Uitleg over het datalek: wat klopt er wel en wat klopt er niet?

In de regionale online media verschenen vorige week verschillende berichten over het datalek bij gemeente Epe. We merken dat inwoners zich zorgen maken door deze berichten. Dat is begrijpelijk, maar ook jammer omdat de informatie in deze berichten niet overal juist en volledig is. We leggen uit wat er klopt en wat niet.

Zijn er medische gegevens gestolen?

In een artikel van de regionale online media staat dat er medische gegevens zijn gestolen. Alleen weten we dat niet zeker. In het onderzoek van de forensisch onderzoekers zijn deze gegevens niet gevonden.  

Maar: het is mogelijk dat er een bestand op de gehackte schijf stond met dit soort persoonlijke informatie, bijvoorbeeld uit een aanvraag van een gemeentelijke voorziening. Dit staat ook in de huis-aan-huisbrief die alle inwoners hebben ontvangen. 

Een voorbeeld

Een medewerker ontving een e-mail van een inwoner met daarin een bijlage. Om die bijlage in het juiste systeem te kunnen zetten, heeft medewerker de bijlage eerst gedownload naar een persoonlijke map. Van daaruit is de bijlage later in het aparte beveiligde systeem gezet.

De gestolen bestanden stonden in zulke persoonlijke mappen van medewerkers. Ze hadden geen duidelijke namen of vaste structuur. Daardoor is het moeilijk te zien wat er precies in staat en van wie het is. Dat geldt ook voor de criminelen. Ook zij kunnen niet makkelijk zien welke gegevens van wie zijn, ook niet met bijvoorbeeld ChatGPT.

Goed om te weten

De gemeente houdt geen medische dossiers bij van inwoners. Gezondheidsgegevens die nodig zijn voor bijvoorbeeld een aanvraag Wmo staan bij ons in aparte beveiligde systemen. Die zijn niet gestolen bij het datalek.

Heeft de gemeente de adviezen van de accountant genegeerd?

In een ander bericht van de regionale online media staat dat de gemeente jarenlang is gewaarschuwd door de accountant, maar niets heeft gedaan. En dat het datalek daardoor kon gebeuren. Dat beeld klopt niet.

De accountant keek bij zijn controles naar de beveiliging van de systemen die nodig zijn voor de jaarrekening. Zijn bevindingen gingen over die specifieke systemen, daarnaast gaf hij enkele algemene adviezen over IT-beheer.

De gemeente heeft de adviezen van de accountant waar mogelijk opgevolgd. Maar: de maatregelen die de accountant voorstelt hadden het datalek niet kunnen voorkomen. Het datalek ontstond namelijk op een heel ander deel van het netwerk, via een andere aanvalsmethode.

De accountant heeft dit zelf ook bevestigd en heeft ons het volgende verklaard: "Voor zover ik inzage heb in de details van de hack, staat de oorzaak los van onze bevindingen en adviezen."

Datalek is het werk van criminelen

"Gemeente Epe is het slachtoffer van een cyberaanval door criminelen. Zij hebben gegevens gestolen. Dat is strafbaar en onacceptabel. We hebben aangifte gedaan bij de politie. En doen er alles aan om de gevolgen van dit datalek zo klein mogelijk te maken. Dat deden we vanaf het eerste moment, en dat blijven we doen.

We begrijpen dat inwoners zich zorgen maken. Die zorgen nemen we serieus. Neem dan ook gerust contact met ons op als u zich zorgen maakt of een vraag heeft. Tegelijkertijd willen we duidelijk zijn: tot nu toe hebben wij geen enkele aanwijzing dat de gestolen gegevens zijn misbruikt", aldus Burgemeester Tom Horn.

Er zijn geen meldingen van fraude of identiteitsdiefstal die te herleiden zijn naar dit datalek.

Blijf alert

Toch is het altijd verstandig om alert te blijven. Dat geldt nu, maar ook in het algemeen.

  • Krijgt u een verdacht bericht, e-mail of telefoontje? Klik niet op links en geef geen gegevens door.
  • Twijfelt u of iets echt is? Bel de organisatie zelf via het bekende telefoonnummer.
  • Meer tips vindt u op www.veiliginternetten.nl en www.fraudehelpdesk.nl.

Wij volgen de situatie op de voet. Als er iets verandert, laten we dat direct aan onze inwoners weten.

Meer informatie