Ongestructureerde opslag bij gemeente Epe vertraagde onderzoek na hack

De ongestructureerde opslag van bestanden bij de gehackte gemeente Epe kostte veel onderzoekstijd en zorgde ervoor dat burgers pas later werden geïnformeerd. Dit blijkt uit een tijdlijn die dagblad De Stentor opstelde over deze hackaanval.

De aanvallers kregen 552.000 bestanden in handen. Onder de gestolen persoonsgegevens zaten ook paspoorten, rijbewijzen en ID-kaarten van meer dan duizend inwoners. De gehackte gemeente kon burgers pas op 23 april duidelijkheid geven over de hack die op 10 maart plaatsvond en op 12 maart werd ontdekt.

Het kostte bijna anderhalve maand om inzichtelijk te krijgen welke gegevens van welke mensen waren gestolen. Woordvoerder Eva Maria Duin vertelt aan De Stentor dat het data-onderzoek tijd vergde, 'omdat de bestanden ongesorteerd en zonder vaste structuur waren opgeslagen'. De bestanden moesten eerst worden gesorteerd, verklaart zij.

Plus handmatige controle

Verder moesten de forensische onderzoekers een methode opstellen om de bestanden goed te doorzoeken. Vervolgens was nog een handmatige controle van de gegevens nodig. "Sommige gegevens bleken niet goed leesbaar", aldus de woordvoerder van de gemeente.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 04-05-2026 15:03
22 • submitter: Rebellochem

04-05-2026 • 15:03

Submitter: Rebellochem

Lees meer

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas

Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026

Gemeente Epe vervangt duizend ID-bewijzen gratis na datalek door ClickFix-aanval

Gemeente Epe vervangt duizend ID-bewijzen gratis na datalek door ClickFix-aanval Nieuws van 23 april 2026

Stichting begint massaclaim tegen Odido vanwege datalek

Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026

Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers

Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers Nieuws van 9 april 2026

Meer producten en artikelen

Netwerk en systeembeheer Architectuur Politiek en recht Privacy Cybercrime Cybersecurity datadiefstal Datalek Dataverlies Hack Hackers

IT-banen

Meer vacatures

Reacties (22)

22

22

9

0

0

12

Wijzig sortering

ApexAlpha 4 mei 2026 15:16

Wat een raar antwoord? Dat lijkt me toch sterk dat alles gewoon zonder structuur in een S3 bucket zat.

Hoe zou dat überhaupt werken in de dagelijkse praktijk voor de gemeente zelf dan?

ronaldmathies @ApexAlpha • 4 mei 2026 15:25

S3 suggereerd al heel wat.. nee, wat ze bedoelen en dat zie je wel vaker bij overheden. Ze gebruiken een standaard file-share met bepaalde "organisatorische" structuur. Maar vaak resulteerd dit een een enorme puinzooi, omdat niemand wat kan vinden maken ze maar nieuwe mapjes en structuren aan en zo ontstaan er een enorme warboel van mappen / bestanden omdat er dan een gevoel van controle ontstaat. Met dan ook van die prachtige bestands namen:

document_1.0.doc
document_1.1.doc
document_2.1.doc
document_2.1-01-01-1998.doc
document_1.2.-03-01-1998.doc
document_2.1-Review.doc
document_opgestuurd_05-04-1999.doc
document_2.1_Laatste_versie.doc
document_2.1_Laatste_versie_met_review_commentaar_persoon_x.doc

En ga zo maar door.

En na een paar jaar weet niemand meer waar welk bestand voor was, waar dit is, wie de eigenaar is, wat de actuele versie van een bestand is. Dus opruimen gebeurt ook nooit omdat niemand weet of iets wel / niet weg kan.

Wie herkent dit nog meer in zijn / haar organisatie? Ben wel een benieuwd want ik kom dit toch geregeld tegen.

Webgnome @ronaldmathies • 4 mei 2026 15:27

Dat is echt niet specifiek voor overheden hoor. Je kunt hier elke kantoor omgeving voor pakken. Er is er altijd eentje die dit soort gedrag vertoond..

Wouterie @Webgnome • 4 mei 2026 16:32

Yep, zo heb ik een collega die random tekens in de naam ramt als hij nog met het document aan het werk is. Mocht hij ooit vertrekken dan vrees ik voor de zooi die we zullen aantreffen. Maar goed, ik ben niet zijn leidinggevende dus het is niet mijn probleem.

