Visual Autoriteit Persoonsgegevens Contrast

17 juni 2025

Pluryn maakt melding van datalek bij Autoriteit Persoonsgegevens

Op vrijdag 13 juni jl. heeft Pluryn een voorlopige melding gedaan van een datalek bij de Autoriteit Persoonsgegevens. Eerder die week is een onbeveiligde USB-stick kwijtgeraakt waarop in kopie gegevens van (oud-)cliënten, (oud-)medewerkers en relaties van Pluryn staan. De USB-stick is helaas nog niet terecht en daarom moeten we rekening houden met het scenario dat de gegevens door derden kunnen worden gebruikt voor bijvoorbeeld identiteitsfraude.

Momenteel doen we onderzoek om duidelijkheid te krijgen welke gegevens van welke betrokkenen op de USB-stick staan en of de gegevens ergens worden aangeboden. We weten dat het in ieder geval gaat om NAW-gegevens en BSN-nummers. We verwachten 20 juni meer duidelijkheid te hebben over wie het werkelijk betreft en om welke gegevens het daadwerkelijk gaat.

Er wordt op dit moment hard aan gewerkt om alle betrokkenen te informeren en te voorzien van voorzorgsmaatregelen die zij zelf al kunnen nemen zoals:

Goed opletten bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat. 
Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld.

Daarnaast kunnen (oud-)medewerkers, (oud-)cliënten en relaties met hun vragen en zorgen bij ons terecht via een speciaal hiervoor ingericht e-mailadres en telefoonnummer.

Namens de raad van bestuur Pluryn: “We zijn erg geschrokken. Cliënten, medewerkers en relaties delen met ons in vertrouwen hun gegevens en daarbij moeten zij ervanuit kunnen gaan dat we daar zorgvuldig mee omgaan. We betreuren het dat dit nu niet gebeurd is. Wij doen er alles aan om dit vertrouwen te herstellen. Dat doen we door open en transparant te zijn over ons handelen en actie te ondernemen de gegevens terug te vinden. Tevens zijn we een onderzoek gestart in het kader van leren en verbeteren om soortgelijke incidenten in de toekomst zoveel mogelijk te voorkomen.”

Vragen of contact
Heb je na het lezen van dit bericht nog vragen. Dan kun je ze stellen via jouw persoonlijk begeleider of contactpersoon. Je kunt ook mailen naar gegevensbescherming@pluryn.nl of bellen met 088 – 779 35 00 (bereikbaar van 08.30 tot 17.00 uur). 

Hieronder vind je de antwoorden op de meest gestelde vragen.

Antwoorden op veelgestelde vragen

Wat is er gebeurd?

Onlangs is Pluryn een niet beveiligde USB-stick met daarop bedrijfs- en privacygevoelige informatie verloren. De USB-stick is helaas nog niet teruggevonden. Daarmee moeten we er rekening mee houden dat gegevens in verkeerde handen terecht kunnen komen. Het is niet zo dat we gegevens kwijt zijn die we nu zelf niet meer kunnen inzien. Het bestuur van Pluryn is geschrokken en zoekt tot de bodem uit wat er precies is gebeurd, en of de gegevens ergens worden aangeboden. Pluryn houdt alle betrokkenen zorgvuldig op de hoogte en informeert hen over mogelijke risico's en wat zij zelf kunnen doen om de risico’s te beperken.

Wat is een datalek?

Een datalek houdt in dat iemand per ongeluk, of terwijl dat niet mag persoonsgegevens heeft kunnen zien/gezien, gestolen of op een andere manier gebruikt heeft. Met persoonsgegevens bedoelen we bijvoorbeeld namen, adressen óf financiële informatie.

In dit specifieke geval weten we dat een niet beveiligde USB-stick met daarop persoons- en bedrijfsgegevens.

Wat is een USB-stick?

Een USB-stick is een staafje van enkele centimeters waarop je gegevens kunt opslaan. Deze kun je aansluiten op je via de USB-poort aansluiten op een computer.

Welke informatie is gelekt?

We onderzoeken op dit moment wie het werkelijk betreft en om welke gegevens het precies gaat. De eerste indruk is dat het om persoonsgegevens gaat van cliënten en medewerkers, waaronder namen, adressen en BSN-nummers.

Om gegevens van wie gaat het?

Het gaat om gegevens van huidige medewerkers, huidige cliënten en zeer waarschijnlijk ook van oud-medewerkers en oud-cliënten. Wij onderzoeken of er ook gegevens van andere personen of organisaties op de usb-stick staan.

Wat betekent dit datalek voor betrokkenen? Welke risico’s lopen zij?

In het ergste geval wordt/is de USB-stick door iemand gevonden, die deze gebruikt voor bijvoorbeeld identiteitsdiefstal. Daarom informeren we iedereen over de mogelijke risico's. Je kunt benaderd worden voor valse incasso's, interfraude (phising) en id-fraude. We moeten helaas rekening houden met dit scenario, omdat de USB-stick nog niet terecht is.

Zo kun je zelf al maatregelen nemen:

Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat.
Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld.

Wat is het beleid van Pluryn op het gebied van beveiliging van persoonsgegevens?

Pluryn heeft beleid voor informatiebeveiliging en privacybeleid. Vanuit dit beleid beslissen we hoe we omgaan met de risico’s en welke maatregelen we nemen om risico’s te beperken. Pluryn besteedt veel aandacht aan informatiebeveiliging en privacy. Helaas is er in dit geval toch iets misgegaan.

Wat kun je doen als jouw gegevens op straat liggen?

Je kunt jezelf beschermen tegen de mogelijke gevolgen van een datalek om zo de schade te beperken. Wat je kunt doen:

Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat.
Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld.

Hoe en wanneer lichten jullie mensen in die betrokken zijn?

Op dinsdag 17 juni informeren we eerst onze medewerkers, en meteen daarna gemeenten, zorgkantoren, cliënten/clientvertegenwoordigers en het brede publiek. We communiceren transparant over wat we op dit moment weten. Het onderzoek loopt nog. Daarom laten we in verschillende fasen de doelgroepen weten wat voor hen belangrijk is.

We geven zodra we kunnen relevante verdere informatie aan de betrokkenen.

Welke hulp biedt Pluryn aan mensen die betrokken zijn?

We hebben een serviceteam ingericht, waar mensen vragen kunnen stellen en we voor zover mogelijk antwoord kunnen geven op eventuele onduidelijkheden. Er is een speciaal telefoonnummer en e-mailadres. Het serviceteam is bereikbaar via mailadres:

E-mailadres: gegevensbescherming@pluryn.nl
Telefoonnummer: 088-779 3500 (ma t/m vrij 08.30 –17.00)

Wat doet Pluryn om de schade zo klein mogelijk te houden en welke verbetermaatregelen neemt Pluryn?

Om de schade zo beperkt mogelijk te houden, is uitvoerig gezocht naar de USB-stick. Daarnaast hebben we een bedrijf ingeschakeld, dat zoekt of de gegevens ergens te vinden zijn. Bijvoorbeeld omdat iemand de gegevens wil verkopen.

We nemen maatregelen om gebeurtenissen, zoals deze in de toekomst te voorkomen. Dit doen we door medewerkers actief te informeren over veilig omgaan met persoonsgegevens.

Deel artikel