Meer duidelijkheid over gestolen persoonsgegevens bij gemeente Epe

Op 12 maart 2026 zijn er bestanden gestolen van het computernetwerk van gemeente Epe. We nemen dit erg serieus en betreuren dit ten zeerste. Over het incident hebben we eerder geïnformeerd via onze website. Sindsdien hebben we samen met adviseurs zorgvuldig onderzoek gedaan. In dit bericht leest u wat we weten, wat dit betekent en wat we adviseren. Alle huishoudens van de gemeente Epe ontvangen informatie over het datalek per brief, die volgende week huis-aan-huis wordt bezorgd.

Wat er is gebeurd

Op 10 maart 2026 kregen hackers via een zogeheten ClickFix-aanval toegang tot ons netwerk. Twee dagen later downloadden ze bijna 552.000 bestanden. Onze IT-dienstverlener detecteerde de download en sloeg alarm. Daarna is de toegang tot het netwerk geblokkeerd en vervolgens hebben we maatregelen genomen om ons netwerk schoon en veilig te maken.

Wat we hebben onderzocht

In de daaropvolgende weken is uitgebreid onderzoek gedaan naar de details van het datalek en de gestolen gegevens. Ook hebben we onderzocht of andere systemen, buiten de bestandsserver, zijn benaderd. Dat is niet het geval. Vooral het data-onderzoek vergde tijd, omdat het gaat om heel veel verschillende typen bestanden die zonder vaste structuur waren opgeslagen en eerst moesten worden geïndexeerd voordat er gericht kon worden gezocht.

Het onderzoek laat zien dat van bijna alle inwoners van de gemeente Epe zeer waarschijnlijk de volgende gegevens zijn gestolen:

  • Naam
  • Adres
  • Geslacht
  • Geboortedatum
  • Geboorteplaats en geboorteland
  • Burgerservicenummer (BSN)

Goed om te weten: de gemeente heeft geen DigiD-gebruikersnamen en -wachtwoorden van inwoners. DigiD is dus veilig.

Zaten er ook andere gegevens bij?

Van sommige inwoners zitten er ook andere gegevens bij, omdat zij bijvoorbeeld een gemeentelijke voorziening hebben aangevraagd of een bezwaarschrift hebben ingediend. Het gaat dan bijvoorbeeld om contactgegevens, bankrekeningnummers en/of om kopieën van identiteitsbewijzen.

Kopie identiteitsbewijs  

Met een kopie van een identiteitskaart, paspoort of rijbewijs is de kans op bijvoorbeeld identiteitsfraude groter. We hebben daarom laten onderzoeken van welke inwoners een kopie van een geldig identiteitsbewijs bij de gestolen bestanden zit. Inwoners van wie zo'n kopie is gevonden, krijgen zo snel mogelijk en uiterlijk voor 8 mei 2026 een aparte brief toegestuurd. Daarin staat hoe zij dit document gratis kunnen laten vervangen. Zo verkleinen we de kans op fraude. 

Ik betreur het ten zeerste dat zeer waarschijnlijk alle inwoners door dit datalek zijn getroffen. Ondanks dat dit geen fijne boodschap is, vind ik het wel belangrijk dat er nu duidelijkheid is over welke gegevens zijn gestolen. Die duidelijkheid helpt om de juiste maatregelen te nemen en om onze inwoners goed te informeren. Ik vraag inwoners nadrukkelijk alert te zijn op phishing en andere verdachte berichten. Samen kunnen we de schade beperken en geven we cyber-criminelen minder kans.

Tom Horn
Burgemeester

Wat we niet precies weten

Er zijn ongeveer 552.000 bestanden gestolen. Vanwege het grote aantal bestanden, weten we op dit moment niet per bestand van wie welke gegevens daarin zitten. Op basis van het advies van deskundigen verwachten we helaas geen extra informatie te kunnen halen uit verder onderzoek. Het advies dat we inwoners bij 'Wat kunnen inwoners doen?' geven verandert hierdoor niet.

Wat dit voor inwoners betekent

Datalekken kunnen leiden tot spam of nepberichten. Om dit soort nepberichten te sturen, hebben criminelen een e-mailadres of telefoonnummer nodig. Omdat de gemeente daarvan geen lijsten bijhoudt, geldt voor de meeste inwoners dat die gegevens niet zijn gestolen. In losse bestanden kunnen dit soort gegevens wel zitten, bijvoorbeeld in een aanvraag of bezwaarschrift. Ook kunnen criminelen de informatie uit dit datalek combineren met gegevens die ze ergens anders hebben gestolen.

Wat inwoners kunnen doen

De gemeente adviseert te letten op verdachte situaties zoals:

  • Een brief, telefoontje of bericht van iemand die zich voordoet als een officiële organisatie.
  • Berichten waarbij om extra gegevens of om geld wordt gevraagd.
  • Situaties waarbij iemand laat merken persoonlijke gegevens te kennen.

Op epe.nl/datalek vindt u tips en een overzicht van handige websites.

Wat de gemeente heeft gedaan

De gemeente heeft direct maatregelen genomen:

  • Alle wachtwoorden van onze medewerkers zijn voor de zekerheid vernieuwd.
  • Onze computersystemen zijn extra beveiligd en worden doorlopend bewaakt.
  • We hebben dit datalek gemeld bij de Autoriteit Persoonsgegevens.
  • We hebben aangifte gedaan bij de politie.

Samen met de politie, de Informatiebeveiligingsdienst voor gemeenten (IBD) en gespecialiseerde onderzoeksbedrijven houden we in de gaten of er iets met de gegevens gebeurt. Tot nu toe zijn de bestanden niet openbaar gemaakt.

Meer informatie