In Nederland hebben op het moment van schrijven 23 huisartsen en ziekenhuizen een datalek gemeld na een hack bij softwareleverancier ChipSoft. Het bedrijf is bekend van het elektronisch patiëntendossier HiX, dat breed wordt gebruikt in de zorg. De meldingen zijn gedaan bij de Autoriteit Persoonsgegevens en de interne crisisteams van zorginstellingen. Daarmee willen zij voldoen aan de AVG en patiënten tijdig informeren over mogelijke risico’s.
Datalek raakt zorgketen
Een cyberaanval bij een leverancier kan snel doorwerken in de hele zorgketen. Als ondersteunende systemen of koppelingen worden geraakt, kan dat gevolgen hebben voor afspraken, doorverwijzingen en dossiervoering. De exacte aard en omvang van het incident bij ChipSoft zijn nog niet publiek bekend. Wel laten de meldingen zien dat instellingen het risico op toegang tot patiëntgegevens serieus nemen.
Bij een mogelijk datalek gaat het vaak om persoonsgegevens zoals naam, adres en soms medische gegevens. Medische gegevens vallen onder ‘bijzondere persoonsgegevens’ en vragen extra bescherming. Of zulke data zijn ingezien of gekopieerd, wordt nu onderzocht. Totdat daar duidelijkheid over is, kiezen veel organisaties voor melden en voorlichten.
De Nederlandse zorg is sterk afhankelijk van een klein aantal ICT-leveranciers. Zo kan één incident veel locaties tegelijk raken. Dit vergroot het belang van leveranciersonderzoek, noodprocedures en duidelijke afspraken over beveiliging. Z-CERT, het cybersecuritycentrum voor de zorg, raadt aan om indicatoren van compromis te delen en samen te oefenen.
“Op het moment van schrijven hebben 23 zorgaanbieders een datalek gemeld; onder de AVG moet een datalek in principe binnen 72 uur na ontdekking bij de toezichthouder worden gemeld.”
ChipSoft onderzoekt en herstelt
ChipSoft meldt dat het de aanval onderzoekt en maatregelen neemt om systemen te beveiligen en te herstellen. Vaak gaat het dan om het isoleren van onderdelen, extra monitoring en een forensische analyse. Klanten vragen intussen om duidelijkheid over welke diensten geraakt zijn en welke data mogelijk risico lopen. Een tijdlijn voor volledig herstel is nog niet gedeeld.
Bij dit soort incidenten is gestructureerde communicatie essentieel. Zorginstellingen willen weten of zij patiënten actief moeten informeren en welke teksten zij kunnen gebruiken. Ook helpt het als de leverancier indicatoren deelt die ziekenhuizen en huisartsen kunnen gebruiken om hun eigen netwerken te controleren. Dit verkleint de kans op vervolgschade en verkort de hersteltijd.
Het is gebruikelijk dat organisaties na een hack aangifte doen en afstemmen met partijen als het Nationaal Cyber Security Centrum en Z-CERT. Zo kan dreigingsinformatie breder worden ingezet. Daarnaast is het verstandig om tijdelijk extra toegangscontroles en wachtwoordresets af te dwingen. Dit voorkomt misbruik van eerder buitgemaakte inloggegevens.
AVG verplicht snelle melding
De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om een datalek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens. De zorginstelling is hiervoor de ‘verwerkingsverantwoordelijke’, de leverancier is doorgaans ‘verwerker’. In contracten moet staan hoe incidenten worden gemeld en onderzocht. Heldere logbestanden en versleuteling helpen om snel vast te stellen wat er is gebeurd.
Als er waarschijnlijk een hoog risico is voor patiënten, moeten zij ook rechtstreeks worden geïnformeerd. Zo’n bericht beschrijft wat er is gelekt, welke risico’s dat geeft en welke stappen mensen zelf kunnen nemen. Denk aan alert zijn op phishing of het wijzigen van wachtwoorden. Bijzondere persoonsgegevens, zoals medische gegevens en BSN, vragen extra zorg in communicatie en herstel.
