Vragen en antwoorden gelekte gegevens gemeente Epe

Vragen en antwoorden gelekte gegevens gemeente Epe

Wat is er precies gebeurd?

Op 10 maart 2026 hebben hackers via een zogeheten ClickFix-aanval toegang gekregen tot ons netwerk. Twee dagen later hebben zij bijna 552.000 bestanden gedownload van een interne bestandsserver. Onze IT-dienstverlener merkte dit op en sloeg alarm. Daarna hebben we de toegang tot het netwerk direct geblokkeerd. Vervolgens hebben we maatregelen genomen om het netwerk weer schoon en veilig te maken. Uit onderzoek blijkt dat waarschijnlijk persoonsgegevens van bijna alle inwoners van de gemeente Epe zijn gestolen. Andere systemen van de gemeente, zoals het belastingsysteem en het vergunningensysteem, zijn niet getroffen door de hack.

Welke gegevens zijn er gelekt?

Het onderzoek laat zien dat van alle inwoners van de gemeente Epe zeer waarschijnlijk de volgende gegevens zijn gestolen:

• Naam
• Adres
• Geslacht
• Geboortedatum
• Geboorteplaats en geboorteland
• Burgerservicenummer (BSN)

Zaten er ook andere gegevens bij?

Van sommige inwoners zitten er ook andere gegevens bij, omdat zij bijvoorbeeld een gemeentelijke voorziening hebben aangevraagd of een bezwaarschrift hebben ingediend. Het gaat dan bijvoorbeeld om contactgegevens en bankrekeningnummers of om kopieën van identiteitsbewijzen.

Voor de duidelijkheid: de gemeente houdt geen algemene lijsten bij met telefoonnummers, e-mailadressen en bankrekeningnummers van alle inwoners.

Bent u onlangs uit de gemeente Epe verhuisd?

Als u kort geleden buiten de gemeente bent gaan wonen, kan het zijn dat uw persoonsgegevens betrokken zijn bij het datalek. Het kan gaan om de volgende gegevens: uw naam, een oud adres in Epe, uw geslacht, geboortedatum, geboorteplaats en geboorteland, en uw burgerservicenummer (BSN).

Als er ook een kopie van een geldig identiteitsbewijs van u is gevonden, dan ontvangt u hierover een persoonlijke brief op uw huidige woonadres. In deze brief staat hoe u dit identiteitsbewijs op onze kosten kunt vervangen.

Waarom was er een kopie identiteitsbewijs in het bezit van de gemeente?

Soms moeten mensen een kopie van hun identiteitsbewijs bij ons afgeven. Dat is bijvoorbeeld nodig bij het maken van een huwelijksakte voor een spoedhuwelijk. Hierbij treden mensen op als getuige. Voor het dossier gebruiken we dan een kopie van hun identiteitsbewijs. Deze kopie slaan we eerst op in een werkmap. Daarna verwerken we deze in de akte en in onze vakapplicaties. Het kan ook zijn dat medewerkers een kopie van hun eigen identiteitsbewijs op hun persoonlijke schijf habben opgeslagen.

In ons onderzoek hebben we ons vooral gericht op het vinden van deze documenten. Zo kunnen we vervanging mogelijk maken, ongeacht de reden waarvoor de kopie nodig was.

Hoe weet ik of er een kopie identiteitsbewijs is gestolen bij dit datalek?

Inwoners van wie zo'n kopie is gevonden, krijgen zo snel mogelijk en uiterlijk voor 8 mei 2026 een aparte brief. Daarin staat hoe zij dit document gratis kunnen laten vervangen. Zo verkleinen we de kans op fraude.

Wat als ik mijn identiteitsbewijs binnenkort nodig heb, bijvoorbeeld voor een reis?

Uw huidige identiteitsbewijs blijft gewoon geldig. Als er een kopie van uw identiteitsbewijs bij de gestolen bestanden zit, ontvangt u uiterlijk 8 mei een persoonlijke brief. Daarin leest u hoe u uw document gratis kunt laten vervangen.

