Visual Autoriteit Persoonsgegevens Contrast

17 juni 2025

Pluryn maakt melding van datalek bij Autoriteit Persoonsgegevens

Op vrijdag 13 juni jl. heeft Pluryn een voorlopige melding gedaan van een datalek bij de Autoriteit Persoonsgegevens. Eerder die week is een onbeveiligde USB-stick kwijtgeraakt waarop in kopie gegevens van (oud-)cliënten, (oud-)medewerkers en relaties van Pluryn staan. De USB-stick is helaas nog niet terecht en daarom moeten we rekening houden met het scenario dat de gegevens door derden kunnen worden gebruikt voor bijvoorbeeld identiteitsfraude.  

Momenteel doen we onderzoek om duidelijkheid te krijgen welke gegevens van welke betrokkenen op de USB-stick staan en of de gegevens ergens worden aangeboden. We weten dat het in ieder geval gaat om NAW-gegevens en BSN-nummers. We verwachten 20 juni meer duidelijkheid te hebben over wie het werkelijk betreft en om welke gegevens het daadwerkelijk gaat.  

Er wordt op dit moment hard aan gewerkt om alle betrokkenen te informeren en te voorzien van voorzorgsmaatregelen die zij zelf al kunnen nemen zoals:  

  • Goed opletten bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat.  

  • Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld.  

Daarnaast kunnen (oud-)medewerkers, (oud-)cliënten en relaties met hun vragen en zorgen bij ons terecht via een speciaal hiervoor ingericht e-mailadres en telefoonnummer. 

Namens de raad van bestuur Pluryn: “We zijn erg geschrokken. Cliënten, medewerkers en relaties delen met ons in vertrouwen hun gegevens en daarbij moeten zij ervanuit kunnen gaan dat we daar zorgvuldig mee omgaan. We betreuren het dat dit nu niet gebeurd is. Wij doen er alles aan om dit vertrouwen te herstellen. Dat doen we door open en transparant te zijn over ons handelen en actie te ondernemen de gegevens terug te vinden. Tevens zijn we een onderzoek gestart in het kader van leren en verbeteren om soortgelijke incidenten in de toekomst zoveel mogelijk te voorkomen.”  

Vragen of contact
Heb je na het lezen van dit bericht nog vragen. Dan kun je ze stellen via jouw persoonlijk begeleider of contactpersoon. Je kunt ook mailen naar gegevensbescherming@pluryn.nl of bellen met 088 – 779 35 00 (bereikbaar van 08.30 tot 17.00 uur).  

Hieronder vind je de antwoorden op de meest gestelde vragen. De lijst is op 20-06-2025 bijgewerkt. Lees ook het nieuwste bericht over het datalek bij Pluryn. 

Antwoorden op veelgestelde vragen

Onlangs is Pluryn een niet beveiligde USB-stick met daarop privacygevoelige informatie verloren. De USB-stick is helaas nog niet teruggevonden. Daarmee moeten we er rekening mee houden dat gegevens in verkeerde handen terecht kunnen komen. Het is niet zo dat we gegevens kwijt zijn die we nu zelf niet meer kunnen inzien. Het bestuur van Pluryn is geschrokken en zoekt tot de bodem uit wat er precies is gebeurd, en of de gegevens ergens worden aangeboden. Pluryn houdt alle betrokkenen zorgvuldig op de hoogte en informeert hen over mogelijke risico's en wat zij zelf kunnen doen om de risico’s te beperken. 

Een datalek houdt in dat iemand per ongeluk, of terwijl dat niet mag persoonsgegevens heeft kunnen zien/gezien, gestolen of op een andere manier gebruikt heeft. Met persoonsgegevens bedoelen we bijvoorbeeld namen, adressen óf financiële informatie. 

In dit specifieke geval weten we dat een niet beveiligde USB-stick met daarop persoons- en bedrijfsgegevens. 

Een USB-stick is een staafje van enkele centimeters waarop je gegevens kunt opslaan. Deze kun je aansluiten op je via de USB-poort aansluiten op een computer.

