De gemeente Epe is getroffen door een grootschalige cyberaanval waarbij persoonsgegevens van vrijwel alle inwoners zijn buitgemaakt. Dat blijkt uit recent onderzoek naar de hack die in maart plaatsvond.
De aanval vond plaats rond 10 maart 2026, toen cybercriminelen via een zogenoemde ClickFix-phishingtechniek toegang kregen tot het gemeentelijke netwerk. Twee dagen later werden honderdduizenden bestanden gedownload, waarna de inbraak werd ontdekt en de systemen werden afgesloten.
550.000 bestanden
In totaal zijn ongeveer 550.000 bestanden buitgemaakt, goed voor circa 800 gigabyte aan data. Uit onderzoek blijkt dat persoonsgegevens van bijna alle 32.000 inwoners van de gemeente zijn gestolen. Het gaat onder meer om namen, adressen, geboortedata en burgerservicenummers (BSN).
Daarnaast zijn van een kleinere groep inwoners extra gevoelige gegevens buitgemaakt, zoals contactgegevens, bankrekeningnummers en kopieën van identiteitsbewijzen. Voor deze groep heeft de gemeente maatregelen genomen, waaronder het kosteloos vervangen van identiteitsdocumenten.
> LEES OOK: Datalek bij Basic-Fit en Booking.com
Aparte server
De gestolen persoonsgegevens stonden op een server die alleen wordt gebruikt door medewerkers die voor 2022 in dienst zijn gekomen. Op de server worden bestanden verzameld, voor ze in het gemeentelijk systeem komen. Het gaat om bestanden die inwoners indienen als ze bijvoorbeeld bezwaar willen maken of een aanvraag doen.
Wie er achter de diefstal zit, is niet bekend. De politie doet daar onderzoek naar. De gemeente zegt niet door criminelen benaderd te zijn om losgeld te betalen.
> LEES OOK: Odido-hack begon met phishingmail en neptelefoontjes van ‘ICT-afdeling’
Geen DigiD-inloggegevens
Burgemeester Tom Horn noemt het incident een ernstige misdaad en benadrukt dat de gemeente verantwoordelijk is voor de bescherming van persoonsgegevens. Tegelijkertijd stelt de gemeente dat er geen DigiD-inloggegevens zijn gestolen.
De gemeente heeft melding gedaan bij de Autoriteit Persoonsgegevens en doet aangifte bij de politie. Inwoners worden per brief geïnformeerd en opgeroepen alert te zijn op mogelijke vormen van identiteitsfraude en phishing.
Hoewel de digitale dienstverlening grotendeels operationeel bleef, wordt de hack gezien als een van de grootste datalekken bij een Nederlandse gemeente tot nu toe.
Bron: NOS en Gemeente Epe
Volg Security Management op LinkedIn