EmbeddedPower @ronaldmathies • 4 mei 2026 15:31

Wie herkent dit nog meer in zijn / haar organisatie?

Eh, ja, bij eigenlijk alle organisaties waar ik gewerkt heb. En dan ook nog een gedeelde netwerk-drive, een svn-repository 'ergens', en verschillende gedeelde of persoonlijke sharepoints.
En wat dacht je van: de gegevens staan op een persoonlijke sharepoint, die door de betreffende persoon gedeeld is met het team. Vervolgens gaat de persoon uit dienst, en dus haalt IT (geheel terecht) de betreffende sharepoint weg.

Martijntj @EmbeddedPower • 4 mei 2026 16:06

Bedoel je OneDrive?

zordaz @Martijntj • 4 mei 2026 16:17

Ongetwijfeld, maar OneDrive is oorspronkelijk natuurlijk een typisch Microsoft copycat product, indertijd haastig opgezet en toen technisch gebaseerd op Sharepoint. Dus ik snap wel dat mensen het op 1 hoop vegen

/ontopic:

Ik ga er vanuit dat de meeste gemeenten in het Microsoft ecosysteem zitten en anno 2026 meestal Sharepoint gebruiken voor opslag. Dat resulteert vervolgens vanzelf in een rommeltje. Geen enkele klant waar ik de afgelopen 25 jaar rondliep en waar ze Sharepoint gebruikten kreeg dat onder controle.

[Reactie gewijzigd door zordaz op 4 mei 2026 16:18]

Lothlórien @ronaldmathies • 4 mei 2026 15:33

Zeker niet alleen bij overheden. Ik herken het zelfs van mijn eigen opslag: overal kopietjes van maken en zo heb ik 8 varianten van alleen al mijn CV liggen. En dan ook nog eens in 2-voud zowel in Nederlands als in Engels.

themadone @ronaldmathies • 4 mei 2026 15:41

Yup, en daarom laat je eindgebruikers geen eigen mappen maken op hoofd niveau maar alleen daar onder, is er iets als access based enumeration uitgevonden en pas je normaliter rechten toe per folder.

Dit gaat zo vaak mis en ook de SharePoint/OneDrive hem helpt vaak niet, nee dat doen onze gebruikers zelf zou verboden moeten worden als het om security gaat.

En voordat er allemaal Tweakers komen die beweren administratief werk te doen en dat prima te kunnen structureren, Chapeau, maar je richt je omgeving qua security altijd in op de zwakste gebruikers niet op mensen die het wel weten, en zelfs bij die mensen is het vaak een eyeopener als ze erachter komen dat goede security toch net wat anders is als thuis een mapje van de nas delen.

TheMak @ronaldmathies • 4 mei 2026 15:29

Opriimen mag ook biet. Er kan nog een WOO verzoek komen

mjansen2016 @ronaldmathies • 4 mei 2026 16:20

Dit komt met name voor in sectoren waar de gebruikers digibeet zijn, dan wel "een eigen werkwijze" hebben bedacht, administraties die alleen de eigen boekhouder van 60+ plus snapt die al 35 jaar in het bedrijf werkt, en zelf "de afdeling" op heeft gezet.

Bij nieuwe bedrijven waar een standaard methode op word gezet, of een "migratie naar 365 met een onedrive voor business" word er meestal een nieuwe, duidelijke struktuur als basis neergezet(hoewel die ook nog kan vervuilen over tijd).

Tools als Autotask, Topdesk, Jira zorgen ook dat er meer gestandariseerd word gewerkt en nieuw personeel heeft vanuit hun opleiding ook "standaarden" meegekregen waardoor ze minder geneigd zijn het wiel opnieuw uit te vinden of "gewoon maar wat zijn gaan doen".

fender89 @ronaldmathies • 4 mei 2026 16:28

Zeker herkenbaar in mijn dagelijks werk

(ervaring bij gemeenten en Rijksoveheid)
Dit heeft alles te maken met 'informatiebeheer'.

