Leiden, 10 juli 2025,
De Nijmeegse zorginstelling Stichting Pluryn is begin juni 2025 een USB-stick kwijtgeraakt waarop persoonsgegevens van cliënten stonden. De gegevens betreffen personen die tot en met 25 januari 2025 onder behandeling waren, en gaan mogelijk terug tot het jaar 2000. Het verlies betreft daarmee mogelijk informatie van een periode van 25 jaar.
Gegevens op de verloren USB-stick
Volgens een verklaring van Pluryn bevatte de USB-stick uitsluitend persoonsgegevens, zoals namen, adressen, contactgegevens en burgerservicenummers (BSN) van (oud)cliënten en (oud)medewerkers. Medische dossiers, bankgegevens, wachtwoorden of kopieën van identiteitsbewijzen zouden niet op de stick aanwezig zijn. Niettemin gaat het om een aanzienlijk risico op identiteitsfraude.
Pluryn benadrukt dat het verlies van de USB-stick berust op een menselijke fout en dat er geen sprake is van opzet. De medewerker die de USB-stick is kwijtgeraakt, handelde volgens de instelling buiten de geldende protocollen.
Stichting Jeugdrecht kan dat deze uitleg niet zonder meer te accepteren. Volgens de stichting is het ontoelaatbaar dat binnen een professionele zorginstelling nog sprake kan zijn van situaties waarin gevoelige persoonsgegevens via onbeveiligde middelen worden verwerkt of vervoerd. Een dergelijke "menselijke fout" wijst volgens hen op structurele tekortkomingen in beleid, toezicht en naleving van interne beveiligingsvoorschriften. De stichting stelt dat van een organisatie met een wettelijke zorgplicht verwacht mag worden dat dergelijke risico’s organisatorisch worden uitgesloten.
Onderzoek en melding
Pluryn heeft het datalek gemeld bij de Autoriteit Persoonsgegevens (AP) en is een onderzoek gestart met ondersteuning van een forensisch onderzoeksbureau. De USB-stick is tot op heden niet teruggevonden. Ook is er vooralsnog geen aanwijzing dat de gegevens actief misbruikt worden. De interne onderzoeksmaatregelen richten zich op zowel fysieke zoekacties als monitoring van digitale kanalen.
Kritiek op gebruik van onbeveiligde opslagmedia
Stichting Jeugdrecht heeft kritiek geuit op het feit dat een grote zorginstelling als Pluryn gebruikmaakt van een eenvoudige, onbeveiligde USB-stick. In de huidige digitale tijd wordt van zorginstellingen verwacht dat zij persoonsgegevens uitsluitend verwerken via goed beveiligde systemen. Pluryn maakt gebruik van platforms zoals Microsoft 365 en MoreCare 4, die ingericht zijn op veilige opslag, toegang en verwerking van gevoelige cliëntgegevens.
Het gebruik van een onbeveiligde USB-stick staat haaks op de AVG (Algemene Verordening Gegevensbescherming) en op basale normen van informatiebeveiliging. Beveiligde USB-sticks met encryptie of pincodebeveiliging zijn bovendien breed beschikbaar, en vormen een minimumnorm indien fysieke opslag toch noodzakelijk is.
Reactie van Pluryn
Pluryn heeft in een aanvullende verklaring laten weten op haar site en via de media, dat het gebruik van USB-sticks binnen de organisatie in principe niet is toegestaan voor het overzetten van persoonsgegevens. Er zijn inmiddels maatregelen getroffen om de bestaande regels verder aan te scherpen. Hieronder vallen:
-
Het technisch blokkeren van USB-poorten waar mogelijk.
-
Het verplicht stellen van versleutelde opslag indien fysieke data-overdracht onvermijdelijk is.
-
Intensivering van bewustwording en trainingen voor medewerkers over gegevensbeveiliging.
-
Herziening van protocollen en autorisaties voor dataverwerking.
Politieke en maatschappelijke gevolgen
Het incident leidt tot bredere vragen over de beveiliging van cliëntgegevens binnen de zorgsector. De Autoriteit Persoonsgegevens heeft bevestigd dat de melding is ontvangen en zal beoordelen of nader toezicht noodzakelijk is. Politieke partijen hebben nog geen vragen gesteld over hoe de naleving van de AVG in de zorgsector beter geborgd kan worden.
Stichting Jeugdrecht overweegt formeel contact op te nemen met Pluryn om nadere toelichting te vragen. Er wordt bovendien gepleit voor heldere wet- of regelgeving rondom fysieke opslag van persoonsgegevens in de zorg, om dergelijke incidenten in de toekomst uit te sluiten.
Conclusie
Het verlies van de USB-stick bij Pluryn maakt pijnlijk duidelijk dat het naleven van privacyregels in de praktijk tekort kan schieten, ook bij grote zorginstellingen. De vertrouwelijkheid van cliëntgegevens vereist een strikte omgang met digitale en fysieke opslagmiddelen. Hoewel Pluryn direct melding heeft gemaakt van het incident en maatregelen neemt om herhaling te voorkomen, roept het incident vragen op over bredere structurele kwetsbaarheden in de sector.