ClickFix is een misleidende techniek waarbij iemand via een nepbericht of -scherm wordt aangezet om zelf een handeling uit te voeren. Bijvoorbeeld: je ziet een melding dat je iets moet verifiëren of oplossen en krijgt instructies om een stukje tekst te kopiëren en te plakken of een handeling uit te voeren op je computer (denk aan een voorbeeld als CAPTCHA) Dat lijkt onschuldig, maar die actie voert ongemerkt een schadelijke opdracht uit. Omdat de gebruiker dit zelf doet, herkennen beveiligingssystemen het minder snel als een aanval. De methode werkt doordat zij inspeelt op vertrouwen en tijdsdruk.

Bij de aanval zijn circa 552.000 bestanden buitgemaakt, mogelijk goed voor honderden gigabytes aan data. Het betreft persoonsgegevens van nagenoeg alle 32.000 inwoners van Epe. In vrijwel alle gevallen gaat het om naam, adres, geslacht, geboortedatum, geboorteplaats en -land en het burgerservicenummer (BSN). Van een deel van de inwoners zijn aanvullende gegevens gestolen, zoals contactgegevens, bankrekeningnummers en meer dan duizend kopieën van identiteitsbewijzen. DigiD-inloggegevens zijn niet buitgemaakt. Volgens de gemeente zijn de gegevens vooralsnog niet openbaar gemaakt en is er geen bekend contact geweest met de daders over losgeld.

De gegevens stonden op een server buiten de primaire systemen, wat wijst op kwetsbaarheid in de tussenlagen van het proces. De impact van dit datalek ligt vooral in de combinatie en schaal van de gestolen gegevens. Met name het grootschalig buitmaken van BSN-nummers vergroot het risico op misbruik, zoals identiteitsfraude en gerichte benadering van burgers waarbij vertrouwen wordt misbruikt.

Een datalek van deze vorm en schaal heeft, naast gevolgen voor inwoners en de gemeente, ook consequenties voor andere organisaties in een gemeente. Voor woningcorporaties bijvoorbeeld betekent dit dat een deel van hun huurders extra kwetsbaar wordt. Criminelen kunnen met de gestolen gegevens gerichte berichten sturen of bellen die geloofwaardig overkomen, bijvoorbeeld over huurbetalingen, onderhoud of toeslagen. Huurders die minder digitaal vaardig zijn, lopen daarbij een groter risico om op zulke benaderingen in te gaan. Dit vraagt van corporaties een actievere rol in het informeren en beschermen van bewoners en in het vroeg signaleren van fraude.

De casus Epe laat zien dat dataveiligheid niet alleen een technisch vraagstuk is, maar samenhangt met de inrichting van processen en de manier waarop organisaties omgaan met data. Het roept vragen op over dataminimalisatie, opslagduur en architectuurkeuzes. Zonder herontwerp van deze onderliggende structuren blijft de kans bestaan dat een enkel incident leidt tot grootschalige blootstelling van persoonsgegevens.

Bronnen

• Gemeente Epe. (2026). Datalek gemeente Epe.
• Gemeente Epe. (2026). Meer duidelijkheid over gestolen persoonsgegevens bij gemeente Epe.
• NOS. (2026, april 23). Persoonsgegevens van vrijwel alle inwoners van Epe gestolen bij cyberaanval.
• RTL Nieuws. (2026, april 23). Bijna alle inwoners van Epe getroffen door datalek, 550.000 bestanden gestolen.
• Omroep Gelderland (2026, april 23). Duizend identiteitsbewijzen buitgemaakt bij datalek: alle inwoners gemeente Epe slachtoffer.
• DutchNews. (2026, april 23). Hackers steal personal data of nearly all Epe residents.