Да, вы можете получить доступ к закрытым полям через отражение. Таким образом, многие ORM собираются заселять объект, не пройдя через ваши свойства (который будет вызывать бизнес-логику, которую вы, возможно, не планировали запускать при загрузке объекта).
Модификаторы доступа - это не форма безопасности!