8 juli 2025

Onderzoek naar gegevens datalek afgerond

Op 13 juni 2025 maakte Pluryn melding van een verloren USB-stick met persoonsgegevens. We noemen dat een datalek. De USB-stick is helaas niet gevonden. We houden goed in de gaten of de gegevens ergens worden aangeboden. Dit is tot nu toe gelukkig niet het geval. Het onderzoek naar welke gegevens op de USB-stick staan is afgerond. In dit bericht vertellen we daar meer over. Wij plaatsen hierna geen updates meer, tenzij er nieuwe ontwikkelingen zijn. Bijvoorbeeld wanneer de USB-stick gevonden wordt.

Gegevens van (oud-)cliënten
Op de USB-stick staan persoonsgegevens van iedereen die op 31 januari 2025 in zorg was bij Pluryn. Op de stick staan ook gegevens van mensen die in de afgelopen 25 jaar zorg kregen van Pluryn of haar rechtsvoorgangers. Er staan dus geen gegevens op de stick van mensen die vanaf 1 februari 2025 in zorg kwamen bij Pluryn.

Hieronder volgt een opsomming van het type gegevens van (oud-)cliënten die op de USB-stick staan. Niet van alle (oud-)cliënten staan al deze gegevens op de stick.

naam, adres, geboortedatum, geboorteplaats en nationaliteit;
telefoonnummer en e-mailadres;
BSN-nummer;
geslacht en burgerlijke staat;
informatie over hoe de zorg betaald wordt en de code die hoort bij het type zorg dat Pluryn verleent of heeft verleend;

Op de USB-stick staan, zoals eerder gemeld op onze website, geen bankgegevens, zorgdossiers, kopieën van identiteitsbewijzen of wachtwoorden van (oud-)cliënten.

Gegevens van (oud-)medewerkers
Bij medewerkers gaat het om iedereen die op 31 maart 2025 in dienst was, ingehuurd werd of gedetacheerd was bij Pluryn of haar rechtsvoorgangers. Op de stick staan ook gegevens van veel oud-medewerkers die in de afgelopen 25 jaar bij Pluryn, werkten. Voor de duidelijkheid: er staan dus geen gegevens op de stick van medewerkers die na 1 april 2025 startten bij Pluryn.

Hieronder volgt een opsomming van het type gegevens van (oud-)medewerkers die op de stick staan. Niet van alle (oud-)medewerkers staan al deze gegevens op de stick.

naam, adres, geboortedatum, geboorteplaats en nationaliteit;
telefoonnummer en e-mailadres;
BSN-nummer;
burgerlijke staat;
verzuimduur en –frequentie;
periode in dienst, type en grootte van het contract en de salarisschaal met trede.

Op de USB-stick staan, zoals eerder gemeld, geen bankgegevens, zorgdossiers, kopieën van identiteitsbewijzen of wachtwoorden van (oud-)medewerkers.

Wat kun je zelf doen om identiteitsfraude of oplichting te voorkomen?
We hebben geen signalen dat de gegevens in verkeerde handen terecht zijn gekomen. Toch is het goed om alert te zijn om identiteitsfraude of oplichting te voorkomen. Als het om gegevens zoals (e-mail)adressen en telefoonnummers gaat, zoals in dit geval, moet je vooral alert zijn op phishing. Dat betekent dat met nepmails of -telefoongesprekken geprobeerd wordt om meer informatie te achterhalen.

Zo kun je zelf maatregelen nemen:

Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat.
Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld. Wil je weten welke maatregelen je zelf nog meer kan nemen? De Autoriteit Persoonsgegevens vertelt hier wat jij kunt doen.
Als je denkt slachtoffer te zijn van identiteitsfraude, dan kun je terecht bij het Centraal Meldpunt Identiteitsfraude.

Hoe kon dit gebeuren?
De USB-stick is door een menselijke fout zoekgeraakt. Een medewerker die vanwege zijn/haar functie toegang heeft tot veel data van Pluryn is de USB-stick verloren.

Vragen
Heb je vragen over het datalek? Kijk dan eerst bij de antwoorden op de veelgestelde vragen hieronder. Staat het antwoord op je vraag er niet tussen? Stel je vraag dan aan jouw persoonlijk begeleider, of contactpersoon.