De USB-stick is niet gestolen. De USB-stick is kwijtgeraakt en helaas nog niet gevonden. Naar de stick wordt blijvend gezocht. Dat doen we fysiek, maar ook digitaal. We hebben een gespecialiseerd bedrijf gevraagd te zoeken naar de gegevens. We hopen natuurlijk dat de gegevens niet online aangeboden worden. Maar door dat continue te onderzoeken zijn we wel op de hoogte.

Hoewel we uitgaan van een incident, onderzoeken we kritisch hoe dit kon gebeuren. USB-sticks worden normaal gesproken niet gebruikt om (persoons)gegevens over te zetten. Hiervoor zijn bij Pluryn diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. We doen er alles aan om het beschadigde vertrouwen te herstellen en dit in de toekomst zoveel mogelijk te voorkomen.

Het gaat om gegevens van huidige medewerkers, huidige cliënten en oud-medewerkers en oud-cliënten. Er staan geen gegevens van samenwerkingsrelaties op de USB-stick. 

We weten dat van cliënten en oud-cliënten er informatie zoals namen, geboortedata, (mail)adressen, telefoonnummers en BSN-gegevens op de USB-stick staan. Er staan géén zorgdossiers van cliënten op de stick. 

We weten inmiddels dat het gaat bijvoorbeeld om namen, geboortedatums, (mail)adresgegevens, telefoonnummer(s) en ook BSN-nummers. Op de stick staan geen bankgegevens, kopieën van identiteitsbewijzen of wachtwoorden.

Inmiddels weten we dat er geen gegevens van samenwerkingsrelaties op de USB-stick staan. 

Inmiddels weten we dat er geen wachtwoorden op de USB-stick staan.  

Inmiddels weten we dat er geen kopieën van identiteitsbewijzen op de USB-stick staan.

Van cliënten en oud-cliënten staat er informatie zoals namen, geboortedata, (mail)adressen, telefoonnummers en BSN-gegevens op de stick. Er staan géén zorgdossiers van cliënten op de stick vermeld.

In het ergste geval worden de gegevens door iemand gevonden die deze gebruikt voor bijvoorbeeld identiteitsdiefstal. Daarom informeren we iedereen over de mogelijke risico's. Je kunt benaderd worden voor valse incasso's, internetfraude (phising) en id-fraude. We moeten helaas rekening houden met dit scenario, omdat de USB-stick nog niet terecht is. 

Inmiddels weten we dat er geen kopieën van identiteitsbewijzen of bankgegevens op de USB-stick staan. Dat maakt het plegen van financiële (identiteits)fraude moeilijker. Ook is er nog geen aanleiding om te denken dat de gegevens in het bezit zijn bij mensen met verkeerde intenties. Een gespecialiseerd bedrijf doet hier onderzoek naar.  

We roepen (oud)-medewerkers en (oud)-cliënten wel op om waakzaam te blijven op verdachte mails, apps, telefoongesprekken en verdenkingen van identiteitsfraude. Op een andere plek in de veelgestelde vragen delen we waar zij extra op kunnen letten. Voor vragen kunnen zij terecht bij het serviceteam via gegevensbescherming@pluryn.nl of telefonisch via 088 – 779 3500. 

De maatregelen die je het best kan nemen bij een datalek hangen af van de gegevens die gelekt zijn. In dit geval zijn er geen wachtwoorden, bankgegevens of kopieën van identiteitsbewijzen gelekt. Als het om gegevens zoals (e-mail)adressen en telefoonnummers gaat, zoals in dit geval, moet je vooral alert zijn op phising. Dat betekent dat met nepmails of -telefoongesprekken geprobeerd wordt om meer informatie te achterhalen. 

Zo kun je zelf maatregelen nemen: 

  • Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat. 

  • Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld. 

Wil je weten welke maatregelen je zelf nog meer kan nemen? De Autoriteit Persoonsgegevens vertelt hier wat jij kunt doen.    

Om de schade zo beperkt mogelijk te houden, wordt uitvoerig gezocht naar de USB-stick. Daarnaast hebben we een bedrijf ingeschakeld, dat zoekt of de gegevens ergens te vinden zijn. Bijvoorbeeld omdat iemand de gegevens wil verkopen.  

