2LRN4 security awareness platform
← Terug naar overzicht

Gemeente Epe: waarom een BSN en een kopie identiteitsbewijs goud zijn voor criminelen

Bij de hack op gemeente Epe (maart 2026) werden gegevens van vrijwel alle inwoners buitgemaakt, inclusief BSN's en kopieën van identiteitsbewijzen. De les: niet alle persoonsgegevens zijn gelijk, en bij de overheid valt of staat alles met de meldcultuur.

In maart 2026 werd het netwerk van gemeente Epe getroffen door een cyberaanval. Het datalek bleek veel groter dan eerst gedacht. Persoonsgegevens van vrijwel alle inwoners waren buitgemaakt: naam, adres, geslacht, geboortedatum, geboorteplaats en het burgerservicenummer (BSN). Van ongeveer duizend inwoners werd zelfs een kopie van het identiteitsbewijs gestolen. Dit incident laat scherp zien wat awarenessprogramma's vaak onderbelichten: niet elk persoonsgegeven is even gevaarlijk. Een BSN en een kopie identiteitsbewijs zijn de bouwstenen van identiteitsfraude.

Wat er gebeurde

De aanval werd op 12 maart 2026 ontdekt. In de dagen erna werd duidelijk dat de omvang fors groter was dan aanvankelijk aangenomen. Het ging niet om een handvol dossiers, maar om de gegevens van bijna de volledige inwonerslijst van de gemeente.

Het meest gevoelige deel betrof ongeveer duizend kopieën van identiteitsbewijzen, plus de BSN's van vrijwel alle inwoners. Dat is een wezenlijk ander risico dan een uitgelekt e-mailadres. Een gemeente verwerkt nu eenmaal de meest fundamentele identiteitsgegevens die er in Nederland bestaan.

Een datalek van deze aard valt onder de meldplicht van de AVG: melden bij de Autoriteit Persoonsgegevens binnen 72 uur, en de getroffen inwoners informeren. Overheden hebben daarnaast een voorbeeldfunctie, want ze beheren gegevens die burgers verplicht moeten afstaan en die ze nergens anders kunnen veranderen.

Waarom een BSN en kopie identiteitsbewijs zoveel gevaarlijker zijn

Een wachtwoord kun je wijzigen. Een e-mailadres kun je vervangen. Maar je BSN en je gezicht op een identiteitsbewijs liggen vast voor het leven. Juist daarom zijn dit de gegevens waar criminelen het meest naar op zoek zijn: ze openen de deur naar identiteitsfraude die jaren kan doorwerken.

Met een BSN en een kopie van een identiteitsbewijs kan een crimineel zich voordoen als het slachtoffer: een lening afsluiten, een abonnement aanvragen, een uitkering omleiden of frauduleuze aangiften doen. Het slachtoffer merkt het vaak pas als de incasso's of aanmaningen binnenkomen, en moet daarna maandenlang bewijzen dat híj het niet was.

Voor awareness betekent dit dat 'persoonsgegevens beschermen' te abstract is. Medewerkers moeten leren onderscheid maken: welke gegevens zijn vervangbaar en welke zijn onomkeerbaar? Een kopie identiteitsbewijs die 'even' in een gedeelde map of mailbox belandt, vormt een veel groter risico dan men intuïtief aanvoelt.

Het overheidsperspectief: vertrouwen en voorbeeldfunctie

Bij een commercieel bedrijf kun je in het ergste geval weglopen als klant. Bij je gemeente niet. Inwoners zijn verplicht hun gegevens af te staan en hebben geen alternatief. Dat legt een extra zware verantwoordelijkheid bij overheidsorganisaties om zorgvuldig met die gegevens om te gaan.

Een datalek bij de overheid raakt daarom niet alleen de getroffen personen, maar ook het vertrouwen in de instellingen zelf. Dat vertrouwen is lastig op te bouwen en snel kwijt. Awareness bij de overheid gaat dus niet alleen over techniek, maar over het besef dat je werkt met gegevens die mensen je noodgedwongen hebben toevertrouwd.

Tegelijk is de overheid de meest aangevallen sector in Europa. Volgens het dreigingsbeeld van ENISA is het openbaar bestuur verantwoordelijk voor een groot deel van alle geregistreerde incidenten. Gemeenten zijn aantrekkelijke doelwitten, juist omdat ze zoveel waardevolle gegevens op één plek hebben.

