De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, blijkt uit onderzoek van RTL Nieuws.

Het gaat om de namen, adressen, en de bsn's van 'miljoenen Nederlanders', schrijft RTL. Ook was in te zien welke zorgverzekering en aanvullende pakketten een verzekerde had. De informatie stond in een database van Vecozo, een bedrijf dat digitale ondersteuning biedt aan zorginstellingen. RTL kon een verlopen domein van een zorginstelling overnemen, en daarmee ook e-mails onderscheppen richting dat domein. De inloggegevens voor de Vecozo-database werden in plaintext naar die e-mailadressen gestuurd.

RTL Nieuws wist de domeinnaam van Jeugdriagg over te nemen. Dat is een instelling die jeugdzorg verleent aan duizenden gezinnen, dat sinds 2015 van naam veranderde en inmiddels bekend staat als Kenter Jeugdhulp. Jeugdriagg.nl is sindsdien verlopen. RTL Nieuws kon die domeinnaam overnemen. Daardoor was het mogelijk nieuwe binnengekomen e-mails te lezen waar soms medische dossiers in stonden. Ook konden berichten onderschept worden die toegang gaven tot de online systemen van het bedrijf. Het gaat om gevoelige privé-informatie zoals over de thuissituaties en bijvoorbeeld drugsgebruik of schoolproblemen van kinderen die in behandeling waren bij de instelling.

Het lek is inmiddels gedicht. RTL Nieuws droeg het domein voor de publicatie terug over aan Kenter Jeugdhulp. Vecozo zegt dat het geschrokken is van de berichtgeving en een onderzoek start. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is na een datalek.