Bij een cyberaanval op de gemeente Epe zijn persoonsgegevens van bijna alle inwoners buitgemaakt, waaronder burgerservicenummers. Dat heeft de Gelderse gemeente donderdag bekendgemaakt na afronding van het forensisch onderzoek, ruim zes weken na de hack. Van circa duizend inwoners zijn ook kopieën van identiteitsbewijzen gestolen.
Hackers kregen op 10 maart via een zogeheten ClickFix-aanval toegang tot het gemeentelijke netwerk. Bij zo’n aanval krijgt een medewerker een nepmelding of valse CAPTCHA op het scherm, en wordt misleid om zelf een commando uit te voeren dat de aanvaller toegang geeft. Twee dagen later downloadden de aanvallers bijna 552.000 bestanden met een totale omvang van ongeveer 800 gigabyte. De IT-dienstverlener van de gemeente detecteerde de download en sloeg alarm, waarna de toegang tot het netwerk werd afgesloten.
Bijna alle inwoners van Epe getroffen door datalek, 500.000 bestanden gestolen https://t.co/ccvmAIiTrj
— RTL Nieuws (@RTLnieuws) April 23, 2026
Welke gegevens gestolen zijn
Van vrijwel alle inwoners zijn naam, adres, geslacht, geboortedatum, geboorteplaats en -land en het burgerservicenummer buitgemaakt. In sommige bestanden staan aanvullende gegevens zoals contactgegevens, bankrekeningnummers en kopieën van identiteitsbewijzen. Die zijn meegekomen met aanvragen of bezwaarschriften die inwoners eerder bij de gemeente hadden ingediend.
DigiD-inloggegevens zijn niet gestolen, omdat de gemeente die niet beheert. De bestanden stonden op één interne netwerkschijf zonder vaste structuur, wat het onderzoek naar de precieze inhoud aanzienlijk vertraagde.
“Mensen noemen het een lek, maar het is diefstal. Als gemeente horen we goed voor de gegevens van burgers te zorgen en dat nemen we serieus. Helaas is het toch misgegaan”, zei burgemeester Tom Horn in een verklaring. Volgens Horn zijn de gestolen bestanden tot nu toe niet opgedoken op het darkweb en is de gemeente niet door criminelen benaderd voor losgeld.
Gratis vervanging identiteitsbewijzen
Alle inwoners krijgen binnenkort een brief met uitleg en praktisch advies. Getroffen inwoners van wie een kopie van een geldig identiteitsbewijs is gestolen, ontvangen uiterlijk 8 mei een aparte brief. Zij kunnen hun rijbewijs, paspoort of ID-kaart kosteloos laten vervangen om het risico op identiteitsfraude te beperken.
Een BSN alleen is beperkt bruikbaar voor criminelen, omdat het een informatieloos nummer is waarmee op zichzelf geen rekeningen of abonnementen kunnen worden geopend. Gecombineerd met andere gegevens, bijvoorbeeld uit eerdere datalekken, neemt het misbruikrisico wel toe.
Derde groot Nederlands datalek in korte tijd
Het datalek in Epe komt in een periode waarin meerdere Nederlandse organisaties door grote cyberincidenten zijn getroffen. In februari werd telecomaanbieder Odido geraakt door een datalek waarbij gegevens van ongeveer 6,2 miljoen (oud-)klanten zijn buitgemaakt, waaronder BSN’s, IBAN’s en documentnummers van identiteitsbewijzen. Deze week meldde cosmeticaketen Rituals dat lidmaatschapsgegevens van klanten zijn gedownload, waaronder naam, adres, e-mailadres en telefoonnummer.
De gemeente Epe heeft de inbraak gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie, die onderzoek doet naar de daders. Alle medewerkers hebben hun wachtwoorden vernieuwd en er zijn aanvullende beveiligingsmaatregelen getroffen. Actuele updates publiceert de gemeente op epe.nl/datalek.
