Een werkgroep van Chief Information Security Officers (CISO’s) uit de zorg heeft de recente storing rond het ChipSoft-systeem HiX in kaart gebracht. Zij beschrijven wie getroffen is, hoe het misging en welke stappen ontbraken. De analyse richt zich op Nederlandse ziekenhuizen, maar raakt ook Europese regels zoals NIS2 en de AI-verordening. Doel is helderheid voor bestuurders en IT-teams en sneller herstel bij volgende storingen.
Incident helder in schema
De CISO-werkgroep schetst een tijdlijn van de HiX-storing, met de gevolgen voor planning, medicatieprocessen en spoedzorg. Ziekenhuizen schakelden over op papieren noodprocedures toen digitale dossiers onbereikbaar werden. Afdelingen moesten handmatig controleren of orders en labaanvragen waren verwerkt.
De inventarisatie beschrijft ook waar communicatie stokte. Meldingen van de leverancier en updates richting zorgteams sloten niet altijd op elkaar aan. Daardoor ontstond onduidelijkheid over de status van systemen en herstartmomenten.
De hoofdvragen waren: wat is de bron van de storing, wat is de impact per locatie en hoe voorkom je herhaling. De werkgroep benadrukt dat eenduidige impactcategorieën helpen bij triage. Zo kunnen bestuurders sneller besluiten over afschalen van zorg en regionale doorverwijzing.
Ketenafhankelijkheid blijft zwakke plek
ChipSoft levert met HiX een elektronisch patiëntendossier dat door een groot deel van de Nederlandse ziekenhuizen wordt gebruikt. Die concentratie vergroot het risico op ketenuitval: één fout kan veel instellingen raken. De CISO’s noemen dit een single point of failure dat bestuurlijke aandacht vraagt.
Zij pleiten voor transparantie in de softwareketen, zoals een Software Bill of Materials (SBOM). Zo wordt duidelijk welke componenten en certificaten cruciaal zijn. Ook vragen zij om duidelijke release-notes en vooraf geteste updates met terugvalopties.
Contracten met leveranciers moeten volgens de werkgroep expliciet gaan over beschikbaarheid, failover en hersteltesten. Escrow-regelingen en gestandaardiseerde API’s beperken afhankelijkheid. Dit sluit aan bij Europese eisen voor ketenbeveiliging onder NIS2.
NIS2 dwingt sneller melden
Onder de NIS2-richtlijn gelden zorginstellingen als essentiële entiteiten. Zij moeten ernstige IT-incidenten binnen 24 uur melden en binnen 72 uur een detailrapport aanleveren. Op het moment van schrijven werken Nederlandse zorgorganisaties aan de implementatie hiervan.
De AVG blijft daarnaast van kracht bij patiëntgegevens. Bij beschikbaarheidsproblemen is niet altijd sprake van een datalek, maar continuïteit en integriteit zijn wel verplicht. Heldere logging en versleuteling helpen om impact en meldplicht te onderbouwen.
“Onder NIS2 vallen zorginstellingen als essentiële entiteiten; ernstige incidenten moeten binnen 24 uur gemeld worden.”
De CISO-werkgroep adviseert om NIS2-procedures te koppelen aan bestaande crisismeldingen in de zorgketen. Denk aan regionale coördinatie en afspraken met het Nationaal Cyber Security Centrum. Zo ontstaat één lijn in technische en medische escalatie.
Ziekenhuizen vragen transparantie
Zorg-IT-teams willen sneller inzicht in de oorzaak en status van storingen. Zij vragen om operationele dashboards met real-time signalen over beschikbaarheid. Dit helpt om tijdig over te schakelen op noodprocessen.
Bestuurders vragen verder om duidelijkheid over herstelstrategie en tijdspaden. Een vast format voor incidentcommunicatie vermindert ruis en zorgt voor gelijke verwachtingen. Dit voorkomt dat afdelingen te vroeg of te laat opschalen.
De werkgroep benadrukt het belang van gezamenlijke oefeningen, ook met leveranciers. Tabletop-sessies en geplande failover-tests maken hiaten zichtbaar. Zo kunnen noodhandboeken en belschema’s worden aangescherpt.
AI in EPD extra getoetst
EPD’s bevatten steeds vaker beslisondersteuning, zoals doseeradviezen of risicoscores. Dit zijn algoritmen die, als zij klinische beslissingen sturen, onder de Europese AI-verordening als hoog risico kunnen gelden. Dan zijn extra eisen nodig, zoals uitlegbaarheid en robuustheidstests.
De CISO-werkgroep wijst erop dat storingen in datamodellen of koppelingen ook patiëntveiligheid raken. Daarom moeten ziekenhuizen fallback-procedures hebben als AI-modules niet beschikbaar zijn. Denk aan menselijke double checks en duidelijk gemarkeerde waarschuwingen in het dossier.
Audittrails en bewaakte modelversies maken sneller duidelijk wat is veranderd. Dat verkleint de hersteltijd na een mislukte update van een algoritme. Het helpt ook bij verantwoording richting toezichthouders.
Vijf verbeterstappen nu
- Introduceer een SBOM en een standaardvorm voor incidentcommunicatie met tijdstempels en impactniveaus.
- Test elk kwartaal failover en terugval van HiX en kritieke koppelingen, inclusief papieren noodscenario’s.
- Leg NIS2-meldprocessen vast in het crisishandboek en oefen 24-uurs- en 72-uursrapportages.
- Maak contractuele afspraken met ChipSoft over transparantie, testvensters, changelog-detail en herstel-SLA’s.
- Beoordeel AI-modules in het EPD op AI-verordening-eisen en borg een veilige handmatige fallback.
De kernboodschap van de CISO’s is dat techniek, contracten en crisisorganisatie gelijk op moeten lopen. Alleen dan worden EPD-storingen sneller gedetecteerd en beperkt. En blijft de zorg voor patiënten doorgaan, ook als systemen haperen.