Je kunt ook mailen naar gegevensbescherming@pluryn.nl, of bellen met 088 – 779 35 00 (bereikbaar maaandag t/m vrijdag van 08.30 tot 17.00 uur).

Antwoorden op veelgestelde vragen

Wat is er gebeurd?

Op 13 juni 2025 maakte Pluryn melding van een verloren USB-stick met persoonsgegevens. We noemen dat een datalek. De USB-stick is door een menselijke fout zoekgeraakt. Een medewerker die vanwege zijn/haar functie toegang heeft tot veel data van Pluryn is de USB-stick verloren.

De USB-stick is helaas niet gevonden. We houden goed in de gaten of de gegevens ergens worden aangeboden. Dit is tot nu toe gelukkig niet het geval. Het onderzoek naar welke gegevens op de USB-stick staan is afgerond. Op 9 juli communiceerden wij voor het laatst over dit onderwerp, tenzij er nieuwe ontwikkelingen zijn. Bijvoorbeeld wanneer de USB-stick gevonden wordt.

Wat is een datalek?

Een datalek houdt in dat iemand per ongeluk, of terwijl dat niet mag persoonsgegevens heeft kunnen zien/gezien, gestolen of op een andere manier gebruikt heeft. Met persoonsgegevens bedoelen we bijvoorbeeld namen, adressen óf financiële informatie.

In dit specifieke geval weten we, dat het gaat om een niet beveiligde USB-stick met daarop persoons- en bedrijfsgegevens, die per ongeluk is verloren.

Wat is een USB-stick?

Een USB-stick is een staafje van enkele centimeters waarop je gegevens kunt opslaan. Deze kun je aansluiten op je via de USB-poort aansluiten op een computer.

Is de USB-stick gestolen?

De USB-stick is niet gestolen. De USB-stick door een menselijke fout zoekgeraakt.

Hoe kon dit gebeuren?

De USB-stick is door een menselijke fout zoekgeraakt. Een medewerker die vanwege zijn/haar functie toegang heeft tot veel data van Pluryn is de USB-stick verloren.

Privacy en informatiebeveiliging heeft onze volle aandacht. Juist, omdat cliënten en medewerkers ons hun gegevens toevertrouwen en mogen verwachten dat we er zorgvuldig mee omgaan. Zo werken we steeds aan het vergroten van bewustwording bij medewerkers door middel van training. Normaal gesproken maken we geen gebruik van USB-sticks voor het overzetten van persoonsgegevens. We hebben diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. In dit geval is het helaas toch niet goed gegaan. Dit incident maakt ons extra alert om de kans op herhaling in de toekomst te verkleinen.

Om gegevens van wie gaat het?

Op de USB-stick staan persoonsgegevens van (oud-)medewerkers en vrijwilligers en (oud-)cliënten. Bij medewerkers gaat het om iedereen die op 31 maart 2025 in dienst was, ingehuurd werd of gedetacheerd was bij Pluryn of haar rechtsvoorgangers. Op de stick staan ook gegevens van veel oud-medewerkers die in de afgelopen 25 jaar bij Pluryn, werkten. Voor de duidelijkheid: er staan dus geen gegevens op de stick van medewerkers die na 1 april 2025 startten bij Pluryn.

Bij cliënten gaat het om iedereen die op 31 januari 2025 zorg of ondersteuning kreeg van Pluryn. Op de stick staan ook gegevens van mensen die in de afgelopen 25 jaar zorg kregen van Pluryn of haar rechtsvoorgangers. Er staan dus geen gegevens op de stick van mensen die vanaf 1 februari 2025 in zorg kwamen bij Pluryn.

Welke informatie staat er over (oud-)medewerkers op de USB-stick?

Hieronder volgt een opsomming van het type gegevens van (oud-)medewerkers die op de stick staan. Niet van alle (oud-)medewerkers staan al deze gegevens op de stick.

naam, adres, geboortedatum, geboorteplaats en nationaliteit;
telefoonnummer en e-mailadres;
BSN-nummer;
burgerlijke staat;
verzuimduur en –frequentie;
periode in dienst, type en grootte van het contract en de salarisschaal met trede.

Welke informatie staat er over (oud)-cliënten op de USB-stick?

