Opnieuw groot datalek bij SAVE en Veilig Thuis, duizenden interne pagina’s op internet

Het intranet is een afgeschermde website die alleen voor medewerkers van een bedrijf of organisatie beschikbaar is. Er kunnen bijvoorbeeld dienstmededelingen op staan en nuttige informatie voor het uitoefenen van het werk van het bedrijf. Het intranet van Samen Veilig, dat handelt onder de naam SAVE en Veilig Thuis Utrecht, betreft enkele duizenden pagina's en bestrijkt meerdere jaren.

Lees ook: Wethouder Eerenberg: 'Datalek bij Samen Veilig is onacceptabel'

Een bestand met alle pagina’s van dat intranet werd door een anonieme bron ter beschikking gesteld aan RTV Utrecht. De meest recente posts zijn van vorig jaar. Volgens de bron is het lek ontstaan doordat een ICT-medewerker wilde testen met een nieuwe versie van het intranet. Daarvoor had hij een kopie gemaakt en op zijn eigen webpagina geplaatst. Die kopie heeft hij naar verluidt onvoldoende afgeschermd. Daarnaast is hij vergeten de kopie na de test weer te verwijderen. Samen Veilig erkent dat er sprake is geweest van een datalek met betrekking tot het intranet. Het bedrijf wil niet ingaan op vragen over hoe het is ontstaan.

In berichten van het intranet die nu openbaar zijn geworden, zijn diverse vertrouwelijke gegevens te achterhalen. Zo staan er mailadressen en 06-nummers van diverse medewerkers in. Maar er wordt ook verwezen naar personen buiten de eigen organisatie en ook daarvan zijn er persoonlijke contactgegevens te vinden.

Een van die personen is Femke van Trier, zij is niet verbonden aan Samen Veilig. Dat haar persoonlijke gegevens op straat zijn komen te liggen noemt ze in een spontane reactie "krankzinnig". Meer genuanceerd zegt ze: "Het is niet netjes dat ze me dat niet laten weten, zeker als het van SAVE afkomstig is."

Ook wachtwoorden worden gedeeld, zoals het interne wachtwoord voor het wifi-netwerk voor medewerkers. Dat wachtwoord wijzigt elke maand, maar is eenvoudig te herleiden, de uitleg staat er bij. Verder staan er veel persoonlijke verhalen op de site, zoals het verhaal van één van de directieleden die ingaat op het plotselinge overlijden van haar 19-jarige dochter.

Op het intranet is ook nieuws te vinden over het functioneren van Samen Veilig zelf. Eerder werd bij RTV Utrecht bekend dat er in 2017 een datalek had plaatsgevonden, een medewerker verloor een tweetal tassen met dossiers. RTV Utrecht heeft destijds van een publicatie afgezien na de verklaring van Samen Veilig dat het om een klein incident ging.

Uit de stukken die nu op straat liggen blijkt dat niet het geval, in juli 2017 beschrijft het bedrijf op het intranet het incident als zeer ernstig. “Zeer recent (eind juni) vond een zeer groot datalek plaats bij Samen Veilig”, valt er te lezen. “Een medewerker had netjes de laptop en mobiel uit de auto meegenomen maar wel twee tassen met papieren gegevens onder de achterklep laten liggen. De auto werd (ondanks het niet aanwezig zijn van digitale apparatuur) opengebroken en de tassen zijn ontvreemd.”

Bij de diefstal zijn de gegevens van 325 (oud)cliënten, anonieme melders, mensen uit het netwerk van een cliënt en andere jeugdzorg professionals op straat gekomen. Of van de anonieme melders ook daadwerkelijk persoonlijke gegevens als namen en telefoonnummers bij de diefstal zijn verkregen, is niet bekend. Samen Veilig wil niet ingaan op vragen over dit zeer grote datalek uit 2017.

Het woord ‘datalek’ komt veel voor op het intranet van Samen Veilig. Het woord heeft een eigen categorie in de berichtgeving. Telkens wordt er gewaarschuwd dat er weer een incident is geweest. Zo valt er te lezen: “Andere recente datalekken. Kort geleden vond nog een aantal datalekken plaats. Vaak gebeuren ze onverwacht en altijd onbedoeld: een net iets te snel weggestuurde mail naar vader en stiefmoeder waar een correspondentie met moeder van 30 pagina’s aan vast zat.”

Op de pagina’s van het intranet van Samen Veilig zijn ook diverse wachtwoorden te vinden. Zo is er een wachtwoord naar een instructie-site. Samen Veilig zegt daar zelf over dat het niet de bedoeling is dat die informatie naar derden gaat: “Omdat medewerkers van meerdere GI’s (Gecertificeerde Instellingen, red.) gebruikmaken van de informatie op deze site, is deze website toegankelijk via internet en niet op ons intranet geplaatst. De informatie op deze website is echter uitsluitend bedoeld voor medewerkers die werken volgens de werkwijze SAVE. Anders gezegd: je hebt kennis van zaken nodig om de informatie op de site te kunnen duiden. Daarom is de site beveiligd met een inlog.” Het wachtwoord voor deze site (werksamenaanveiligheid.nl/) werkt op het moment van schrijven van dit artikel nog steeds, blijkt uit een test. Alle inhoud is met het geheime wachtwoord vrij toegankelijk.

Eerder al berichtte RTV Utrecht uitgebreid over diverse andere datalekken bij het Jeugdzorgbedrijf. Zo vergat Samen Veilig Midden Nederland een website te sluiten. Destijds lagen er duizenden cliëntendossiers op straat. In 2019 onthulde RTL Nieuws dat 3.278 dossiers van 2.702 kinderen per ongeluk openbaar gemaakt zijn. In de dossiers staat uiterst gevoelige informatie, zoals psychische stoornissen, details over seksueel misbruik en zelfmoordpogingen.

Het lek ontstond bij een naamsverandering. De oude website werd niet goed afgesloten. Anderen kochten het domein, en openden een e-mailserver, met daarop oude e-mailadressen. In die mailboxen kwamen de duizenden dossiers binnen, zonder dat Samen Veilig het opmerkte.

Regelmatig melden cliënten van Samen Veilig kleinere datalekken bij RTV Utrecht. Vorige week kreeg de redactie nog een dossier toegestuurd. Dat dossier gaat over twee minderjarige kinderen N. en D., het bevat bijna 40 pagina’s. Tot in detail valt te lezen wat de problemen met deze kinderen en hun ouders zijn, het bevat alle persoonlijke verhalen. Het dossier was per abuis naar iemand toegestuurd die N. en D. in het geheel niet kent.

In een verklaring laat Paul Janssen van Samen Veilig Midden Nederland weten geschrokken te zijn van dit datalek, hij kondigt een onderzoek aan. Uit gegevens van de gemeente blijkt dat er de afgelopen drie jaar 218 individuele veiligheidsincidenten met betrekking tot informatiebeveiliging bij Samen Veilig zijn geweest. Daarvan zijn er 47 bij de Autoriteit Persoonsgegevens (AP) gemeld als officieel datalek. De AP heeft eerder al aangegeven geen mededelingen te willen doen over de veiligheid van gegevens bij Samen Veilig Midden Nederland.