๐ƒ๐ž ๐ก๐ฒ๐ฉ๐จ๐œ๐ซ๐ข๐ฌ๐ข๐ž ๐ฏ๐š๐ง ๐๐ž ๐ฃ๐ž๐ฎ๐ ๐๐ณ๐จ๐ซ๐ ๐ค๐ž๐ญ๐ž๐ง ๐ง๐š ๐ก๐ž๐ญ ๐ˆ๐ฏ๐š๐ง๐ญ๐ขโ€‘๐๐š๐ญ๐š๐ฅ๐ž๐ค.


Gegevens van medewerkers van de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak (Rvdr) zijn via een hack op Ivanti Endpoint Manager Mobile ingezien door onbevoegden.

Het gaat om een kwetsbaarheid in software die wordt gebruikt om mobiele apparaten van organisaties te beheren en te beveiligen. Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties die Ivanti EPMM gebruiken om ervan uit te gaan dat hun systemen zijn gecompromitteerd en een ‘assumeโ€‘breach’-scenario te volgen. Kortom: zelfs bij AP en de rechtspraak staat de digitale achterdeur open.

En precies dát maakt de houding in de jeugdzorgketen zo wrang. Instanties verschuilen zich al jaren achter “privacy” en “procesbelang” om artikel 15โ€‘verzoeken van ouders te traineren of uit te hollen, terwijl artikel 15 AVG juist bedoeld is om betrokkenen volledig inzage te geven in hun eigen gegevens en de verwerking daarvan.

Transparantie richting ouders wordt gepositioneerd als "risico", terwijl dezelfde dossiers zonder moeite rondgaan binnen een keten waarvan cruciale schakels aantoonbaar kwetsbaar zijn gebleken door het Ivantiโ€‘incident.

Gemeenten, wijkteams, RvdK, Veilig Thuis, GGZโ€‘instellingen en de rechtspraak wisselen complete jeugdzorgdossiers uit om ingrijpende besluiten over gezinnen te onderbouwen.

Maar zodra ouders volledige inzage vragen in wat er over hen en hun kinderen is opgeschreven, wordt het ineens “gevoelig”, “complex” of “verstoring van het proces”. Het resultaat: de achterdeur van het systeem staat open voor hackers, maar de voordeur blijft dicht voor de mensen over wie de gegevens gaan.
โ€‹
Dat ondergraaft elk beroep op “privacybescherming”. Dit gaat niet over bescherming van betrokkenen, maar over bescherming van het systeem zélf.

Artikel 15 AVG geeft burgers het recht om te controleren óf en hoe hun gegevens worden verwerkt, juist om de rechtmatigheid en zorgvuldigheid te kunnen toetsen.

Wie dossiers gebruikt om rechterlijke beslissingen te sturen, moet óók het lef hebben om ouders volledige inzage te geven in diezelfde dossiers. Zo niet, dan verliest men moreel gezag én recht van spreken over dossiervorming rond kinderen en ouders. Wie niet achter zijn eigen dossier durft te staan, roept onvermijdelijk twijfel op over de zorgvuldigheid en betrouwbaarheid van wat daarin staat.

In een keten die zijn eigen technische veiligheid niet op orde heeft, wordt het weigeren van volledige inzage niet geloofwaardiger, maar ongeloofwaardiger.

Het is niet de burger die hier het grootste datarisico vormt, maar de overheid en de jeugdzorgketen zelf.

Nu zijn het “alleen” medewerkers van AP en de rechtspraak van wie zeker is dat hun gegevens zijn ingezien en dat is ernstig genoeg. Maar de vraag die niemand hardop wil stellen, is: als dit al zichtbaar is, wat wordt er dan níét verteld over de gegevensstromen van ouders en kinderen in deze kwetsbare infrastructuur?