Datalekken hardnekkig probleem bij Samen Veilig en Veilig Thuis

© RTV Utrecht / Marc van Rossum du Chattel
PROVINCIE UTRECHT - Na meerdere incidenten lukt het Jeugdzorgbedrijf Samen Veilig Midden Nederland nog steeds niet om het veelvuldig lekken van gegevens te voorkomen. Na een groot datalek in 2019 is het ook de afgelopen jaren meerdere keren misgegaan. De laatste twee jaar zijn er meerdere incidenten geweest van mails met persoonlijke informatie die verstuurd werden naar willekeurige derden.
Het is te lezen in interne notulen van het jeugdzorgbedrijf. Ook meldde zich bij RTV Utrecht een slachtoffer van meerdere datalekken. Haar dossier ging tot haar afschuw naar een wildvreemde, terwijl ze zelf informatie uit een heel ander dossier kreeg toegestuurd.
Het bedrijf kwam eerder in het nieuws toen ze vergaten een website te sluiten. Destijds lagen er duizenden dossiers op straat. In 2019 onthulde RTL Nieuws dat 3.278 dossiers van 2.702 kinderen per ongeluk openbaar gemaakt zijn. In de dossiers staat uiterst gevoelige informatie, zoals psychische stoornissen, details over seksueel misbruik en zelfmoordpogingen. Het lek ontstond bij een naamsverandering. De oude website werd niet goed afgesloten. Anderen kochten het domein, en openden een e-mailserver, met daarop oude e-mailadressen. In die mailboxen kwamen de duizenden dossiers binnen, zonder dat Samen Veilig het opmerkte.
Dat het veel vaker fout gaat met vertrouwelijke informatie bij Samen Veilig, bleek eerder dit jaar uit correspondentie die RTV Utrecht heeft ingezien. In 2017, gelijktijdig met het grote datalek verloor een medewerker van het bedrijf twee tassen met vertrouwelijke dossiers van diverse cliënten. De dossiers werden uit zijn auto gestolen.

Veilig Thuis

Het bedrijf, dat werkt onder de naam Veilig Thuis Utrecht en SAVE Jeugdbescherming, beloofde na het grote datalek beterschap. Maar uit interne notulen van Samen Veilig, die in het bezit zijn van RTV Utrecht blijkt dat het bedrijf een jaar later de zaken nog steeds niet op orde heeft. Het gaat dan om een ander soort datalek, medewerkers tikken een verkeerd mailadres in.
In een vergadering in februari 2020, die wordt voorgezeten door Evera Voskuil, de directeur van het Servicecentrum, staat onder het kopje 'mededelingen': "De Autoriteit Persoonsgegevens heeft ons uitgenodigd voor een gesprek over datalekmeldingen inzake verkeerd adresseren van mail. Ze hebben aangegeven dat dit te vaak gebeurt en beter moet. Ook moeten we eerder melden en altijd met Zivver werken. De AP gaat nu extra op SVMN letten." Zivver is een beveiligd mailnetwerk.
Rechters moeten acuut stoppen met Samen Veilig nog aan te wijzen als Gecertificeerde Instelling
Werner van Bentem (jurist)
Uit deze notulen blijkt dat de Autoriteit Persoonsgegevens (AP) het Jeugdzorgbedrijf extra in de gaten houdt. De fout ontstaat vermoedelijk doordat de medewerkers van Samen Veilig niet mogen werken met een 'adressenboek', ze moeten elke keer als ze een mail versturen het hele e-mailadres intikken. Hoe vaak het precies fout gaat blijkt niet uit de notulen. Het AP wil op vragen van RTV Utrecht niet ingaan, en dus ook niet bevestigen of er extra toezicht is geweest op het bedrijf.

Nieuw datalek

Maar ook na 2020 gaat het niet goed. Deze maand meldde jurist Werner van Bentem zich bij RTV Utrecht. Zijn cliënt, een moeder die te maken heeft met Samen Veilig, wordt geconfronteerd met meerdere datalekken. In 2019 kreeg zij ongevraagd stukken toegestuurd van een andere familie. Die stukken zijn inmiddels ook in het bezit van RTV Utrecht. Daarin wordt gesproken over een destijds zeven jarig meisje dat onder toezicht wordt gesteld. Het meisje verblijft op dat moment met haar moeder in een opvangcentrum voor daklozen en verslaafden. De cliënt van Van Bentem kent die betreffende moeder en het kind niet en heeft er niets mee te maken.
Alles ligt op straat en dat houdt mij enorm bezig en houdt me uit mijn slaap
Slachtoffer datalek Samen Veilig
Maar daar houdt het niet op, als het om datalekken bij zijn cliënt gaat. Dit jaar worden mails die voor zijn cliënt bestemd zijn, naar meerdere verkeerde mailadressen gestuurd. Regiomanager Rob Spaan van SAVE Jeugdbescherming erkent de fout in een mail. Hij schrijft op 30 november van dit jaar: "Alle berichten die naar xxxxx@xxxxxx.xxx zijn verstuurd zijn wél afgeleverd, maar deze mailbox is niet van de betreffende client. Het mailadres blijkt daadwerkelijk te bestaan, maar het is niet zeker of de ontvanger ze werkelijk heeft gelezen."

