Een afdeling van Bureau Jeugdzorg in Utrecht heeft duizenden dossiers in handen laten vallen van derden via een verlopen domeinnaam. Twee klokkenluiders registreerden de verlopen domeinnaam en kregen zo alle mails binnen die medewerkers naar dat domein verstuurden.
De klokkenluiders kregen de mails in handen via catch-all voor mail van de hostingpartij, waardoor alle mails die naar een server gaan, op een centrale plek komen. Daardoor kwamen 2700 dossiers van kinderen en jongeren uit de omgeving van Utrecht bij de klokkenluiders terecht, schrijft RTL Nieuws. De klokkenluiders schakelden RTL Nieuws in, omdat ze menen dat dit mogelijk is bij tientallen zorgaanbieders.
De dossiers waren te lezen doordat er mails met die dossiers in plaintext en zonder enige andere vorm van beveiliging of authenticatie de gevoelige medische dossiers in mailboxen op het oude domein kwamen. Daarin staat onder meer wat kwetsbare kinderen en jongeren is overkomen, zoals psychische aandoeningen en seksueel misbruik. RTL heeft de dossiers geprobeerd anoniem te analyseren door een Python-script te laten draaien om zo het aantal unieke namen en steekwoorden voor de problematiek te achterhalen.
Het datalek was mogelijk doordat Bureau Jeugdzorg Utrecht de naam wijzigde in Samen Veilig Midden-Nederland en daarvoor een nieuwe domeinnaam registreerde. Het oude domein, dat voor tien euro per jaar te verlengen is, verliep daardoor vorig jaar.
Bestuurder Paul Janssen van Samen Veilig Midden-Nederland biedt excuses aan voor het datalek. "We hebben het lek gedicht, een onderzoek ingesteld en extern advies ingewonnen. We gaan direct ons securitybeleid aanpassen. Ik baal echt als een stekker." De Autoriteit Persoonsgegevens is op de hoogte van het datalek.