De gemeente Epe is deze week getroffen door een hacker-aanval die 600.000 bestanden raakte. Het incident speelde zich af op interne netwerken van het gemeentehuis in Gelderland. Uit eerste signalen blijkt dat het om een gerichte digitale inbraak gaat, maar het doel van de daders is nog onduidelijk. De gemeente nam systemen offline en startte forensisch onderzoek; de AVG-meldplicht datalek gemeenten en de NIS2-richtlijn gevolgen gemeenten komen daarmee in beeld.
Systemen tijdelijk uitgeschakeld
Na ontdekking van de inbraak schakelde Epe delen van de digitale omgeving uit. Dat beperkt verdere schade en geeft onderzoekers tijd om sporen veilig te stellen. Hierdoor kunnen online diensten trager zijn of tijdelijk niet werken. Loketten draaien doorgaans met noodprocedures om inwoners te blijven helpen.
Het genoemde aantal van 600.000 raakt aan bestanden op netwerkschijven en werkplekken. Dat zijn niet per se evenveel persoonsdossiers of individuele burgers. In zo’n bulk zitten ook logbestanden, concepten en systeemdata. Wat precies is geraakt, wordt nu per systeem uitgezocht.
Herstel verloopt meestal in stappen: eerst isoleren, dan scannen en tenslotte gecontroleerd opstarten. Terugzetten van back-ups is een optie als systemen aantoonbaar schoon zijn. Of back-ups bruikbaar zijn, is op het moment van schrijven niet publiek gemaakt. Epe communiceert naar verwachting gefaseerd zodra er meer duidelijkheid is.
Een digitale inbraak begint vaak met phishing, gestolen wachtwoorden of een kwetsbaarheid in software. Extra controles zoals multi-factorauthenticatie verkleinen die kans. Ook netwerksegmentatie zorgt dat een aanvaller niet overal tegelijk bij kan. Dit soort basismaatregelen horen bij de Baseline Informatiebeveiliging Overheid (BIO).
Risico op datalekken
“Bestanden geraakt” betekent niet automatisch dat ze ook zijn buitgemaakt. Er zijn grofweg drie scenario’s: inzage door onbevoegden, kopiëren van data of beschadiging/versleuteling. Elk scenario heeft andere risico’s en andere herstelstappen. Onderzoekers kijken daarom naar logbestanden en toegangssporen om de impact te bepalen.
Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren gaan, onjuist worden gewijzigd of door onbevoegden zijn ingezien.
Als er persoonsgegevens zijn geraakt, kan dat leiden tot identiteitsfraude of gerichte oplichting. Denk aan overtuigende phishing met echte adres- of dossiergegevens. Inwoners moeten alert zijn op onverwachte e-mails, sms’jes en telefoontjes. Klik niet zomaar op links en meld verdachte berichten bij de Fraudehelpdesk.
De gemeente moet betrokkenen informeren als het risico voor hun privacy “hoog” is. Dan horen zij wat er is gebeurd en welke stappen zij kunnen zetten. Voorbeelden zijn wachtwoorden wijzigen of een nieuw document aanvragen. Duidelijke, praktische communicatie helpt paniek te voorkomen en schade te beperken.
Onderzoek en meldplichten
Epe laat forensisch onderzoek doen om de oorzaak en omvang vast te stellen. Zulke onderzoeken brengen in kaart welke systemen zijn geraakt en wanneer. Ze kijken ook of data is gekopieerd en naar welke servers. De resultaten bepalen de volgende herstelstappen en eventuele aangifte.
Onder de AVG geldt de meldplicht datalekken: binnen 72 uur melden bij de Autoriteit Persoonsgegevens als er kans is op schade voor betrokkenen. Ook moet de organisatie het incident documenteren, ongeacht meldplicht. Betrokkenen moeten worden geïnformeerd als het risico hoog is. Die plicht geldt ook voor gemeenten.
Gemeenten kunnen ondersteuning vragen aan de Informatiebeveiligingsdienst (IBD) van de VNG. Het Nationaal Cyber Security Centrum (NCSC) deelt dreigingsinformatie en handelingsperspectief. Samenwerking versnelt detectie van misbruik en hersteltijd. Op het moment van schrijven is niet publiek bekend welke externe partijen Epe precies inschakelt.
Transparantie over de aanpak is belangrijk voor vertrouwen. Regelmatige updates geven inwoners houvast, ook als nog niet alles vaststaat. Benoem wat zeker is, wat nog onderzocht wordt en wat inwoners zelf kunnen doen. Dat is inmiddels best practice in de publieke sector.
NIS2 verhoogt eisen
De Europese NIS2-richtlijn stelt strengere eisen aan cybersecurity en incidentmelding. Nederland voert dit in via nieuwe regels die op het moment van schrijven gefaseerd in werking treden. Organisaties moeten aantoonbaar risico’s beheersen en sneller melden. Ook bestuurders krijgen expliciete verantwoordelijkheden.
Niet elke gemeente valt automatisch onder NIS2, maar de lat gaat indirect omhoog. Leveranciers van gemeentelijke IT-diensten kunnen wél onder NIS2 vallen. Daardoor gaan ook ketenafspraken, audits en continuïteitsplannen zwaarder wegen. Dat sluit aan op de BIO, die al jaren de norm is voor overheden.
NIS2 vraagt onder meer om sterke authenticatie, patchbeleid en segmentatie. Ook monitoring en loggen worden belangrijker voor snelle detectie. Heldere contracten met leveranciers horen daar bij, inclusief responstijden. Incidentoefeningen helpen teams om sneller en beter te handelen.
De aanval in Epe onderstreept de urgentie van deze maatregelen. Het aantal aanvallen op lokale overheden blijft hoog. Gemeentelijke data is gevoelig en waardevol voor criminelen. Investeren in basisbeveiliging levert hier direct resultaat op.
Lessen voor gemeenten
De praktijk laat zien dat basismaatregelen veel ellende voorkomen. Zorg voor actuele systemen, sterke inlogbescherming en duidelijke rechtenstructuren. Beperk toegang tot wat iemand echt nodig heeft voor zijn werk. Oefen incidentprocessen, zodat teams onder druk effectief blijven.
- Gebruik multi-factorauthenticatie en wachtwoordkluizen.
- Segmenteer netwerken en scheid beheersystemen.
- Maak offline, versleutelde en regelmatig geteste back-ups.
- Monitor logs actief en stel waarschuwingen in op afwijkend gedrag.
- Leg met leveranciers herstel- en meldtermijnen contractueel vast.
Inwoners kunnen zichzelf ook beschermen. Wees extra alert op berichten die inspelen op actualiteit rond Epe. Controleer afzenders, gebruik unieke wachtwoorden en zet tweestapsverificatie aan waar mogelijk. Meld vermoedens van misbruik snel bij de betrokken organisatie en de Fraudehelpdesk.
Gegevensverwerking moet altijd voldoen aan de AVG: dataminimalisatie, versleuteling en strikt toegangsbeheer. Wie slimme detectietools inzet, moet privacy by design toepassen. Denk aan het beperken van persoonsgegevens in logs en het snel anonimiseren van testdata. Zo gaan privacy en veiligheid samen op.
Tot slot: communiceer helder en tijdig, ook als nog niet alles zeker is. Leg uit welke data kan zijn geraakt en welke hulp beschikbaar is. Dat geeft vertrouwen en verkleint de maatschappelijke impact. Het incident in Epe is daarmee een wake-upcall voor de hele overheidsketen.
