Bestuurders, gemeenteraadsleden en ambtenaren zijn niet blij met een groot datalek bij jeugdzorgbedrijf Samen Veilig Midden Nederland. Een systeembeheerder plaatste per ongeluk de volledige, besloten inhoud van het intranet op het internet. Persoonsgegevens, persoonlijke verhalen en wachtwoorden van medewerkers van het jeugdzorgbedrijf waren hierdoor voor iedereen toegankelijk. Voor zover bekend zijn er geen cliëntgegevens gelekt. Dat schrijft RTV Utrecht, dat diverse betrokkenen heeft gesproken. Tevens ontving het lokale medium een kopie van alle pagina’s van het intranet van een anonieme bron.
De ingewijde beweert dat het lek is ontstaan doordat een IT-medewerker onzorgvuldig te werk is gegaan. Hij wilde een nieuwe versie van het intranet testen. Daarvoor had hij een kopie van alle pagina’s op het huidige intranet gemaakt en op zijn eigen webpagina geplaatst. Deze kopie was niet goed afgeschermd. Bovendien vergat hij deze te verwijderen toen hij klaar was met testen.
Door het slordige werk van de IT-medewerker lagen onder meer e-mailadressen en telefoonnummers van medewerkers en instructievideo’s voor het oprapen. Contactgegevens van werknemers buiten de organisatie belandden eveneens op straat, inclusief persoonlijke verhalen met intieme details die niet voor de buitenwereld bestemd waren.
Het datalek kwam op zaterdag 22 januari aan het licht bij Samen Veilig, dat tevens onder de namen SAVE Jeugdbescherming en Veilig Thuis Utrecht opereert. De instantie heeft de gemeente Utrecht onvoldoende hierover geïnformeerd, zo zegt wethouder Eelco Eerenberg (D66). “Op een algemene navraag vanuit de gemeente op recente datalekken is terloops genoemd aan een ambtenaar dat er een probleem was met pagina’s van het intranet die op internet stonden”, zegt de wethouder tegen RTV Utrecht. Er was toen nog geen helderheid over de aard en omvang van het lek. Eerenberg vindt dat hij direct op de hoogte gebracht had moeten worden toen het lek bekend was bij Samen Veilig.
Verschillende gemeenteraadsleden hebben geschrokken gereageerd op het voorval. “Wanneer je als gezin te maken hebt met SAVE is dat al heel ingrijpend en dan moet je er minimaal van verzekerd zijn dat je privacy gewaarborgd is”, zo zegt PvdA-raadslid Hester Assen. Collega Dimitri Gilissen (VVD) sluit zich daarbij aan. Hij verwacht dat het college van B&W de directie van de jeugdzorginstantie op het matje roept. Fracties in De Bilt en Houten hebben eveneens om opheldering gevraagd aan hun eigen wethouder van Jeugdzaken.
De jeugdzorginstantie erkent dat er zich een datalek heeft voorgedaan, maar wil niet ingaan op vragen van RTV Utrecht hoe het lek heeft kunnen ontstaan. Paul Janssen, bestuurslid van Samen Veilig, zegt geschrokken te zijn van het datalek en heeft een onderzoek aangekondigd.
Donderdag vindt er een debat plaats in de gemeenteraad van Utrecht over het datalek. Vooruitlopend op het debat zegt Eerenberg dat er echt iets moet veranderen bij Samen Veilig. “Dat er wederom sprake is van een datalek bij Samen Veilig Midden Nederland is onacceptabel. Het gaat nu te vaak niet goed.” De wethouder belooft het gesprek aan te gaan met collega’s uit andere gemeenten. Daar zal hij aansturen op een onafhankelijk en extern onderzoek.
Het is niet de eerste keer dat er een datalek plaatsvindt bij Samen Veilig. In 2017 verloor een medewerker twee tassen met dossiers van cliënten. Deze werden gestolen door een dief, die de auto van de medewerker openbrak. Op deze manier stal de dief de gegevens van 325 cliënten, anonieme melders, mensen uit de directe omgeving van de cliënten en andere jeugdzorgprofessionals. RTV Utrecht besloot om er destijds niet over te schrijven, omdat het om een incident ging.
In 2019 ging het opnieuw fout. Bij de naamsverandering van Samen Veilig Midden Nederland werd de oude website niet goed afgesloten. Toen RTL Nieuws de domeinnaam opkocht, merkte techjournalist Daniël Verlaan dat hij duizenden dossiers en e-mails met vertrouwelijke gegevens kon raadplegen. Door het lek kreeg hij bovendien toegang tot de database van VECOZO, een portaal waar zorgaanbieders, zorgverzekeraars, zorgkantoren, gemeenten en andere ketenpartijen digitaal berichten kunnen uitwisselen.
Vorige week nog kreeg RTV Utrecht nog een 40-pagina’s tellend dossier opgestuurd. Daarin stonden gedetailleerde details over twee minderjarige kinderen. Iemand die de kinderen helemaal niet kende bleek het dossier te hebben ontvangen. Volgens de krant hebben zich de afgelopen drie jaar 218 individuele veiligheidsincidenten voorgedaan bij Samen Veilig. 47 daarvan zijn gemeld bij de Autoriteit Persoonsgegevens.
