Doe Mee! Molenlanden stelt vragen over cyberbeveiliging na datalek in Epe

Molenlanden - Na het grote datalek bij gemeente Epe stelt raadslid Kevin van der Vlist van Doe Mee! Molenlanden kritische vragen over de digitale weerbaarheid van Molenlanden. Zijn partij wil weten of persoonsgegevens van inwoners voldoende zijn beschermd.

Op 10 maart dit jaar raakten bij gemeente Epe via een zogeheten ClickFix-aanval de persoonsgegevens van bijna alle inwoners op straat te liggen. Hackers maakten ruim 552.000 bestanden buit nadat een medewerker onbewust een actie uitvoerde. Twee dagen later downloadden de hackers massaal bestanden. De gemeente Epe meldde het incident bij de Autoriteit Persoonsgegevens.

Bij een ClickFix-aanval misleiden hackers medewerkers via vervalste browsermeldingen. Ze omzeilen daarmee bewust het menselijk beoordelingsvermogen. Van der Vlist wijst erop dat dit soort aanvallen laat zien dat bewustwording van medewerkers alleen niet genoeg is. Beveiliging moet ook technisch zijn geborgd.

Bekende tekortkomingen nog niet opgelost

De Managementletter 2024 stelde al vast dat het toegangsbeheer van de gemeente Molenlanden op meerdere punten onvoldoende was geregeld. Zo ontbrak een volledig geïmplementeerde autorisatiematrix en vonden periodieke controles van toegangsrechten niet plaats. De Managementletter 2025 constateert dat er sindsdien stappen zijn gezet, maar dat fundamentele tekortkomingen nog niet zijn opgelost. Een volledig overzicht van het IT-landschap ontbreekt nog steeds.

Van der Vlist vraagt het college welke verbeteringen sindsdien zijn doorgevoerd en wanneer de gemeente het gewenste beveiligingsniveau verwacht te bereiken.

Ambitie voor betere privacyorganisatie

Het college stuurde de gemeenteraad onlangs het Privacybeleid 2026–2028. Daarin spreekt de gemeente de ambitie uit om het volwassenheidsniveau van de privacyorganisatie te laten groeien naar minimaal niveau 3. De Autoriteit Persoonsgegevens beschouwt dit niveau als passend voor gemeenten.

Van der Vlist vraagt in hoeverre de gemeente dit niveau al heeft bereikt, of op welke termijn dat wordt verwacht.

Uitkomst organisatieonderzoek gevraagd

In het begrotingsdebat van november 2025 verzocht de VVD het college te onderzoeken of de personele capaciteit voor informatiebeveiliging, cybersecurity en privacybescherming toekomstbestendig is.

Wethouder Visser zegde destijds toe dit mee te nemen in een lopend organisatieonderzoek. Van der Vlist vraagt nu wat de uitkomst van dat onderzoek is en of het college de huidige organisatorische borging toereikend acht.

Ontbrekend IT-overzicht als risico

Het raadslid wijst ook op een mogelijke tegenstrijdigheid: het Privacybeleid 2026–2028 beschrijft een procedure voor het melden van datalekken, maar het ontbrekende IT-landschapsoverzicht beperkt volgens de Managementletter 2025 de effectiviteit van detectie en respons.

Van der Vlist vraagt het college of dit ontbrekende overzicht geen risico vormt voor de uitvoerbaarheid van die procedure in de praktijk.

Tot slot verzoekt Van der Vlist het college om het afzonderlijke beleidsstuk over privacyrisico’s en informatiebeveiliging, waarnaar het Privacybeleid 2026–2028 verwijst, aan de raad toe te sturen.