We nemen maatregelen om gebeurtenissen, zoals deze in de toekomst te voorkomen. Dit doen we door medewerkers actief te informeren over veilig omgaan met persoonsgegevens. 

We hebben een serviceteam ingericht, waar mensen vragen kunnen stellen en we voor zover mogelijk antwoord kunnen geven op eventuele onduidelijkheden. Er is een speciaal telefoonnummer en e-mailadres.  Het serviceteam is bereikbaar via mailadres: 

We hebben nog geen signalen ontvangen dat de gegevens in verkeerde handen zijn gevallen. En hopen natuurlijk niet dat dat alsnog gebeurt. Samen met een gespecialiseerd bedrijf doen we blijvend onderzoek. Zo zijn we hopelijk snel op de hoogte als dat wel zo is.  

Neem maatregelen om je tegen de risico's te beschermen, zoals in een vorige vraag beschreven. Als je daadwerkelijk slachtoffer denkt te zijn van identiteitsfraude, adviseert de Autoriteit Persoonsgegevens je om dit te melden bij het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte te doen bij de politie. 

We willen transparant communiceren over wat we weten. Maar dat wel zorgvuldig doen. Dat doen we stapsgewijs. Op dinsdag 17 juni infomeerderen we betrokkenen over de verloren USB-stick. Op vrijdag 20 juni gaven we een update over de stand van zaken via de website en het intranet van Pluryn. Vanwege de hoeveelheid data is het uitzoeken een complex en tijdrovende klus. Daarom is er meer tijd nodig. Zodra we meer weten, zullen we dit delen.

We proberen oud-cliënten en oud-medewerkers te bereiken door berichten op onze website en onze socialmediakanalen te plaatsen en actief contact te zoeken met de pers. We hebben oud-cliënten en oud-medewerkers niet gemaild omdat we niet weten of de adres- en mailgegevens die we van hen hebben actueel zijn. 

Nadat de USB-stick verloren is, is er eerst uitgebreid naar gezocht. Op vrijdag 13 juni was de USB-stick nog niet terecht en was bekend dat er persoonsgegevens op de stick staan. Daarom waren we vanuit de Algemene Verordening Gegevensbescherming (AVG) en de wet op Geneeskundige Behandelovereenkomst verplicht om een melding te maken bij de Autoriteit Persoonsgegevens. Daarna zijn de vervolgstappen concreet uitgewerkt, denk aan berichtgeving, mails, brieven, maar ook een servicenummer met bezetting. Vervolgens konden we op dinsdag 17 juni betrokken mensen informeren.

We snappen dat je zorgen hebt, of boos bent. We gaan er graag met je over in gesprek. Als je toch een klacht in wilt dienen over deze gebeurtenis, kan dat via de website van de Autoriteit Persoonsgegevens: https://www.autoriteitpersoonsgegevens.nl/. 

We hebben hiervoor een gespecialiseerd bedrijf ingeschakeld. Het bedrijf onderzoekt op verschillende manieren of (de data van) de USB-stick ergens vindbaar is of aangeboden wordt. Dat doen ze digitaal, maar ook fysiek. De stick is nog niet gevonden. Maar we blijven zoeken. We hebben nog geen signalen ontvangen dat de gegevens in verkeerde handen zijn gevallen. En hopen natuurlijk niet dat dat alsnog gebeurt. We zijn door het onderzoek van het bedrijf hopelijk snel op de hoogte als dat wel zo is.

Hoewel we uitgaan van een eenmalig incident, onderzoeken we kritisch hoe dit kon gebeuren. USB-sticks worden bij Pluryn normaal gesproken niet gebruikt om (persoons)gegevens over te zetten. Hiervoor zijn diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. We doen er alles aan om het beschadigde vertrouwen te herstellen en dit in de toekomst zoveel mogelijk te voorkomen.

Pluryn heeft beleid voor informatiebeveiliging en privacybeleid. Vanuit dit beleid beslissen we hoe we omgaan met de risico’s en welke maatregelen we nemen om risico’s te beperken. Pluryn besteedt veel aandacht aan informatiebeveiliging en privacy. Helaas is er in dit geval toch iets misgegaan.

Deel artikel