Visual Autoriteit Persoonsgegevens Contrast

20 juni 2025

Update over het datalek bij Pluryn

Helaas is de verloren USB-stick nog niet teruggevonden. We blijven ernaar zoeken. Dat doen we fysiek, maar ook, in samenwerking met een gespecialiseerd bedrijf, digitaal door te kijken of de gegevens ergens worden aangeboden. Dat is tot op heden niet het geval. Inmiddels weten we dat er veel gegevens op de USB-stick staan. Vanwege de hoeveelheid data is het uitzoeken een complexe en tijdrovende klus. Daarom is er meer tijd nodig. Zodra we meer weten, zullen we dit delen. 

Gegevens op de USB-stick
We weten nu dat er van: 

  • (oud-)cliënten geen zorgdossiers zijn aangetroffen.
  • (oud-)medewerkers geen bankgegevens en geen kopieën van identiteitsbewijzen op de stick staan. 
  • (oud-)medewerkers en (oud-)cliënten geen wachtwoorden zijn aangetroffen.
  • van samenwerkingsrelaties geen gegevens zijn aangetroffen. 

Het gaat zoals eerder gemeld om namen, geboortedata, (mail)adresgegevens, telefoonnummer(s) en BSN-nummers.  

Onderzoek naar de oorzaak
Hoewel we uitgaan van een incident, onderzoeken we kritisch hoe dit heeft kunnen gebeuren. USB-sticks worden normaal gesproken niet gebruikt om (persoons)gegevens over te zetten. Hiervoor zijn bij Pluryn diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. We doen er alles aan om het beschadigde vertrouwen te herstellen en dit in de toekomst zoveel mogelijk te voorkomen.

Alert blijven
We vragen alle betrokkenen alert te blijven op verdachte mails, apps, telefoongesprekken en verdenkingen van identiteitsfraude. 

Vragen
Heb je vragen over het datalek? Kijk dan eerst bij de antwoorden op de veelgestelde vragen hieronder. Staat het antwoord op je vraag er niet tussen? Stel je vraag dan aan jouw persoonlijk begeleider, of contactpersoon. 
 
Je kunt ook mailen naar gegevensbescherming@pluryn.nl, of bellen met 088 – 779 35 00 (bereikbaar van 08.30 tot 17.00 uur). 

Wat kun je zelf doen? 
Wil je weten welke maatregelen je zelf nog meer kan nemen? De Autoriteit Persoonsgegevens vertelt hier wat jij kunt doen.   

Hieronder vind je antwoorden op de veelgestelde vragen.  

Antwoorden op veelgestelde vragen

Onlangs is Pluryn een niet beveiligde USB-stick met daarop privacygevoelige informatie verloren. De USB-stick is helaas nog niet teruggevonden. Daarmee moeten we er rekening mee houden dat gegevens in verkeerde handen terecht kunnen komen. Het is niet zo dat we gegevens kwijt zijn die we nu zelf niet meer kunnen inzien. Het bestuur van Pluryn is geschrokken en zoekt tot de bodem uit wat er precies is gebeurd, en of de gegevens ergens worden aangeboden. Pluryn houdt alle betrokkenen zorgvuldig op de hoogte en informeert hen over mogelijke risico's en wat zij zelf kunnen doen om de risico’s te beperken. 

Een datalek houdt in dat iemand per ongeluk, of terwijl dat niet mag persoonsgegevens heeft kunnen zien/gezien, gestolen of op een andere manier gebruikt heeft. Met persoonsgegevens bedoelen we bijvoorbeeld namen, adressen óf financiële informatie. 

In dit specifieke geval weten we dat een niet beveiligde USB-stick met daarop persoons- en bedrijfsgegevens. 

Een USB-stick is een staafje van enkele centimeters waarop je gegevens kunt opslaan. Deze kun je aansluiten op je via de USB-poort aansluiten op een computer.

De USB-stick is niet gestolen. De USB-stick is kwijtgeraakt en helaas nog niet gevonden. Naar de stick wordt blijvend gezocht. Dat doen we fysiek, maar ook digitaal. We hebben een gespecialiseerd bedrijf gevraagd te zoeken naar de gegevens. We hopen natuurlijk dat de gegevens niet online aangeboden worden. Maar door dat continue te onderzoeken zijn we wel op de hoogte.

