Datalek bij Stichting Kwaliteitsregister Jeugd (SKJ)

Persbericht

Bilthoven, 11-6-2019
Update: 14-6-2019

Tot onze spijt is er vanaf donderdag 6 tot maandagmiddag 10 juni 2019 bij SKJ een datalek geweest. SKJ betreurt de ontstane situatie met name voor de mensen die persoonlijk betrokken zijn bij dit datalek. SKJ heeft alles in het werk gesteld om zo spoedig mogelijk de betrokkenen op de hoogte te brengen en de verontschuldigingen aan te bieden. Uiteraard is ook de Autoriteit Persoonsgegevens direct geïnformeerd. Het datalek is door een betrokken klager ontdekt; nadat SKJ door de klager hiervan op de hoogte is gesteld, heeft SKJ de testwebsite direct offline gehaald.

SKJ beheert een beroepsregister voor professionals in het jeugddomein, waarin circa 50.000 professionals zijn geregistreerd. Indien een professional zich niet aan de professionele standaarden heeft gehouden, kan tegen hem of haar een tuchtklacht worden ingediend. Deze klacht kan leiden tot een tuchtzaak, waarna een beslissing volgt. Deze beslissingen worden allemaal geanonimiseerd op de website van SKJ geplaatst.

Het datalek is ontstaan omdat SKJ bezig is met de ontwikkeling van een bibliotheek, waarop alle beslissingen na een tuchtzaak geanonimiseerd vindbaar zullen zijn. Ten behoeve hiervan is een aantal beslissingen naar de websiteontwikkelaar gestuurd. Deze beslissingen zijn gebruikt voor de testwebsite. Vervolgens is deze testwebsite – tegen de bedoelingen in – een korte periode voor de buitenwereld zichtbaar geworden.

Na het offline halen van de testwebsite heeft SKJ de volgende maatregelen genomen:

  • Google is gevraagd de betreffende URL’s te crawlen. Google geeft aan dat dit enkele dagen tot enkele weken in beslag kan nemen. Inmiddels is de betreffende historie verwijderd;
  • Een onderzoek gestart naar het aantal malen dat de website is bezocht;
  • Een onderzoek gestart naar het aantal niet geanonimiseerde gepubliceerde beslissingen dat op de testwebsite heeft gestaan.

Uit onderzoek is gebleken dat 34 beslissingen niet geanonimiseerd zichtbaar waren. Via de testwebsite zijn 6 van deze beslissingen bekeken door in totaal 3 verschillende bezoekers. Voor de goede orde: in deze beslissingen zijn de naam van de klager en zijn woonplaats genoemd en van de professional zijn naam en werkgever genoemd. In 2 beslissingen waren ook de namen van de kinderen zichtbaar.