Meldcultuur: het verschil tussen een incident en een ramp

De omvang van het Epe-datalek werd pas gaandeweg duidelijk. Dat is typisch: bij een aanval weet je zelden meteen hoe diep die gaat. Juist daarom is snel melden cruciaal. Hoe eerder een signaal de juiste mensen bereikt, hoe sneller je de schade kunt beperken.

De grootste vijand van een goede reactie is schaamte of angst. Een medewerker die op een verkeerde link klikte, een bestand naar het verkeerde adres stuurde of een verdacht bericht zag, moet dat zonder drempel kunnen melden. Een afrekencultuur leidt ertoe dat incidenten worden verzwegen tot het te laat is.

Voor de overheid, met haar meldplicht van 72 uur, is een vlotte interne meldketen geen luxe maar een wettelijke noodzaak. De medewerker die als eerste iets opmerkt, geeft het belangrijkste vroege signaal.

Zo verwerk je dit in je awarenessprogramma

Gebruik de Epe-casus om het abstracte begrip 'persoonsgegevens' concreet te maken. Laat medewerkers zelf benoemen welke gegevens in hun werk onomkeerbaar zijn. Dat blijft veel beter hangen dan een opsomming.

Combineer dat met een meldcultuur zonder drempels. Bij de overheid zijn dit de twee punten waarmee je de meeste winst boekt.

  • Doelgroep en ritme: geef teams die met BSN's en kopieën identiteitsbewijs werken (burgerzaken, sociaal domein, HR) een gerichte module over de omgang met onomkeerbare gegevens.
  • Maak melden drempelloos en zonder afrekenen: één bekende meldroute, geen sancties op eerlijk melden, en zichtbare waardering voor wie meldt.
  • Oefen de keten van 72 uur, van 'medewerker ziet iets' tot 'melding bij de Autoriteit Persoonsgegevens'. Weet iedereen wat zijn rol is?
  • Meet de meldsnelheid als vaste maatstaf, niet alleen het klikgedrag: hoe lang duurt het tot een signaal de juiste persoon bereikt?
  • Wil je dit verankeren? Bekijk hoe dat werkt met security awareness training.

Gerelateerde artikelen

Veelgestelde vragen

Waarom is een BSN gevaarlijker dan bijvoorbeeld een e-mailadres?

Een e-mailadres of wachtwoord kun je wijzigen; je BSN ligt voor het leven vast. In combinatie met een kopie identiteitsbewijs maakt een BSN identiteitsfraude mogelijk: criminelen kunnen zich voordoen als het slachtoffer om leningen, abonnementen of uitkeringen op diens naam te regelen. De schade kan jaren doorwerken.

Wat maakt de overheid een aantrekkelijk doelwit?

Gemeenten beheren de meest fundamentele identiteitsgegevens van burgers (BSN, adres, kopieën identiteitsbewijs), vaak op één plek. Inwoners zijn verplicht die gegevens af te staan en kunnen niet weglopen. Dat maakt de gegevens extra waardevol en de verantwoordelijkheid extra groot. Het openbaar bestuur is in Europa dan ook de meest aangevallen sector.

Waarom is de meldcultuur zo bepalend bij een datalek?

De echte omvang van een aanval wordt vaak pas gaandeweg duidelijk, zoals bij Epe. Hoe sneller een signaal de juiste mensen bereikt, hoe meer schade je kunt beperken. Een afrekencultuur zorgt ervoor dat incidenten worden verzwegen; een meldcultuur zonder drempels maakt van elke medewerker een vroege waarschuwing. Voor de overheid met haar meldplicht van 72 uur is dat een wettelijke noodzaak.

Wat moet een medewerker doen die een mogelijk datalek opmerkt?

Direct melden via de bekende interne meldroute, ook bij twijfel en ook als je zelf een fout maakte. Snelheid is belangrijker dan zekerheid: liever tien keer onnodig melden dan één echt datalek dat te laat wordt opgemerkt. Eerlijk melden mag nooit tot sancties leiden.

Wil je hulp bij implementatie?

Plan een korte demo of bespreek jouw use case. We reageren snel.

Plan een demo Bekijk support