Sempre existe uma maneira de alguém "poder" acessar os dados, se eles quiserem, o suficiente. A chave com segurança é colocar o suficiente no lugar que irá impedir alguém de tentar, e minimizar o risco de exposição, controlando o ambiente, tanto quanto possível. Com um VPS, você não controla praticamente nada sobre o ambiente. Com dados confidenciais, geralmente é recomendado que você execute em hardware dedicado, preferencialmente hardware que você possui, localizado em uma instalação com acesso físico restrito ao referido hardware. Pessoalmente, eu não colocaria informações confidenciais em um ambiente virtual que eu não controlava sem algumas obrigações contratuais específicas que tratam desses problemas.