De gelekte documenten werden door twee klokkenluiders overgeleverd aan RTL Nieuws. Het gaat in totaal om 3.278 dossiers van 2.702 kwetsbare kinderen. In de dossiers worden de vaak problematische thuissituaties van de kinderen beschreven, met notities over verwaarlozing, psychische problemen, seksueel misbruik en zelfmoordneigingen. Daarbij staat naam en adres van de kinderen, waardoor ze in principe makkelijk te vinden zijn. Naast de dossiers werden ook interne e-mails van Jeugdzorg gelekt, en voicemailberichten.

Naamsverandering

RTL Nieuws schrijft het lek toe aan een naamsverandering. Bureau Jeugdzorg Utrecht herdoopte zichzelf in 2015 tot Samen Veilig Midden-Nederland (SAVE). Daarbij werd de oude website niet juist afgesloten. De organisatie verlengde de domeinnaam van de website niet, waardoor iemand anders de website overnemen.

De klokkenluiders in kwestie deden net dat. Ze registreerden de oude website en kregen zo ook de (onversleutelde) dossiers van patiënten aan, die geautomatiseerd naar e-mailadressen van verschillende werknemers worden gestuurd, inclusief naar oude webadressen. Het is dus een bijzonder pijnlijk voorbeeld van het slordig omspringen met domeinregistraties.

"Dit is het ergste wat ons kan overkomen", zegt Paul Janssen, bestuurder van Samen Veilig Midden-Nederland, tegen RTL Nieuws. "We werken met kwetsbare gezinnen die verwachten dat ze bij ons in veilige handen zijn. Het spijt me dat we dat niet hebben waargemaakt, en ik wil oprecht mijn excuses aanbieden omdat ze zich bij ons vertrouwd voelden." Janssen stelt dat het lek is gedicht, en dat het Bureau een onderzoek heeft opgestart. De Nederlandse Autoriteit Persoonsgegevens noemt het voorval, in een reactie aan RTL Nieuws, "heel naar".