Hieronder volgt een opsomming van het type gegevens van (oud-)cliënten die op de USB-stick staan. Niet van alle (oud-)cliënten staan al deze gegevens op de stick.

naam, adres, geboortedatum, geboorteplaats en nationaliteit;
telefoonnummer en e-mailadres;
BSN-nummer;
geslacht en burgerlijke staat;
informatie over hoe de zorg betaald wordt en de code die hoort bij het type zorg dat Pluryn verleent of heeft verleend.

Op de USB-stick staan, zoals eerder gemeld op onze website, geen bankgegevens, zorgdossiers, kopieën van identiteitsbewijzen of wachtwoorden van (oud-)cliënten.

Zijn er ook gegevens van samenwerkingsrelaties betrokken?

Inmiddels weten we dat er geen gegevens van samenwerkingsrelaties op de USB-stick staan.

Zijn er ook wachtwoorden betrokken?

Inmiddels weten we dat er geen wachtwoorden op de USB-stick staan.

Zijn er ook kopieën van identiteitsbewijzen betrokken?

Inmiddels weten we dat er geen kopieën van identiteitsbewijzen op de USB-stick staan.

Staan er ook medische gegevens op de stick?

Er staan géén zorgdossiers van cliënten op de stick vermeld. Van cliënten en oud-cliënten staat er informatie zoals namen, geboortedata, (mail)adressen, telefoonnummers en BSN-gegevens op de stick.

Wat betekent dit datalek voor betrokkenen? Welke risico’s lopen zij?

In het ergste geval worden de gegevens door iemand gevonden die deze gebruikt voor bijvoorbeeld identiteitsdiefstal. Daarom informeren we iedereen over de mogelijke risico's. Je kunt benaderd worden voor valse incasso's, internetfraude (phising) en id-fraude. We moeten helaas rekening houden met dit scenario, omdat de USB-stick nog niet terecht is.

Lopen betrokken medewerkers en cliënten financiële risico’s door deze gebeurtenis?

Inmiddels weten we dat er geen kopieën van identiteitsbewijzen of bankgegevens op de USB-stick staan. Dat maakt het plegen van financiële (identiteits)fraude moeilijker. Ook is er geen aanleiding om te denken dat de gegevens in het bezit zijn van mensen met verkeerde intenties. Een gespecialiseerd bedrijf doet hier onderzoek naar.

We roepen (oud)-medewerkers en (oud)-cliënten wel op om waakzaam te blijven op verdachte mails, apps, telefoongesprekken en verdenkingen van identiteitsfraude. Op een andere plek in de veelgestelde vragen delen we waar zij extra op kunnen letten. Voor vragen kunnen zij terecht bij het serviceteam via gegevensbescherming@pluryn.nl of telefonisch via 088 – 779 3500.

Wat kan ik zelf doen om me tegen de risico’s te beschermen?

De maatregelen die je het best kan nemen bij een datalek hangen af van de gegevens die gelekt zijn. In dit geval zijn er geen wachtwoorden, bankgegevens of kopieën van identiteitsbewijzen gelekt. Als het om gegevens zoals (e-mail)adressen en telefoonnummers gaat, zoals in dit geval, moet je vooral alert zijn op phising. Dat betekent dat met nepmails of -telefoongesprekken geprobeerd wordt om meer informatie te achterhalen.

Zo kun je zelf maatregelen nemen:

Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat.

Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld.

Wil je weten welke maatregelen je zelf nog meer kan nemen? De Autoriteit Persoonsgegevens vertelt hier wat jij kunt doen.

Wat doet Pluryn om de schade zo klein mogelijk te houden en welke verbetermaatregelen neemt Pluryn?

Om de schade zo beperkt mogelijk te houden, blijven we digitaal zoeken naar de gegevens. Daarnaast hebben we een bedrijf ingeschakeld, dat zoekt of de gegevens ergens te vinden zijn. Bijvoorbeeld omdat iemand de gegevens wil verkopen.

We nemen maatregelen om gebeurtenissen, zoals deze in de toekomst te voorkomen. Dit doen we door medewerkers actief te informeren over veilig omgaan met persoonsgegevens.

Welke hulp biedt Pluryn aan betrokken medewerkers en cliënten?

