Data van bijna alle inwoners Epe gestolen bij cyberaanval
Uit specialistisch data-onderzoek naar de cyberinbraak bij de gemeente Epe blijkt dat de persoonsgegevens van vrijwel alle inwoners zijn ontvreemd. Criminelen kregen in maart 2026 toegang tot een interne bestandsserver en downloadden in korte tijd bijna 552.000 bestanden. De gemeente heeft de omvang en de exacte details van het datalek inmiddels in kaart gebracht en gedeeld met de gemeenteraad.
De digitale inbraak vond plaats op 10 maart 2026 via een zogeheten ClickFix-aanval. Twee dagen later ontdekte de IT-dienstverlener van de gemeente de diefstal, waarna de netwerktoegang direct werd geblokkeerd. Andere gemeentelijke kernsystemen, zoals de applicaties voor de gemeentelijke belastingen en vergunningen, zijn volgens de gemeente niet getroffen. Ook DigiD-inloggegevens zijn niet buitgemaakt.
Brede diefstal van basisgegevens
Het gelekte pakket aan data bevat van bijna alle burgers de naam, het adres, het geslacht, de geboortedatum, de geboorteplaats en het burgerservicenummer (BSN). Omdat de gemeente geen centrale lijsten met e-mailadressen of telefoonnummers bijhoudt, zijn deze gegevens voor de meeste inwoners buiten schot gebleven. Wel kunnen dergelijke contactgegevens voorkomen in losse, specifieke documenten op de server, zoals bezwaarschriften of aanvragen voor gemeentelijke voorzieningen.
Daarnaast zijn er 845 kopieën van geldige identiteitsbewijzen aangetroffen tussen de gestolen bestanden. Inwoners van wie een paspoort, identiteitskaart of rijbewijs is gelekt, hebben begin mei 2026 een persoonlijke brief ontvangen. De gemeente vergoedt voor deze specifieke groep de kosten voor de aanschaf van een nieuw identiteitsbewijs om het risico op identiteitsfraude te verkleinen.
Beveiligingsmaatregelen en nazorg
Direct na de ontdekking zijn alle wachtwoorden van de gemeentemedewerkers preventief gewijzigd en is de netwerkbeveiliging opgeschroefd. De gemeente heeft bovendien melding gemaakt bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie.
Samen met de Informatiebeveiligingsdienst voor gemeenten (IBD) en externe cybersecurity-experts wordt gemonitord of de gestolen data op het zogeheten darkweb of bekende leksites verschijnen. Tot op heden zijn daar, en bij de politie, nog geen signalen of indicaties van misbruik van de gegevens binnengekomen.
Het langdurige data-onderzoek is inmiddels afgerond. Experts verwachten geen nieuwe inzichten te halen uit verdere analyses, omdat de ongestructureerde mappenstructuur op de server volledig is geïndexeerd en uitgekamd. Om vragen en zorgen van betrokkenen te beantwoorden, organiseert de gemeente op dinsdag 16 juni 2026 een inloopspreekuur in de bibliotheek van Vaassen.
Meer over cybercrime
Over Witold Kepinski