Hoewel we uitgaan van een incident, onderzoeken we kritisch hoe dit kon gebeuren. USB-sticks worden normaal gesproken niet gebruikt om (persoons)gegevens over te zetten. Hiervoor zijn bij Pluryn diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. We doen er alles aan om het beschadigde vertrouwen te herstellen en dit in de toekomst zoveel mogelijk te voorkomen.

Het gaat om gegevens van huidige medewerkers, huidige cliënten en oud-medewerkers en oud-cliënten. Er staan geen gegevens van samenwerkingsrelaties op de USB-stick. 

We weten dat van cliënten en oud-cliënten er informatie zoals namen, geboortedata, (mail)adressen, telefoonnummers en BSN-gegevens op de USB-stick staan. Er staan géén zorgdossiers van cliënten op de stick. 

We weten inmiddels dat het gaat bijvoorbeeld om namen, geboortedatums, (mail)adresgegevens, telefoonnummer(s) en ook BSN-nummers. Op de stick staan geen bankgegevens, kopieën van identiteitsbewijzen of wachtwoorden.

Inmiddels weten we dat er geen gegevens van samenwerkingsrelaties op de USB-stick staan. 

Inmiddels weten we dat er geen wachtwoorden op de USB-stick staan.  

Inmiddels weten we dat er geen kopieën van identiteitsbewijzen op de USB-stick staan.

Van cliënten en oud-cliënten staat er informatie zoals namen, geboortedata, (mail)adressen, telefoonnummers en BSN-gegevens op de stick. Er staan géén zorgdossiers van cliënten op de stick vermeld.

In het ergste geval worden de gegevens door iemand gevonden die deze gebruikt voor bijvoorbeeld identiteitsdiefstal. Daarom informeren we iedereen over de mogelijke risico's. Je kunt benaderd worden voor valse incasso's, internetfraude (phising) en id-fraude. We moeten helaas rekening houden met dit scenario, omdat de USB-stick nog niet terecht is. 

Inmiddels weten we dat er geen kopieën van identiteitsbewijzen of bankgegevens op de USB-stick staan. Dat maakt het plegen van financiële (identiteits)fraude moeilijker. Ook is er nog geen aanleiding om te denken dat de gegevens in het bezit zijn bij mensen met verkeerde intenties. Een gespecialiseerd bedrijf doet hier onderzoek naar.  

We roepen (oud)-medewerkers en (oud)-cliënten wel op om waakzaam te blijven op verdachte mails, apps, telefoongesprekken en verdenkingen van identiteitsfraude. Op een andere plek in de veelgestelde vragen delen we waar zij extra op kunnen letten. Voor vragen kunnen zij terecht bij het serviceteam via gegevensbescherming@pluryn.nl of telefonisch via 088 – 779 3500. 

De maatregelen die je het best kan nemen bij een datalek hangen af van de gegevens die gelekt zijn. In dit geval zijn er geen wachtwoorden, bankgegevens of kopieën van identiteitsbewijzen gelekt. Als het om gegevens zoals (e-mail)adressen en telefoonnummers gaat, zoals in dit geval, moet je vooral alert zijn op phising. Dat betekent dat met nepmails of -telefoongesprekken geprobeerd wordt om meer informatie te achterhalen. 

Zo kun je zelf maatregelen nemen: 

  • Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. Je kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer. En wat er na het ‘@’-teken van een e-mailadres staat. 

  • Word je gebeld door een onbekend telefoonnummer? Controleer het telefoonnummer. Je kunt bijvoorbeeld vragen naar de naam van de medewerker. En naar het algemene telefoonnummer van het bedrijf waar de beller zegt te werken. Controleer of je het nummer herkent. Twijfel je? Controleer dan bij het bedrijf of je door hen bent gebeld. 

Wil je weten welke maatregelen je zelf nog meer kan nemen? De Autoriteit Persoonsgegevens vertelt hier wat jij kunt doen.    

Om de schade zo beperkt mogelijk te houden, wordt uitvoerig gezocht naar de USB-stick. Daarnaast hebben we een bedrijf ingeschakeld, dat zoekt of de gegevens ergens te vinden zijn. Bijvoorbeeld omdat iemand de gegevens wil verkopen.  

