Cyberincident Epe: lessen voor gemeenten
Het datalek bij gemeente Epe in maart 2026 laat zien hoe groot de organisatorische, financiële en communicatieve impact van een cyberincident kan zijn.
Op 10 maart 2026 werd gemeente Epe getroffen door een cyberincident. Via een zogeheten ClickFix-aanval kregen aanvallers toegang tot het gemeentelijk netwerk en stalen zij een grote hoeveelheid bestanden, waaronder BSN-gegevens van inwoners, personeelsinformatie en kopieën van identiteitsbewijzen.
Gemeente Epe heeft een volledige evaluatie gepubliceerd op www.epe.nl/datalek. Die evaluatie is opgesteld in samenwerking met de Informatiebeveiligingsdienst (IBD), die de gemeente heeft ondersteund en heeft meegewerkt aan de evaluatie. De evaluatie levert lessen op die voor elke gemeente relevant zijn. Een aantal punten springt eruit.
Projectmatige aanpak is onmisbaar
Direct na de acute crisisfase richtte Epe een projectstructuur in met de burgemeester en gemeentesecretaris als opdrachtgever, een projectleider en drie deelprojecten: technisch onderzoek, communicatie en nazorg.
Woo-verzoeken komen sneller dan verwacht
Epe ontving twee Woo-verzoeken: één over de eerste periode na de hack, één over de informatiebeveiliging in bredere zin. Per document moet worden afgewogen wat openbaar kan. Woo-verzoeken kunnen om veel juridische capaciteit vragen.
De financiële impact is aanzienlijk
De huidige kosten bedragen € 345.258, en de eindafrekening volgt pas in juli. De grootste posten zijn technisch onderzoek en maatregelen, projectleiding en advies, en communicatie en juridische ondersteuning, en nazorg en vervanging identiteitsbewijzen.
Open en transparante communicatie als onderdeel van crisismanagement
Gemeente Epe koos vanaf het begin voor een zo groot mogelijke openheid richting inwoners: via een nieuwsbericht, een speciale projectpagina op de website (waarop ook deze evaluatie is gepubliceerd) en een huis-aan-huis-brief. Communicatie vormde een integraal onderdeel van het crisismanagement.
Wat kunt u nu doen?
Het incident in Epe laat nog eens zien hoe groot de impact van een cyberincident voor een gemeente kan zijn. De evaluatie biedt een goed aanknopingspunt om met uw CISO te bespreken of uw gemeente de basis op orde heeft om incidenten te voorkomen, en - mocht het onverhoopt toch plaatsvinden - voorbereid is op een crisis.
