In Epe is deze week een datalek bij de gemeente aan het licht gekomen. Inwoners reageren bezorgd, vooral over misbruik van hun gegevens. De gemeente onderzoekt wat er is gebeurd en wie geraakt zijn. Dat raakt ook aan de AVG en de Europese AI-verordening, en de gevolgen voor de overheid.
Gemeente bevestigt datalek
De gemeente Epe heeft gemeld dat er persoonsgegevens zijn gelekt. De oorzaak en exacte omvang worden nog onderzocht. Op het moment van schrijven is niet bekend of de gegevens al zijn misbruikt.
Bij een datalek kunnen gegevens zoals naam, adres of contactinformatie onbedoeld worden gedeeld. Soms gaat het ook om documenten of dossiergegevens. Zonder duidelijkheid blijft het risico op misbruik lastig in te schatten.
De gemeente zegt getroffen inwoners te informeren zodra meer bekend is. Ook wordt de Autoriteit Persoonsgegevens op de hoogte gebracht, zoals de regelgeving vereist. Verwacht wordt dat er aanvullend wordt uitgelegd welke gegevens het betreft en welke stappen worden genomen.
Inwoners vragen om duidelijkheid
In Epe overheerst onrust bij mensen die mogelijk geraakt zijn. Zij willen snel weten welke gegevens zijn uitgelekt. Ook vragen zij wat zij zelf kunnen doen tegen identiteitsfraude.
“Het is wel zorgelijk,” zegt een inwoner die vreest voor misbruik van zijn gegevens.
Bewoners vragen om heldere uitleg in eenvoudig taalgebruik. Welke risico’s zijn er precies en hoe lang blijven die bestaan? Duidelijke vragen en antwoorden helpen wantrouwen te voorkomen.
In dit soort gevallen delen gemeenten vaak updates via hun website en MijnOverheid Berichtenbox. Ook een telefonisch loket of inloopspreekuur kan helpen. Toegankelijke communicatie is cruciaal om geruchten te beperken.
Plichten onder de AVG
De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Getroffen personen moeten worden geïnformeerd als er een hoog risico voor hun rechten en vrijheden is. Dat geldt ook voor gemeenten.
Belangrijke uitgangspunten zijn dataminimalisatie en versleuteling. Dataminimalisatie betekent: alleen verzamelen wat nodig is. Versleuteling is het onleesbaar maken van data voor onbevoegden.
Voor risicovolle verwerkingen hoort een DPIA te worden uitgevoerd. Dat is een privacy- en risicoanalyse vooraf. Resultaten moeten leiden tot concrete maatregelen, zoals streng toegangsbeheer en logging.
Niet naleven kan leiden tot dwangsommen of boetes door de Autoriteit Persoonsgegevens. Maar vooral schaadt het het vertrouwen van inwoners. Daarom is snel en volledig handelen belangrijk.
Overheid moet keten beveiligen
Gemeenten werken vaak met externe ICT-leveranciers. Daardoor ontstaan ‘ketenrisico’s’: een zwakke schakel kan het hele systeem raken. De Baseline Informatiebeveiliging Overheid (BIO) schrijft daarom maatregelen voor in alle lagen.
Het Nationaal Cyber Security Centrum adviseert onder meer multifactor-authenticatie, tijdige beveiligingsupdates en actueel inzicht in apparaten en software. Ook goede back-ups en herstelplannen horen daarbij. Zo blijft de dienstverlening doorlopen, zelfs bij incidenten.
Onder de AVG moeten verwerkersovereenkomsten met leveranciers duidelijk vastleggen wie waarvoor verantwoordelijk is. Incidentmeldingen, auditrechten en bewaartermijnen horen daarin. Zonder harde afspraken is toezicht moeilijk.
Gemeenten leggen jaarlijks via ENSIA verantwoording af over informatiebeveiliging. Onafhankelijke audits en pentests helpen blinde vlekken te vinden. Structurele oefening van incidentrespons verkort hersteltijd bij een lek.
AI-verordening: gevolgen overheid
Dit datalek staat los van kunstmatige intelligentie, maar raakt wel aan datagovernance voor toekomstige AI-toepassingen. Algoritmen leren van data; als datasets uitlekken, neemt het vertrouwen af. Dan wordt het lastiger om verantwoorde digitale diensten te bouwen.
De Europese AI-verordening (AI Act) bestempelt veel overheids-AI als hoog risico. Dan gelden extra eisen, zoals risicobeheer, datakwaliteit, loggen en menselijk toezicht. Die bouwstenen werken alleen als basisbeveiliging en privacy al op orde zijn.
Nederlandse overheden gebruiken daarnaast instrumenten zoals de DPIA en de IAMA (mensenrechten-effecttoets op algoritmen). Steeds meer gemeenten publiceren systemen in een algoritmeregister. Dit vergroot transparantie en maakt controle mogelijk.
Praktisch betekent dit: breng datastromen in kaart vóór je een chatbot of beslissysteem inzet. Beperk bewaartermijnen en toegang. Toets leveranciers op zowel BIO, AVG als AI Act-verplichtingen.
Wat inwoners nu kunnen
Wees extra alert op phishing en onverwachte berichten die namens de gemeente lijken te komen. Controleer afzenderadressen en klik niet zomaar op links. Twijfel? Bel zelf het openbare nummer van de gemeente.
Gebruik sterke, unieke wachtwoorden en zet waar mogelijk tweestapsverificatie aan, bijvoorbeeld voor DigiD. Een wachtwoordmanager helpt om dit veilig bij te houden. Verander wachtwoorden van accounts die aan het gelekte e-mailadres zijn gekoppeld.
Houd bank- en betaalapps in de gaten en meld verdachte transacties direct. Deel kopieën van identiteitsdocumenten alleen via de KopieID-app van de Rijksoverheid, met afgeschermd BSN. Meld fraudesignalen bij de Fraudehelpdesk.
U heeft recht op inzage en uitleg van de gemeente over uw gegevens. Dien zo nodig een klacht in bij de Autoriteit Persoonsgegevens. Controleer ook of uw e-mailadres voorkomt in bekende lekken via diensten als Have I Been Pwned.