Dataminimalisatie is een kernprincipe van de AVG: alleen verzamelen wat nodig is, zo kort mogelijk bewaren. In de praktijk verkleint dit de impact van een datalek. Ook pseudonimisering en sterke versleuteling beperken schade. Als data onleesbaar zijn voor aanvallers, kan dat zelfs betekenen dat er geen meldplicht richting patiënten is.
NIS2 verhoogt druk zorg
De Europese NIS2-richtlijn scherpt de beveiligings- en meldplichten voor essentiële sectoren, waaronder de zorg, aanzienlijk aan. Instellingen moeten risico’s in de toeleveringsketen aantoonbaar beheersen en grote incidenten sneller rapporteren. Dat betekent strengere eisen aan leveranciers, bijvoorbeeld over updates, testresultaten en herstelplannen. De Nederlandse implementatie brengt boetes en bestuurdersaansprakelijkheid dichterbij.
Supply-chain-risico’s staan daarin centraal. Zorginstellingen zullen vaker security-audits eisen en technische eisen vastleggen, zoals multi‑factor‑authenticatie en segmentatie. Ook periodieke penetratietests en het delen van software-stuklijsten (SBOM) komen op de verlanglijst. Dit helpt om kwetsbaarheden sneller te vinden en te verhelpen.
Voor kleinere praktijken kan dit veel gevraagd zijn. Collectieve inkoop en sectorale ondersteuning via Z-CERT kunnen de last verlichten. Standaardclausules in contracten en gedeelde draaiboeken voor incident response maken het praktisch uitvoerbaar. Zo blijft de zorg beschikbaar, ook tijdens digitale crises.
AI in EPD vraagt zorg
Elektronische patiëntendossiers bevatten steeds vaker algoritmen voor beslisondersteuning, triage of planning. Zulke AI-modules gebruiken gevoelige data en vallen onder strenge regels. De Europese AI-verordening (AI Act) classificeert medische AI doorgaans als ‘hoog risico’, met eisen aan datakwaliteit, transparantie en toezicht. Een datalek kan ook de betrouwbaarheid van deze systemen raken.
Wanneer datasets of modelconfiguraties uitlekken, kan dat leiden tot misbruik of tot fouten in zorgprocessen. Het is daarom belangrijk om AI-onderdelen apart te beveiligen, met gescheiden sleutels en toegangsrechten. Ook helpt het om wijzigingen in modellen te loggen en te testen voor uitrol. Zo blijft duidelijk welke versie wanneer is gebruikt in het dossier.
Bij inkoop hoort een Data Protection Impact Assessment (DPIA) en een beoordeling van bias en prestaties. Vraag als zorginstelling om duidelijke modeldocumentatie en updateschema’s. Leg in contracten vast wie verantwoordelijk is bij storingen of fouten van algoritmen. Dit sluit aan op de AI Act en de AVG en verkleint risico’s voor patiënten.
Wat patiënten nu kunnen doen
Patiënten die een bericht krijgen over dit incident kunnen letten op ongebruikelijke e-mails of telefoontjes. Deel geen codes of medische informatie als u de afzender niet vertrouwd vindt. Controleer of het bericht verwijst naar een bekend telefoonnummer of portaal van uw zorgverlener. Bij twijfel kunt u direct contact opnemen met de praktijk of het ziekenhuis.
Iedereen heeft recht op inzage in zijn dossier en op uitleg over een datalek. U kunt vragen welke gegevens zijn geraakt en welke maatregelen zijn genomen. Als u geen of onvoldoende informatie krijgt, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens. Bewaar relevante e-mails of brieven als bewijs.
Zorgverleners blijven intussen bereikbaar voor zorg. Administratieve systemen kunnen tijdelijk trager zijn door extra controles. Dat is vervelend, maar helpt om uw gegevens beter te beschermen. Verwacht daarom soms extra identiteitschecks aan de balie of telefoon.