We nemen maatregelen om gebeurtenissen, zoals deze in de toekomst te voorkomen. Dit doen we door medewerkers actief te informeren over veilig omgaan met persoonsgegevens. 

We hebben een serviceteam ingericht, waar mensen vragen kunnen stellen en we voor zover mogelijk antwoord kunnen geven op eventuele onduidelijkheden. Er is een speciaal telefoonnummer en e-mailadres.  Het serviceteam is bereikbaar via mailadres: 

We hebben nog geen signalen ontvangen dat de gegevens in verkeerde handen zijn gevallen. En hopen natuurlijk niet dat dat alsnog gebeurt. Samen met een gespecialiseerd bedrijf doen we blijvend onderzoek. Zo zijn we hopelijk snel op de hoogte als dat wel zo is.  

Neem maatregelen om je tegen de risico's te beschermen, zoals in een vorige vraag beschreven. Als je daadwerkelijk slachtoffer denkt te zijn van identiteitsfraude, adviseert de Autoriteit Persoonsgegevens je om dit te melden bij het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte te doen bij de politie. 

We willen transparant communiceren over wat we weten. Maar dat wel zorgvuldig doen. Dat doen we stapsgewijs. Op dinsdag 17 juni infomeerderen we betrokkenen over de verloren USB-stick. Op vrijdag 20 juni gaven we een update over de stand van zaken via de website en het intranet van Pluryn. Vanwege de hoeveelheid data is het uitzoeken een complex en tijdrovende klus. Daarom is er meer tijd nodig. Zodra we meer weten, zullen we dit delen.

We proberen oud-cliënten en oud-medewerkers te bereiken door berichten op onze website en onze socialmediakanalen te plaatsen en actief contact te zoeken met de pers. We hebben oud-cliënten en oud-medewerkers niet gemaild omdat we niet weten of de adres- en mailgegevens die we van hen hebben actueel zijn. 

Nadat de USB-stick verloren is, is er eerst uitgebreid naar gezocht. Op vrijdag 13 juni was de USB-stick nog niet terecht en was bekend dat er persoonsgegevens op de stick staan. Daarom waren we vanuit de Algemene Verordening Gegevensbescherming (AVG) en de wet op Geneeskundige Behandelovereenkomst verplicht om een melding te maken bij de Autoriteit Persoonsgegevens. Daarna zijn de vervolgstappen concreet uitgewerkt, denk aan berichtgeving, mails, brieven, maar ook een servicenummer met bezetting. Vervolgens konden we op dinsdag 17 juni betrokken mensen informeren.

We snappen dat je zorgen hebt, of boos bent. We gaan er graag met je over in gesprek. Als je toch een klacht in wilt dienen over deze gebeurtenis, kan dat via de website van de Autoriteit Persoonsgegevens: https://www.autoriteitpersoonsgegevens.nl/. 

We hebben hiervoor een gespecialiseerd bedrijf ingeschakeld. Het bedrijf onderzoekt op verschillende manieren of (de data van) de USB-stick ergens vindbaar is of aangeboden wordt. Dat doen ze digitaal, maar ook fysiek. De stick is nog niet gevonden. Maar we blijven zoeken. We hebben nog geen signalen ontvangen dat de gegevens in verkeerde handen zijn gevallen. En hopen natuurlijk niet dat dat alsnog gebeurt. We zijn door het onderzoek van het bedrijf hopelijk snel op de hoogte als dat wel zo is.

Hoewel we uitgaan van een eenmalig incident, onderzoeken we kritisch hoe dit kon gebeuren. USB-sticks worden bij Pluryn normaal gesproken niet gebruikt om (persoons)gegevens over te zetten. Hiervoor zijn diverse beveiligde systemen, rollen en rechten ingericht. Zoals het werken in een beveiligde omgeving, in beveiligde elektronische cliëntdossiers en met encryptie. We doen er alles aan om het beschadigde vertrouwen te herstellen en dit in de toekomst zoveel mogelijk te voorkomen.

Pluryn heeft beleid voor informatiebeveiliging en privacybeleid. Vanuit dit beleid beslissen we hoe we omgaan met de risico’s en welke maatregelen we nemen om risico’s te beperken. Pluryn besteedt veel aandacht aan informatiebeveiliging en privacy. Helaas is er in dit geval toch iets misgegaan.

Deel artikel