We hebben een serviceteam ingericht, waar mensen vragen kunnen stellen en we voor zover mogelijk antwoord kunnen geven op eventuele onduidelijkheden. Er is een speciaal telefoonnummer en e-mailadres. Het serviceteam is bereikbaar via mailadres:

E-mailadres: gegevensbescherming@pluryn.nl
Telefoonnummer: 088 - 779 3500 (maandag t/m vrijdag 08.30 –17.00)

Waar kunnen mensen terecht die daadwerkelijk slachtoffer worden van de negatieve gevolgen van het lek?

We hebben geen signalen ontvangen dat de gegevens in verkeerde handen zijn gevallen. En hopen natuurlijk niet dat dat alsnog gebeurt. Samen met een gespecialiseerd bedrijf doen we blijvend onderzoek. Zo zijn we hopelijk snel op de hoogte als dat wel zo is.

Neem maatregelen om je tegen de risico's te beschermen, zoals in een vorige vraag beschreven. Als je daadwerkelijk slachtoffer denkt te zijn van identiteitsfraude, adviseert de Autoriteit Persoonsgegevens je om dit te melden bij het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte te doen bij de politie.

Hoe en wanneer licht Pluryn mensen in die betrokken zijn?

We communiceren transparant en zorgvuldig over wat we weten. Op dinsdag 17 juni infomeerderen we betrokkenen over de verloren USB-stick. Op vrijdag 20 juni gaven we een update over de stand van zaken via de website en het intranet van Pluryn. Op 9 juli communiceerden we voor het laatst over dit onderwerp, omdat het onderzoek naar de gegevens afgerond was en we betrokkenen over de uitkomst informeerden.

Hoe zijn oud-cliënten en oud-medewerkers benaderd?

We probeerden en proberen oud-cliënten en oud-medewerkers te bereiken met berichten op onze website en socialmediakanalen en actief contact met de pers. Oud-cliënten en oud-medewerkers konden we niet mailen, omdat we niet weten of de adres- en mailgegevens die we van hen hebben actueel zijn.

Waarom zijn betrokkenen op 17 juni geïnformeerd, als het lek al op vrijdag 13 juni gemeld is bij de Autoriteit Persoonsgegevens?

Nadat de USB-stick verloren is, is er eerst uitgebreid naar gezocht. Op vrijdag 13 juni was de USB-stick nog niet terecht en was bekend dat er persoonsgegevens op de stick staan. Daarom waren we vanuit de Algemene Verordening Gegevensbescherming (AVG) en de wet op Geneeskundige Behandelovereenkomst verplicht om een melding te maken bij de Autoriteit Persoonsgegevens. Daarna zijn de vervolgstappen concreet uitgewerkt, denk aan berichtgeving, mails, brieven, maar ook een servicenummer met bezetting. Vervolgens konden we op dinsdag 17 juni betrokken mensen informeren.

Kan ik een klacht indienen?

We snappen dat je zorgen hebt, of boos bent. We gaan er graag met je over in gesprek. Als je toch een klacht in wilt dienen over deze gebeurtenis, kan dat via de website van de Autoriteit Persoonsgegevens.

Kan ik aangifte doen?

Wanneer je denkt daadwerkelijk slachtoffer te zijn van identiteitsfraude, adviseert de Autoriteit Persoonsgegevens je om dit te melden bij het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte te doen bij de politie.

Welk bedrijf heeft Pluryn ingeschakeld en wat onderzoekt dat bedrijf?

We hebben hiervoor een gespecialiseerd bedrijf ingeschakeld. Het bedrijf onderzoekt op verschillende manieren of (de data van) de USB-stick ergens vindbaar is of aangeboden wordt. Dat doen ze digitaal, maar ook fysiek. De stick is nog niet gevonden. We blijven zoeken. Tot nu toe hebben we nog geen signalen ontvangen dat de gegevens in verkeerde handen zijn gevallen. En hopen natuurlijk niet dat dat alsnog gebeurt. We zijn door het onderzoek van het bedrijf hopelijk snel op de hoogte als dat wel zo is.

Wat is het beleid van Pluryn op het gebied van beveiliging van persoonsgegevens

Pluryn heeft beleid voor informatiebeveiliging en privacybeleid. Vanuit dit beleid beslissen we hoe we omgaan met de risico’s en welke maatregelen we nemen om risico’s te beperken.

Deel artikel