Beveiligingsincident iHub Informatie voor cliënten en ouders

Wat is er gebeurd en wat betekent dit voor jou?

Op deze pagina leggen we uit wat het beveiligingsincident inhoudt, welke persoonsgegevens mogelijk toegankelijk waren, wat dit voor jou betekent en welke maatregelen we hebben genomen om jouw privacy te beschermen.

Wat is er gebeurd?

Op 8 augustus 2025 is een beveiligingsincident gemeld binnen iHub. In een digitale werkomgeving (SharePoint) bleken mappen met persoonsgegevens van cliënten toegankelijk voor een grote groep medewerkers die daar geen toegang toe zouden mogen hebben. Het merendeel van deze mappen bevat geen persoonsgegevens, maar één specifieke map bleek wel persoonsgegevens te bevatten.

Het ging om een map met plaatsingsgegevens van cliënten, zoals het type zorg dat zij ontvingen. Deze map was sinds maart 2023 technisch gezien toegankelijk voor circa 1500 medewerkers binnen iHub. Direct na constatering van deze te brede autorisatie, zijn er maatregelen genomen om de toegang te beperken en het incident zorgvuldig te onderzoeken.

Om wat voor gegevens gaat het?

De map bevatte één of meerdere persoonsgegevens van cliënten die in zorg zijn (of waren) bij iHub:

  • Volledige naam
  • Geboortedatum
  • Burgerservicenummer (BSN)
  • Plaatsingstype (zoals Pleegzorg, Verblijf residentie, Crisis, Ambulant)

De map bevat géén:

  • Medische dossiers, diagnoses of details
  • Gespreksverslagen
  • Contactgegevens zoals (email)adres of telefoonnummer
  • Wachtwoorden
  • Bankgegevens

Wat betekent dit voor jou?

De gegevens zijn niet buiten iHub verspreid, maar waren wel toegankelijk voor medewerkers die ze niet nodig hadden voor hun werk. Dit druist in tegen ons beleid en de privacywetgeving. Het is onduidelijk of de map ook daadwerkelijk is bekeken door medewerkers die hier onrechtmatig toegang toe hadden. We gaan ervanuit dat onze medewerkers (die allen een Verklaring Omtrent Gedrag hebben) volgens de gedragscodes binnen iHub hebben gehandeld. Maar omdat we dat niet kunnen aantonen, is er sprake van een beveiligingsincident waarvan we jullie op de hoogte willen stellen.

Concreet zou het beschikbaar zijn van de genoemde persoonsgegevens voor een te grote groep medewerkers, bij cliënten kunnen leiden tot:

  • Stress of zorgen over wie jouw gegevens heeft kunnen zien.
  • Reputatieschade, als informatie over een plaatsing bij de verkeerde mensen terecht komt
  • Identiteitsfraude, als iemand jouw BSN-nummer gebruikt
  • Het risico op reputatieschade of identiteitsfraude wordt echter als beperkt (laag) ingeschat.

Wat doet iHub nu?

We hebben direct actie ondernomen:

  • De map is tijdelijk gesloten en autorisaties zijn aangepast.
  • De Functionaris Gegevensbescherming is betrokken.
  • Er is een melding gedaan bij de Autoriteit Persoonsgegevens.
  • Onze digitale werkomgevingen krijgen een andere organisatiestructuur.

Veelgestelde vragen (FAQ)

1. Wat is een beveiligingsincident?

Een beveiligingsincident is een gebeurtenis waarbij de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of gegevens in gevaar komt. Dit kan bijvoorbeeld komen door een hackpoging, het verlies van een apparaat waarop gegevens zijn opgeslagen, of een menselijke fout.

2. Om wat voor soort beveiligingsincident gaat het?

In dit geval gaat het om het toegankelijk worden van persoonsgegevens voor mensen die daar geen recht op hebben. Dit type beveiligingsincident wordt ook wel een datalek genoemd.

3. Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens die bij een persoon horen, zoals je naam, geboortedatum of bijvoorbeeld een cliëntnummer.

4. Om wat voor persoonsgegevens gaat het in dit geval?

Het kan gaan om enkele of meerdere van de volgende gegevens (dit is niet voor iedereen hetzelfde): volledige naam, geboortedatum, burgerservicenummer (BSN), plaatsingstype (zoals Pleegzorg, Verblijf residentie, Crisis, Ambulant) van ongeveer 9% van de cliënten in zorg bij iHub.

