Op 10 maart wisten cybercriminelen toegang te krijgen tot de dataopslag van de gemeente Epe. Dit werd twee dagen later ontdekt. In die tijd wisten criminelen honderden gigabytes aan gegevens buit te maken. Het ging om namen, adressen, BSN nummers, en in sommige gevallen ook scans van ID-kaarten en rijbewijzen. Hoewel het lek al snel werd ontdekt, vroeg de gemeente om extra tijd voor het onderzoek. Uit berichtgeving van lokale krant De Stentor blijkt nu waarom.
Het onderzoek naar de schaal van het datalek en het inlichten van de inwoners van de gemeente heeft veel tijd gekost. Op 14 maart maakte de gemeente bekend dat er een succesvolle aanval had plaatsgevonden. Pas op 23 april, anderhalve maand later, wordt bekend wat de werkelijke schade is: de gegevens van álle bewoners liggen op straat. En pas op 8 mei zullen bewoners van wie ook identiteitsbewijzen zijn buitgemaakt persoonlijk worden ingelicht. Dat het zo lang duurde om een goed beeld te krijgen van de schade komt volgens de gemeente doordat het geen goede datastrategie had.
Eva Marie Duin (woordvoerder gemeente Epe): "Het data-onderzoek vergde tijd, omdat de bestanden ongesorteerd en zonder vaste structuur waren opgeslagen. Daarna was een handmatige controle op de gegevens nodig. Sommige gegevens bleken niet goed leesbaar."
Datastrategie
Een datastrategie is plan dat de visie, doelstellingen, principes en richtlijnen van een organisatie beschrijft met betrekking tot het beheer, gebruik en exploitatie van data. Dit is, zeker gezien de toenemende digitalisering van de samenleving, zeer belangrijk. Onderdeel van een robuuste datastrategie is dat bestanden worden bewaard volgens een vaste structuur, op een manier die consistent is voor de hele gemeente. Dit maakt het makkelijker om effectief en datagedreven te werken in lokaal bestuur. En het voorbeeld van de gemeente Epe toont aan dat het ook bij het aanpakken van cybercriminaliteit belangrijk is.
Zie het als een inbraak in een schuur waarin veel rommel is opgeslagen. Het opengebroken slot toont aan dat er een inbraak heeft plaats gevonden, maar als alles overhoop ligt is niet te zien wat er daadwerkelijk gestolen is. De schuur zal eerst volledig moeten worden uitgeruimd en gesorteerd, voordat bepaald kan worden wat er ontbreekt. Dat is met de data van de gemeente Epe ook gebeurt. En dat is pijnlijk, zeker gezien het belang van een snelle aanpak bij een datalek als dit. Hoewel de aanval op 12 maart ontdekt is zal het bijna twee maanden duren voordat alle inwoners duidelijk hebben over wat er met hun gegevens is gebeurd.
Ondersteuning
De Nederlandse overheid ondersteunt gemeenten bij het opbouwen van hun datastrategie. De Vereniging Nederlandse Gemeenten (VNG) publiceerde in september 2025 de Handreiking Datastrategie, bedoeld om gemeenten te stimuleren en begeleiden bij het formuleren van een effectieve datastrategie. Het Ministerie van Binnenlandse Zaken ondersteunt gemeenten via het Interbestuurlijke Datastrategie (IBDS). Beiden zijn bedoeld om gemeenten, ongeacht hun grootte, in staat te stellen om op een verantwoordelijke en efficiënte manier om te gaan met de gegevens van hun inwoners.
Er zijn veel lessen te trekken uit de datadiefstal bij de gemeente Epe. De criminelen kwamen relatief makkelijk binnen, en eenmaal binnen konden ze zeer snel toegang krijgen tot het volledige databestand van de gemeente. In de tijd tussen inbraak en detectie is enorm veel data buitgemaakt. En het gebrek aan een eenduidige aanpak van dataopslag heeft ertoe geleid dat het onderzoek ernstig vertraagd is en getroffen burgers mogelijk lang in onzekerheid zitten. Ook maakt deze vertraging het moeilijker voor politie om de criminelen achter de inbraak te herhalen.