Gegevens medewerkers gevangenissen en tbs-klinieken gehackt. Ook PI Ter Apel en Veenhuizen doelwit

In dit artikel:

Onderzoeksjournalisten van Argos ontdekten dat door een datalek informatie van medewerkers van de Dienst Justitiële Inrichtingen (DJI)naar buiten is gekomen. Betroffen zijn onder meer personeelsgegevens van locaties in Noord-Nederland: de penitentiaire inrichtingen in Ter Apel, meerdere vestigingen in Veenhuizen en Leeuwarden en het Nederlands Instituut voor Psychologie en Psychiatrie (NIFP Noord) in Groningen.

Het gaat volgens DJI om e-mailadressen, telefoonnummers en beveiligingscertificaten. Omdat DJI-medewerkers werken in strafrechtelijke en forensische omgevingen, vergroot zo’n lek het risico op chantage of afpersing. Hackers hadden naar verluidt ongeveer vijf maanden toegang tot deze informatie en zouden op afstand apparaten, zoals mobiele telefoons, hebben kunnen beheren.

De kwetsbaarheid zou verband houden met een beveiligingsprobleem bij ICT-leverancier Ivanti, eerder dit maand al aan het licht gekomen bij andere instanties zoals de Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak. DJI onderzoekt nog de precieze oorzaak; het Nationaal Cyber Security Centrum is geïnformeerd. Staatssecretaris Claudia van Bruggen noemt de situatie ernstig, maar stelt dat medewerkers voorlopig geen direct gevaar lopen.

DJI beheert ongeveer 50 locaties in Nederland en heeft 16.000 medewerkers; naast gevangenissen vallen ook jeugdinrichtingen en tbs-klinieken onder de organisatie. Het lek onderstreept de kwetsbaarheid van staatsinstellingen voor supply-chain aanvallen en de mogelijke gevolgen voor personeel met gevoelige taken.