Cert gaan we opnieuw de mogelijkheden voor aansluiting onderzoeken. De aansluiting van Jeugdhulpaanbieders op Z-Cert kan dan op zijn vroegst in Q1 van 2021 starten. Volgens Z-Cert vinden de meeste incidenten nog steeds plaats omdat de basis van de veiligheid niet in orde is. Daarom moet er snel wat worden gedaan.
Jeugdhulp
Blokhuis stelt dat er bij zes jeugdhulpaanbieders en instellingen vorig jaar pentesten zijn uitgevoerd die tot verbeteringen hebben geleid. Volgend jaar worden deze pentesten bij zes andere jeugdhulporganisaties uitgevoerd. De testen hebben plaatsgevonden bij grote jeugdhulporganisaties, omdat een datalek daar een impact zou kunnen hebben op een groot aantal cliënten.
Begin oktober bleek uit onderzoek van RTL Nieuws dat buitenstaanders gemakkelijk toegang konden krijgen tot de dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg. Voor het grijpen lagen de volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.