Hoe erg is het als mijn BSN is gestolen?

Het BSN alleen is beperkt bruikbaar voor criminelen. Het is een zogenaamd 'informatieloos' nummer: er zit geen persoonlijke informatie in verwerkt. Met alleen het BSN en NAW-gegevens kunnen bijvoorbeeld geen bankrekeningen worden geopend of telefoonabonnementen worden afgesloten. Met een kopie van een identiteitsbewijs is de kans op bijvoorbeeld identiteitsfraude groter. Inwoners van wie een kopie identiteitsbewijs is gestolen, ontvangen uiterlijk 8 mei een persoonlijke brief met een aanbod voor gratis vervanging.

Ik maak me zorgen omdat mijn situatie gevoelig is. Wat kan de gemeente voor mij doen?

Neem contact op via gemeente@epe.nl. Wij kijken dan samen met u naar uw specifieke situatie.

Hebt u een vraag over een verdachte situatie die mogelijk met dit datalek te maken heeft?

Neem dan contact op met de gemeente. We zoeken dan graag samen met u uit wat er aan de hand kan zijn. Bel ons via 14 0578 of stuur een e-mail naar gemeente@epe.nl. U kunt ook rechtstreeks contact opnemen met onze Functionaris Gegevensbescherming via FG@epe.nl.

Waarom laten jullie het identiteitsbewijs vervangen waarvan een kopie is gestolen in dit datalek?

Met een kopie van een identiteitskaart, paspoort of rijbewijs is de kans op bijvoorbeeld identiteitsfraude groter. We hebben daarom laten onderzoeken van welke inwoners een kopie van een geldig identiteitsbewijs bij de gestolen bestanden zit. Door het identiteitsbewijs te vervangen verkleinen we de kans op fraude.

Eerder werd gemeld dat het ging om 600.000 bestanden, nu om 552.000 bestanden, hoe zit dat?

Forensisch onderzoek door Eye security heeft het exacte aantal gestolen bestanden bepaald op 551.447. Het verschil tussen de getallen is te verklaren door een map die dubbel is geteld. Voor de leesbaarheid hebben we het aantal bestanden afgerond op 552.000.

Wat weten we niet precies?

Er zijn ongeveer 552.000 bestanden gestolen. Omdat dat er heel veel zijn, weten we op dit moment niet per bestand van wie welke gegevens daarin zitten. Op basis van het advies van deskundigen verwachten we helaas geen extra informatie te kunnen halen uit verder onderzoek. Het advies dat we u bij 'Wat kunt u doen?' geven verandert hierdoor niet.

Hoe kan ik de kans op misbruik van mijn gegevens verkleinen?

Datalekken kunnen leiden tot spam of nepberichten. Om dit soort nepberichten te sturen, hebben criminelen een e-mailadres of telefoonnummer nodig. Omdat de gemeente daarvan geen lijsten bijhoudt, geldt voor de meeste inwoners dat die gegevens niet zijn gestolen. In losse bestanden kunnen dit soort gegevens wel zitten, bijvoorbeeld in een aanvraag of bezwaarschrift. Ook kunnen criminelen de informatie uit dit datalek combineren met gegevens die ze ergens anders hebben gestolen. We adviseren u daarom om alert te zijn op verdachte situaties.

Let op situaties zoals:

• Een brief, telefoontje of bericht van iemand die zich voordoet als een officiële organisatie.
• Berichten waarbij om extra gegevens of om geld wordt gevraagd.
• Situaties waarbij iemand laat merken uw persoonlijke gegevens te kennen.

Tips

• Let de komende tijd goed op bij het openen van links in e-mails, sms'jes en appjes. U kunt een verdachte e-mail, sms of app herkennen aan typfouten en onbekende afzenders. Controleer het telefoonnummer. Of wat er na het '@'-teken van een e-mailadres staat.
• Krijgt u een telefoontje? Het kan zijn dat er echt een medewerker van uw bank of een ander bedrijf belt. U kunt dit controleren door te vragen naar de naam van de medewerker en het algemene telefoonnummer van het bedrijf. Geef aan dat u wilt controleren of de persoon een echte medewerker is en hang op. Check op de website van het bedrijf of het nummer klopt. Klopt het nummer? Bel dan zelf en vraag naar de medewerker die u aan de lijn had.