Ongetwijfeld heeft gemeente Epe een afdeling/team DIV/DIM/Informatiebeheer, waar een zekere adviserende en toetsende rol in ondergebracht is. (adviseur, recordmanager etc.)
Het is aan 'de business', de uitvoerende ambtenaren, om zich natuurlijk netjes te houden aan de principes van 'Duurzaam toegankelijke overheidsinformatie'. m.b.v. de kaders, tooling en ondersteuning die ze daarvoor tot hun beschikking hebben.

Je kunt nog zo'n mooi DMS en/of zaaksysteem hebben, als het niet ingericht is (lees: ongestructureerd) én niet op de juiste manier toegepast wordt ,... dan krijg je dit soort taferelen.
Geen samenhang, geen context, waarschijnlijk brakke metadatering. Jammer.

@TheMak je opmerking "Opriimen mag ook biet. Er kan nog een WOO verzoek komen". Is iets te kort door de bocht ;-). Opruimen mag, en moet , ook conform de Archiefwet. (Waardering, selectie en vernietiging)

keverjeroen @ApexAlpha • 4 mei 2026 16:29

Ik heb het idee dat sinds de opkomst van Teams de structuren in mappen echt los zijn gelaten. Waar ik vroeger op een fileshare in hele vaste afgebakende mappen precies mijn weg kon vinden bij mijn werkgever, kan ik nu niet meer zonder de zoekbalk in Teams (of Office) en dan hopen dat ik de juiste bestanden of mappen terug kan vinden.

synoniem 4 mei 2026 15:13

Je vraagt je dan toch af hoe efficiënt die gemeentelijke organisatie kan werken als bestanden ongesorteerd en zonder vaste structuur opgeslagen zijn. Kan natuurlijk dat ze een heel goede zoekmethode hebben maar lijkt niet waarschijnlijk als de forensische onderzoekers nog een methode moesten opstellen. Misschien toch maar investeren in een DMS/CMS?

theduke1989 @synoniem • 4 mei 2026 15:29

daarvoor heb je software.

wij gebruiken Nscale in combinatie met Kodak Scanners Sf2800 we hebben ongeveer 5 stuks van die scanners elk 4K kosten, en een godsvermogen aan Nscale betaald. https://ceyoniq.com/en/nscale/

Datalek
Hack
Cybercrime
Privacy
Hackers

@synoniem • 4 mei 2026 15:42

Het probleem is vooral gebrek aan controle over de gegevens. De gevolgen voor wettelijkeplichten en effecientie toont het nieuws al aan: het ontbreekt.

In principe is minder structuur niet zomaar een probleem. Niet alle gegevens worden immers opgeslagen om de efficiëntie. Maar als persoonsgegevens verwerkt worden is een juist wel behoorlijke controle en dus structuur nodig. Niet weten of en welke persoonlijke gegevens waar zijn opgeslagen is absoluut niet de bedoeling.

Kalief 4 mei 2026 15:41

Epe. Het duurde even voordat ze een oude Soemeriër hadden ontdooid die de kleitabletten kon lezen.

edwin2021 4 mei 2026 15:24

Wellicht typisch gevalletje van oeps, opslag vol. Ach we hebben nog wel een harddisk liggenhang die er maar lokaal aan.

Shal-Ziar 4 mei 2026 15:27

Het is eigenlijk bijzonder dat het lijkt dat er niet een NL brede infrastructuur is voor gemeenten.
Ze doen tenslotte grotendeels allemaal hetzelfde.

Michiel36 @Shal-Ziar • 4 mei 2026 16:10

Dit dacht ik ook altijd, maar dit kan wel eens onze redding zijn. Juist dat gefragmenteerde zorgt er voor dat het niet heel eenvoudig wordt om het gelijk overal te doen.

Houtenklaas @Shal-Ziar • 4 mei 2026 16:42

Misschien heeft elke gemeente zijn eigen workflow verzonnen. Paspoort aanvragen en uitdelen begint en eindigt bij de burger , maar de stappen daartussen wijken per gemeente af. En dat is ook bijzonder overigens, standaardiseer dat lekker, is beter voor je personeelsbeleid, voor security en in the end goedkoper én stelt je in staat om NL breed dezelfde (gecompartimenteerde) IT te gebruiken.

maali 4 mei 2026 16:37

enige voordeel is dat de kwaadwilligen ook dezelfde moeite moeten doen om uit die datasoep de juiste data te catalogiseren voor illegale doeleinden

Om te kunnen reageren moet je ingelogd zijn