Verlopen domeinnamen waren ook dit keer oorzaak van het recente datalek bij een instelling in de jeugdzorg. Daarom gaat het ministerie van VWS volgend jaar nogmaals penetratietests doen.
Dat stelt staatssecretaris Paul Blokhuis in een schriftelijk antwoord op Kamervragen. Blokhuis vindt het zorgelijk dat er weer op dezelfde manier datalekken konden ontstaan. RTL Nieuws, die het lek vorige maand bekendmaakte, kon via de verlopen domeinnaam van Kenter Jeugdhulp e-mails van de instelling met gevoelige informatie van cliënten inzien.
Dat was mogelijk doordat samenwerkende partijen van de instelling de opgeheven domeinnamen nog steeds gebruikten. journalisten van RTL Nieuws namen de proef op de som. Ze registreerden de oude domeinnaam op eigen naam en daardoor kregen ze meteen de beschikking over e-mails van de instelling. Ze kregen daarmee ook toegang tot systemen van de instelling. Dit terwijl vorig jaar een soortelijk incident inclusief gelekte gegevens speelde bij bij Bureau Jeugdzorg in Utrecht.
Vergelijkbaar
“Het datalek bij Kenter is op een vergelijkbare wijze ontstaan als een eerder datalek in april 2019. Dat het weer mogelijk was om op vergelijkbare wijze toegang tot persoonsgegevens te krijgen is zorgelijk”, schrijft Blokhuis in antwoord op Kamervragen van D66, SP en de VVD.
Kenter had in 2015 hun oude domeinnamen voor vijf jaar afgekocht. Ze verliepen per 1 januari dit jaar en kwamen vanaf toen dus beschikbaar voor nieuwe eigenaars. De staatssecretaris stelt intussen wel dat VWS alleen ketenverantwoordelijkheid draagt voor de dataveiligheid in het jeugddomein. De aanbieders dragen wel zelf verantwoordelijkheid voor het op orde houden van hun eigen dataveiligheid.
Dat VWS nu toch penetratietests gaat uitvoeren is het gevolg van een motie uit 2019. Toen steunde een Kamermeerderheid een voorstel om actief onderzoek te doen naar de cybersecurity van zorginstellingen. De motie kwam vanwege een groot datalek met verlopen domeinnamen bij Jeugdzorg Utrecht.
Volgens Blokhuis hadden de eerste penetratietests wel tot gevolg dat veel instellingen toch actie ondernamen. Vandaar dus ook het besluit om het middel nogmaals in te zetten. Verder komt er een nieuwe handleiding voor zorgorganisaties. Daarin staan meteen de criteria van de nieuwe NEN 7510-norm die voor december staat gepland.
Lees ook:
- Meer menselijke fouten bij datalekken tijdens verwarring rond COVD-19
- Migratie op afstand? Geen probleem!