Wat heeft de gemeente gedaan om de systemen weer veilig te maken?

De gemeente heeft direct maatregelen genomen:

• Alle wachtwoorden van onze medewerkers zijn voor de zekerheid vernieuwd.
• Onze computersystemen zijn extra beveiligd en worden doorlopend bewaakt.
• We hebben het datalek gemeld bij de Autoriteit Persoonsgegevens.
• We hebben aangifte gedaan bij de politie.
• Samen met de politie, de Informatiebeveiligingsdienst voor gemeenten (IBD) en gespecialiseerde onderzoeksbedrijven houden we in de gaten of er iets met de gegevens gebeurt.

Waarom duurden de onderzoeken zo lang?

In de weken na 12 maart is uitgebreid onderzoek gedaan naar de details van het datalek en de gestolen gegevens. Ook hebben we onderzocht of andere systemen, buiten de bestandsserver, zijn benaderd. Dat is niet het geval. Vooral het data-onderzoek vergde tijd, omdat de bestanden ongesorteerd en zonder vaste structuur waren opgeslagen en eerst moesten worden gesorteerd voordat er gericht kon worden gezocht.  Alle bestanden moesten worden ingelezen en geïndexeerd en er moest een onderzoeksmethode worden opgesteld om gericht te kunnen zoeken in onze data. Daarna was een handmatige controle op de gegevens nodig omdat sommige gegevens niet goed leesbaar bleken.

Had de gemeente het datalek kunnen voorkomen?

Wij hebben beveiligingssystemen die veel aanvallen tegenhouden. Bij deze aanval gebruikten de hackers een techniek waarbij zij via een nepmelding op het scherm toegang kregen tot ons netwerk. Dit soort aanvallen is moeilijk volledig te voorkomen. Samen met experts hebben we onderzocht wat er is gebeurd en welke aanvullende maatregelen we kunnen nemen. Die maatregelen zijn inmiddels getroffen. Zie ook het antwoord onder 'Wat heeft de gemeente gedaan om de systemen weer veilig te maken?'

Zijn de systemen nu weer veilig?

Ja, we hebben samen met onze leverancier en een cybersecuritybedrijf het systeem gecontroleerd en het lek gedicht. Er zijn aanvullende veiligheidsmaatregelen getroffen. Zie ook het antwoord onder 'Wat heeft de gemeente gedaan om de systemen weer veilig te maken?'

Is mijn DigiD nog wel veilig?

Ja. De gemeente heeft geen DigiD-gebruikersnamen en -wachtwoorden van inwoners. Uw DigiD is dus veilig.

Is er een melding gemaakt?

Ja, de gemeente heeft een officiële melding gemaakt bij:

• AP (Autoriteit Persoonsgegevens)
• IBD (informatiebeveiligingsdienst)  
• Politie

Hoe en door wie is de hack gepleegd?

Het is niet bekend wie de dader is van de hack. Wel weten we dat de hackers via een nepmelding op het scherm toegang hebben gekregen tot ons netwerk. Dit heet ook wel een ClickFix-aanval. Op dit moment zijn er geen aanwijzingen dat de bestanden openbaar zijn gemaakt of verspreid.

Ik heb een afspraak bij de gemeente. Gaat dat door?

Ja, uw afspraak gaat door. We hebben samen met cybersecurity-experts de systemen gecontroleerd en weer veilig gemaakt. Met deze maatregelen kunnen we de diensten voor onze inwoners, instellingen en bedrijven veilig blijven verlenen.

Waar kan ik meer informatie vinden?

• Wilt u meer informatie over dit datalek, kijk op www.epe.nl/datalek.
• Wilt u weten hoe u uzelf kunt beschermen tegen oplichting, kijk dan op www.fraudehelpdesk.nl en www.veiliginternetten.nl.