cyberaanval op gemeente Epe leidt tot massale diefstal van identiteitsbewijzen
Epe, donderdag, 23 april 2026.
Alle inwoners van Epe zijn slachtoffer van een ernstige cyberaanval. Criminelen stalen meer dan 550.000 bestanden via een ClickFix-aanval. Ze infiltreerden het systeem via een valse reCAPTCHA-pop-up. Daarbij grepen ze gevoelige gegevens van bijna iedereen in de gemeente. Het gaat om namen, adressen, burgerservicenummers en ruim duizend kopieën van identiteitsbewijzen. Burgemeester Tom Horn bevestigt dat de kans op identiteitsfraude daardoor reëel is. Mensen kunnen hiermee bijvoorbeeld een huurauto abonneren in het buitenland. De gemeente stuurt alle bewoners een waarschuwende brief. Sommigen krijgen een nieuw identiteitsbewijs op kosten van de overheid. Er is geen sprake van DigiD-gegevens of wachtwoorden. Toch is de schade enorm. Veel slachtoffers voelen zich kwetsbaar. De daders zijn nog altijd onbekend.
impact van de aanval
De cyberaanval op gemeente Epe heeft geleid tot de diefstal van meer dan 550.000 bestanden met gevoelige persoonsgegevens [1]. Criminelen infiltreerden het systeem via een ClickFix-aanval met een valse reCAPTCHA-pop-up [1]. Gestolen gegevens omvatten namen, adressen, burgerservicenummers en ruim duizend kopieën van identiteitsbewijzen [1][2]. Burgemeester Tom Horn bevestigt dat dit de kans op identiteitsfraude vergroot [1]. Zo kunnen criminelen bijvoorbeeld een huurauto boeken in het buitenland [2]. Gelukkig zijn DigiD-gegevens, gebruikersnamen en wachtwoorden niet gecompromitteerd [1].
gemeentelijke respons en communicatie
Na detectie van de aanval op 12 maart 2026 blokkeerde de gemeente direct het netwerk om verdere schade te voorkomen [1]. Burgemeester Horn benadrukte dat de gemeente de verantwoordelijkheid voelt voor de veiligheid van burgersgegevens [1]. Alle inwoners ontvangen een brief ter informatie en waarschuwing [1][2]. Een selecte groep, waarvan de identiteitsbewijzen zijn gestolen, krijgt een tweede brief en de mogelijkheid om een nieuw bewijs kosteloos aan te vragen [1][2]. De gemeente heeft ook melding gemaakt bij de Autoriteit Persoonsgegevens [1].
technische achtergrond en preventie
De aanval vond plaats nadat een medewerker een kwaadaardig commando installeerde via een gefabriceerde CAPTCHA-oplossing [2]. Dit leverde de aanvallers toegang tot een server met gegevens van medewerkers die voor 2022 in dienst traden [2]. Hoewel de gegevens niet makkelijk verhandelbaar zijn, erkent Horn dat het risico op misbruik aanwezig is [2]. Om herhaling te voorkomen, zijn alle medewerkers hun wachtwoorden veranderd en wordt er overwogen om naar cloudinfrastructuur te migreren [1][2].