5. Waarom wordt het risico op reputatieschade of identiteitsfraude naar aanleiding van dit incident als beperkt ingeschat?

De reden dat we het risico op reputatieschade of identiteitsfraude als beperkt hebben gekwalificeerd, is dat ondanks de autorisatie van de mappen niet correct was ingesteld, deze mappen enkel toegankelijk waren voor medewerkers binnen iHub. Deze medewerkers zijn vanuit hun contract gebonden aan een geheimhoudingsplicht.

6. Hoe weet ik of ik betrokken ben?

Als je tussen 2024 en 2025 cliënt bent (of was) bij iHub, kan je betrokken zijn. Maar het kan ook dat jouw gegevens er niet tussen stonden.

7. Hoe weet ik zeker dat mijn gegevens niet gedeeld zijn buiten iHub?

Dit weten we niet 100% zeker. Technisch gezien is het niet mogelijk dit uit te sluiten. We verwachten dat als dit in de afgelopen tijd gebeurd was, we dit zeker hadden gehoord of opgemerkt.

8. Waarom ben ik als cliënt niet proactief hierover benaderd?

In overleg met de Functionaris Gegevensbescherming hebben we als organisatie de weloverwogen afweging gemaakt om cliënten niet direct te informeren, om de volgende redenen:

  • omdat de contactgegevens niet in de gelekte map stonden, zou er potentieel een nieuw datalek ontstaan bij het verzamelen van de juiste informatie van de (oud-)cliënten;
  • bovendien is niet uit te sluiten dat voormalige/onjuiste gezagsdragers geïnformeerd zouden worden, wat opnieuw tot een datalek kan leiden en ook het verstoren van netwerkrelaties tot gevolg kan hebben;
  • het informeren zou een onevenredige inspanning vergen, waarmee er sprake is van een uitzondering op de informatieplicht vanuit de wet AVG;
  • tot slot zou het informeren van cliënten extra schade aan hen kunnen toebrengen. We willen geen onnodige onrust, stress en zorgen veroorzaken omdat we de kans als zeer gering inschatten dat gegevens misbruikt worden. Het betreft een intern datalek waarbij alleen medewerkers met geheimhoudingsplicht betrokken zijn.

Deze afweging is ook met de Autoriteit Persoonsgegevens gedeeld.

9. Wat kan ik zelf doen?

Wees alert op verdachte communicatie. Als je twijfelt, neem contact met ons op.

10. Wat kan ik als partner van iHub doen?

Mocht je signalen van zorgen vanuit ouders, cliënten of medewerkers ontvangen, dan kun je deze nieuwsbrief ter informatie met hen delen. Ook kun je altijd contact met ons, of met onze Functionaris Gegevensbescherming, opnemen voor overleg (zie contactgegevens hieronder).

11. Wat doet iHub om dit in de toekomst te voorkomen?

We verbeteren onze digitale systemen en autorisatiestructuur continu, en zorgen voor betere controle op wie toegang heeft tot welke gegevens.

Vragen of zorgen?

Heb je nog vragen over dit incident of wil je meer informatie? Neem dan contact met ons op via  privacy@ihub.nl

Neem contact op met ons privacy team

Je kunt ook contact opnemen met je behandelaar of contactpersoon binnen iHub als je daar behoefte aan hebt.

Mocht je een klacht willen indienen, kun je contact opnemen met onze Functionaris Gegevensbescherming, Mohammad Mousavi, via fg@ihub.nl.

Neem contact op met Mohammed

Tips voor cliënten en ouders

Ook kun je terecht bij de Autoriteit Persoonsgegevens (AP). De website van de AP geeft tips over hoe je ermee om kan gaan als jouw gegevens betrokken zijn bij een beveiligingsincident: 

  • Wees voorzichtig met wat je op sociale media en andere plekken op internet plaatst. Hoe meer informatie van jou openbaar beschikbaar is, hoe makkelijker het is voor een fraudeur om extra gegevens van je te vinden. En die te combineren met de gelekte gegevens.
  • Wees alert op vreemde berichten of afschriften op je bankrekening die je niet herkent.
  • Neem bij twijfel of zorgen contact op met de AP.
Naar de website van de AP