Falende overheid levert 32.000 inwoners Epe uit aan cybercriminelen door gigantisch datalek

donderdag, 23 april 2026 (18:06) - Dagelijkse Standaard

In dit artikel:

Op 12 maart drongen hackers het digitale netwerk van de Gelderse gemeente Epe binnen en haalden ruim een half miljoen bestanden weg, waaronder persoonsgegevens van vrijwel alle circa 32.000 inwoners. Uit de buit blijkt onder meer naam, adres, geboortedatum, geslacht, geboorteplaats en het gevoelige Burgerservicenummer (BSN). Bij meer dan duizend mensen zijn ook kopieën van identiteitsbewijzen gestolen. Burgemeester Tom Horn erkende dat criminelen met die data “echt veel mee kunnen doen” en noemde de situatie “niet fraai”.

De gemeente meldt dat medewerkerswachtwoorden zijn vernieuwd en dat systemen extra beveiligd zijn. Ook wijst Epe erop dat er geen centrale lijsten met bankrekeningnummers werden bijgehouden en dat de data nog niet op het darkweb is verschenen. Desondanks waarschuwen experts en media dat de schade al groot is: gestolen basisgegevens laten zich vaak combineren met eerder gelekte informatie, waarmee criminelen effectieve oplichtingspraktijken en identiteitsfraude kunnen opzetten.

Het bericht bekritiseert de lokale aanpak als onvoldoende: getroffen inwoners kregen vooral een informatiebrief en de mogelijkheid een nieuw paspoort aan te vragen, wat veel respondenten te mager vinden gezien de ernst van het lek. De zaak wordt gepresenteerd als voorbeeld van structurele problemen bij overheidsorganisaties die onvoldoende investeren in cybersecurity.

Wat dit voor betrokkenen betekent: gestolen BSN's en identiteitsdocumenten vergroten het risico op financiële en administratieve misbruik. Getroffenen wordt aangeraden contact op te nemen met de gemeente voor concrete instructies, aangifte te doen bij de politie, waakzaam te zijn op verdachte transacties en phishingpogingen, en waar mogelijk krediet- of identiteitsbewaking in te schakelen.

Breder plaatje: aanvallen op lokale overheden komen vaker voor en roepen vragen op over naleving van privacyregels (AVG), eventuele meldplicht bij de Autoriteit Persoonsgegevens en de noodzaak van structurele verbeteringen in gemeentelijke IT-beveiliging.