Na de hack bij zorg-ICT leverancier ChipSoft zijn 66 datalekken gemeld bij de Autoriteit Persoonsgegevens. Daarbij zit ook een melding van ChipSoft zelf. Het gaat om Nederlandse zorginstellingen die de software van het bedrijf gebruiken. Zij melden omdat mogelijk patiëntgegevens zijn geraakt door het incident.
AP telt 66 meldingen
De Autoriteit Persoonsgegevens (AP) bevestigt dat er op het moment van schrijven 66 datalekmeldingen binnen zijn na de hack op ChipSoft. De toezichthouder verzamelt deze meldingen om zicht te krijgen op de omvang en risico’s. Het werkelijke aantal kan nog oplopen als meer organisaties onderzoek afronden. Instellingen mogen een eerste, onvolledige melding doen en later aanvullen.
Een datalek is elke inbreuk op de beveiliging die leidt tot verlies of ongeoorloofde toegang tot gegevens. Bij een hack kan het gaan om kopiëren, versleutelen of weglekken van bestanden. In de zorg zijn dit vaak gegevens uit elektronische patiëntdossiers (EPD’s). Zulke gegevens vallen onder ‘bijzondere persoonsgegevens’ en vragen extra bescherming.
ChipSoft levert EPD-software, waaronder het systeem HiX, dat door veel Nederlandse ziekenhuizen wordt gebruikt. Een incident bij een leverancier kan daardoor effect hebben op meerdere zorgorganisaties tegelijk. Dit heet keten- of leveranciersrisico. Juist in de zorg is dat gevoelig, omdat continuïteit en vertrouwelijkheid essentieel zijn.
Het gaat op het moment van schrijven om 66 datalekmeldingen bij de AP.
ChipSoft is verwerker
Onder de AVG (Algemene verordening gegevensbescherming) zijn ziekenhuizen en klinieken verwerkingsverantwoordelijke. Zij bepalen het doel en de middelen van verwerking en moeten datalekken melden. ChipSoft is in veel gevallen verwerker: de partij die gegevens verwerkt namens de zorginstelling. Een verwerker moet direct een incident doorgeven aan de verantwoordelijke en ondersteunen bij de afhandeling.
Toch kan ChipSoft zelf ook een datalek melden bij de AP. Dat is logisch als het bedrijf voor bepaalde systemen of diensten zélf verwerkingsverantwoordelijke is, zoals voor eigen personeels- of supportdata. Daarnaast informeren leveranciers vaak proactief de sector over de aard van het incident. Zo kunnen klanten hun eigen melding en communicatie sneller afronden.
Belangrijk is dat de rolverdeling duidelijk is vastgelegd in een verwerkersovereenkomst. Daarin staan ook eisen aan beveiliging, audits en meldtermijnen. Voor zorgpartijen geldt aanvullend de NEN 7510-norm voor informatiebeveiliging in de zorg.
Patiëntgegevens mogelijk geraakt
EPD’s bevatten medische gegevens, zoals diagnoses, medicatie en behandelplannen. Ook staan er vaak namen, adressen en contactgegevens in. Als zulke gegevens worden buitgemaakt, is het risico voor betrokkenen hoog. Dan is naast een melding bij de AP ook melding aan patiënten verplicht.
Praktische gevolgen kunnen variëren van privacy-inbreuk tot gerichte phishing. Aanvallers kunnen zich bijvoorbeeld voordoen als zorgverlener om extra gegevens los te krijgen. Patiënten doen er goed aan alert te zijn op onverwachte berichten. Deel geen medische gegevens via e-mail of telefoon zonder controle van de afzender.
Naast datalekken kan een hack ook de beschikbaarheid raken. Als systemen tijdelijk niet toegankelijk zijn, schakelen zorginstellingen over op noodprocedures. Denk aan werken op papier of uitgestelde afspraken. Zulke impact telt mee in de risicobeoordeling en de plicht om te melden.
Meldplichten en termijnen AVG
De AVG verplicht organisaties om ernstige datalekken “onverwijld en zo mogelijk binnen 72 uur” te melden bij de AP. De melding bevat onder meer de aard van het lek, aantallen betrokkenen en genomen maatregelen. Als het risico hoog is, moeten ook de betrokken personen geïnformeerd worden. Niet of te laat melden kan leiden tot handhaving en boetes.
Daarnaast geldt in Europa de NIS2-richtlijn voor essentiële en belangrijke entiteiten, waaronder zorginstellingen en kritieke ICT-leveranciers. NIS2 vereist snelle incidentmelding bij het nationale CSIRT, met een vroege waarschuwing binnen 24 uur en een nadere melding binnen 72 uur. Nederland werkt deze regels uit in nationale wetgeving en toezicht. Voor de zorgsector speelt Z-CERT een ondersteunende rol bij incidentrespons.
De combinatie van AVG en NIS2 versterkt de meldplicht en transparantie. Dat dwingt organisaties om sneller te onderzoeken en te communiceren. Het helpt ook bij sectorbrede coördinatie, zodat herhaling wordt voorkomen. Tegelijk legt het de lat voor leveranciersbeheer hoger dan voorheen.
Onderzoek en mogelijke gevolgen
De AP beoordeelt elke melding en kan extra informatie opvragen. Bij structurele tekortkomingen kan de toezichthouder een onderzoek starten. Dat kan leiden tot aanwijzingen, verbetermaatregelen of sancties. Voor zorgorganisaties weegt de zorgvuldigheid rond bijzondere persoonsgegevens extra zwaar.
ChipSoft en getroffen klanten zullen moeten aantonen welke beveiligingsmaatregelen golden. Denk aan versleuteling, netwerksegmentatie en monitoring. Ook telt mee hoe snel de detectie en afscherming verliepen. Een goed incidentlogboek en forensisch onderzoek zijn dan cruciaal.
Voor patiënten is vooral van belang of hun gegevens zijn ingezien of gekopieerd. Als dat zo is, horen zij duidelijke uitleg te krijgen. Bijvoorbeeld over welke data het gaat en wat zij zelf kunnen doen. Transparante communicatie verlaagt risico’s en herstelt vertrouwen.
Wat organisaties nu kunnen doen
Zorginstellingen doen er goed aan om logbestanden veilig te stellen en toegangssleutels te vervangen. Beperk tijdelijk toegang waar nodig en controleer integriteit van back-ups. Stem communicatie af met ChipSoft, Z-CERT en de AP. Werk meldingen stapsgewijs bij naarmate er meer feiten bekend zijn.
Informeer patiënten en medewerkers helder en praktisch. Geef aan welke gegevens mogelijk zijn geraakt en via welk kanaal hulp beschikbaar is. Waarschuw voor phishing en ongewone betaal- of inlogverzoeken. Houd een publieks-FAQ actueel zolang het onderzoek loopt.
Kijk tenslotte kritisch naar leveranciersrisico’s. Borg eisen als NEN 7510/ISO 27001, pentests en respons-SLA’s in contracten. Voer periodiek DPIA’s (gegevensbeschermingseffectbeoordelingen) uit op ketendiensten. Zo wordt de impact van toekomstige incidenten kleiner en de herstelkracht groter.
