Afgelopen donderdag informeerde de gemeente Epe haar inwoners over een groot datalek dat plaatsvond op 10 maart jl. Na anderhalve maand onderzoek werd de volledige omvang bekendgemaakt. Van vrijwel alle inwoners – circa 32.000 personen – zijn persoonsgegevens gestolen, waaronder BSN-nummers. Daarnaast zijn van ongeveer duizend inwoners ook kopieën van identiteitsbewijzen buitgemaakt.
Het lek werd op 12 maart ontdekt. Al snel bleek dat de impact groter was dan aanvankelijk gedacht. Eind maart gaf de gemeente aan meer tijd nodig te hebben, omdat de honderdduizenden gestolen bestanden moeilijk te analyseren waren. Inmiddels is het onderzoek grotendeels afgerond en is er beter inzicht in welke gegevens zijn getroffen. Tegelijkertijd loopt aanvullend onderzoek naar bijzondere persoonsgegevens, een proces dat meer tijd vraagt omdat deze gegevens minder eenvoudig door onderzoekssoftware te identificeren zijn.
Deze casus onderstreept opnieuw hoe ingrijpend datalekken kunnen zijn voor publieke organisaties. Niet alleen vanwege de schaal, maar ook door de aard van de gegevens en de impact op vertrouwen van burgers.
Volgens informatie van de gemeente is de aanval uitgevoerd via een zogeheten ClickFix-aanval. Hierbij wordt een gebruiker misleid om op een ogenschijnlijk onschuldige actie te klikken, terwijl op de achtergrond een beveiligingsinstelling wordt aangepast of malware wordt geïnstalleerd. In de praktijk komt dit vaak neer op een geavanceerde phishingaanval.
Wat daarnaast opvalt, is de infrastructuur waarin de gegevens zich bevonden. Uit berichtgeving blijkt dat de gestolen data waren opgeslagen op een server die specifiek werd gebruikt door medewerkers die vóór 2022 in dienst zijn gekomen. Deze server fungeerde als een tijdelijke opslagplek voordat gegevens in het gemeentelijke systeem werden verwerkt.
Deze werkwijze – het tijdelijk opslaan van gegevens buiten het primaire systeem – vergroot het risico aanzienlijk. Dergelijke tussenoplossingen vallen vaak buiten reguliere beveiligingsmaatregelen en monitoring, waardoor ze een aantrekkelijk doelwit vormen voor aanvallers.
Deze gebeurtenis biedt belangrijke lessen voor organisaties, met name binnen de publieke sector.
Allereerst blijft het essentieel om het risico van phishing continu onder de aandacht te brengen. Ondanks jarenlange bewustwordingscampagnes blijkt de menselijke factor nog steeds een van de grootste kwetsbaarheden. Regelmatige training, simulaties en het creëren van een cultuur waarin medewerkers alert blijven, zijn cruciaal.
Daarnaast is het belangrijk om het gebruik van workarounds te minimaliseren. In het geval van Epe was het gebruikelijk om data eerst op een aparte server te plaatsen voordat deze in de applicatie werd ingevoerd. Maar ook andere vormen van workarounds – zoals het lokaal opslaan van dossiers, het exporteren naar Excel of het werken buiten systemen om – brengen aanzienlijke risico’s met zich mee. Ze ondermijnen niet alleen de beveiliging, maar ook de controle en traceerbaarheid van gegevens.
Tot slot is een goed uitgewerkt incident response plan onmisbaar. Wanneer een organisatie wordt getroffen door een cyberaanval, is snelheid en duidelijkheid van handelen essentieel. Is er een actueel crisisplan? Is duidelijk wie deel uitmaakt van het crisisteam? En is de communicatie vooraf afgestemd? Op dit laatste punt verdient de gemeente Epe een compliment: zij hebben de gebeurtenis direct en transparant gecommuniceerd en het incident expliciet als diefstal gepositioneerd.
Het datalek bij de gemeente Epe laat zien dat informatiebeveiliging niet alleen een technisch vraagstuk is, maar ook een organisatorisch en menselijk vraagstuk. Structurele aandacht voor bewustwording, het vermijden van risicovolle werkprocessen en een robuuste crisisaanpak zijn geen luxe, maar noodzaak.
Meer weten over gegevensbescherming bij gemeenten? Bestel het boek Gegevensbescherming bij de gemeente