Volstrekt onverantwoord

Jurist Van Bentem, die meerdere families bijstaat in jeugdzorgzaken is des duivels: "De kans op datalekken bij Samen Veilig is als gevolg van de wijze waarop er gewerkt moet worden levensgroot. Het is dan ook volstrekt onverantwoord dat Samen Veilig nog ondertoezichtstellingen en uithuisplaatsingen mag uitvoeren", zegt hij tegen RTV Utrecht. Volgens hem moet de Inspectie voor de Gezondheidszorg en Jeugd het bedrijf voorlopig sluiten. "Rechters moeten acuut stoppen met Samen Veilig nog aan te wijzen als Gecertificeerde Instelling (GI)." Zo'n GI is verantwoordelijk voor ondertoezichtstellingen en uithuisplaatsingen.
Volgens hem heeft Samen Veilig veel te veel onherstelbaar leed veroorzaakt. "Zowel de Inspectie als de Staat zijn naar mijn mening aansprakelijk te houden als hier niet heel snel en heel erg hard wordt ingegrepen."
Raadsvragen

De Utrechtse VVD noemt de onophoudelijke datalekken bij Samen Veilig 'verontrustend'. Raadslid Dimitri Gilissen wil opheldering van het college van B&W. De gemeente is verantwoordelijk voor het werk van het jeugdzorgbedrijf. Gilissen vraagt zich af hoe goed Samen Veilig omgaat met persoonsgegevens van cliënten. Hij vindt dat de bescherming daarvan absolute topprioriteit moet zijn voor Samen Veilig. "Ouders en kinderen die met jeugdzorg te maken krijgen moeten er op kunnen vertrouwen dat er zorgvuldig met hun gegevens wordt omgegaan", zegt het VVD-raadslid. "SAVE moet er alles aan doen om datalekken te voorkomen en is verantwoordelijk als het onverhoopt toch gebeurt."

Ook de vrouw in kwestie reageert geschokt. Volgens haar zijn persoonlijke gegevens van cliënten niet veilig bij Samen Veilig. "Dit datalek maakt dat ik me zeer onveilig voel." Zij heeft alle fouten direct bij Samen Veilig gemeld. Ze heeft bij haar eerste datalek aangegeven dat ze geen vertrouwen meer heeft in Samen Veilig. "Nu is exact dat gebeurd waar ik bang voor was. Rapportages vol vertrouwelijke persoonlijke informatie over mij, mijn PTSS, mijn dochtertje, rechtszaken, hun mening en aannames over mij als ouder, kortom alles ligt op straat en dat houdt mij enorm bezig en houdt me uit mijn slaap."
Zowel de jurist als de moeder geven aan dat Samen Veilig in eerste instantie deze datalekken ten onrechte heeft ontkend en vervolgens zaken heeft verdraaid. De moeder: "Elk vertrouwen is helemaal weg in deze organisatie en in de medewerkers want als hierover gelogen wordt waarover dan nog meer?" In een schriftelijke reactie laat de woordvoerder van Samen Veilig weten begrip te hebben voor dat gevoel van onveiligheid bij cliënten in geval van datalekken.

Oprechte excuses

Ook zegt het bedrijf dat het heeft geprobeerd de schade te herstellen: "Nadat bekend was geworden dat vertrouwelijke informatie naar een verkeerd e-mailadres was gestuurd, is voor zo ver dit in ons vermogen lag de situatie recht gezet en heeft de manager zijn oprechte excuses aangeboden", meldt Jacques Happe van Samen Veilig. "Dat neemt niet weg dat dit echt een zeer vervelende situatie is voor de betreffende cliënt en dat wij ons terdege realiseren dat excuses wellicht niet voldoende zijn om de impact van een dergelijk lek weg te nemen."
Het jeugdzorgbedrijf zegt dat datalekken in de regel het gevolg zijn van menselijk falen, en geeft aan dat waar mogelijk, procedures worden aangepast. De woordvoerder gaat niet in op het feit dat de betreffende vrouw ook vertrouwelijke informatie uit een hele andere zaak, met een zevenjarig meisje heeft ontvangen. Of het slachtoffer van dat datalek excuses heeft gekregen is dus onbekend.
Heeft u ook te maken met een datalek in de jeugdzorg? Mail uw verhaal naar marc@rtvutrecht.nl