ChipSoft meldt dat bij een recente hack ook medische patiëntgegevens zijn gestolen. Het Nederlandse bedrijf levert het elektronisch patiëntendossier HiX aan veel ziekenhuizen en klinieken. Het incident speelt in Nederland en wordt op dit moment onderzocht door specialisten. De diefstal vergroot zorgen over naleving van de AVG en raakt ook de uitvoering van de Europese AI-verordening door overheid en zorginstellingen.
Medische data ook buitgemaakt
ChipSoft bevestigt dat criminelen naast bedrijfsinformatie ook medische patiëntgegevens hebben gekopieerd. Het gaat om gevoelige data zoals zorgcontacten of behandelinformatie, die extra bescherming vragen. De omvang is op het moment van schrijven nog niet volledig duidelijk. Het bedrijf werkt aan een inventarisatie en belooft betrokken zorginstellingen te informeren.
Het onderscheid tussen toegang tot systemen en kopiëren van data is belangrijk. Bij deze aanval gaat het om datadiefstal, wat andere risico’s geeft dan uitval van zorgsystemen. Medische gegevens kunnen worden misbruikt voor afpersing of identiteitsfraude. Dat vereist snelle communicatie naar ziekenhuizen en patiënten over mogelijke gevolgen.
ChipSoft benadrukt dat het forensisch onderzoek nog loopt. Zolang dat onderzoek niet is afgerond, blijven schattingen over aantallen onzeker. Wel is duidelijk dat de aard van de informatie hooggevoelig is. Dat vergroot de druk om beveiliging en procedures versneld te verbeteren.
Impact op Nederlandse zorg
HiX is een veelgebruikt systeem voor elektronisch patiëntendossiers in Nederland. Daardoor kan een incident bij ChipSoft een brede keten raken, van polikliniek tot apotheekkoppelingen. Zelfs als de primaire zorgprocessen doorgaan, leidt datadiefstal tot extra werk en zorgen. Ziekenhuizen moeten hun risicoanalyse en communicatie richting patiënten opschalen.
Ook regionale samenwerkingen in de zorg kunnen last hebben van afgeleide risico’s. Denk aan gegevensuitwisseling met eerstelijnszorg of laboratoria. Partners zullen contracten en technische koppelingen opnieuw beoordelen. Zeker als er langdurig onduidelijkheid is over welke bestanden precies zijn gelekt.
Voor vertrouwen in digitale zorg is transparantie doorslaggevend. Heldere uitleg over welke data zijn getroffen helpt patiënten bij vervolgstappen. Daarnaast is het van belang dat instellingen lessons learned delen. Zo kan de sector bredere kwetsbaarheden sneller dichten.
AVG verplicht snelle melding
Onder de AVG moeten organisaties ernstige datalekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als er waarschijnlijk een hoog risico is voor betrokkenen, moeten zij ook direct worden geïnformeerd. Medische gegevens vallen in een zwaardere categorie en vragen extra waarborgen. Denk aan dataminimalisatie, versleuteling en strikte toegangscontrole.
Medische gegevens gelden als ‘bijzondere persoonsgegevens’ onder de AVG en vereisen extra bescherming en zorgvuldige verwerking.
In de zorg geldt bovendien de norm NEN 7510 voor informatiebeveiliging. Deze norm schrijft continu risicobeheer en logische en fysieke beveiliging voor. Incidentrespons en forensisch onderzoek horen daarbij. Ziekenhuizen zullen toetsen of leveranciersafspraken hieraan blijven voldoen.
De Inspectie Gezondheidszorg en Jeugd kan bij structurele risico’s ingrijpen. Ook kunnen boetes of bindende aanwijzingen volgen bij tekortkomingen. Heldere documentatie van beslissingen en maatregelen is daarom cruciaal. Dat helpt zowel bij toezicht als bij rechtsbescherming van patiënten.
Europese AI-verordening raakt zorg
De Europese AI-verordening classificeert veel medische algoritmen als hoog risico. Voor zulke systemen gelden eisen aan datakwaliteit, traceerbaarheid en menselijk toezicht. Een datalek kan die datagovernance ondermijnen. Ziekenhuizen en overheid moeten daarom de “Europese AI-verordening gevolgen overheid en zorg” concreet vertalen naar contracten en audits.
Ook leveranciers als ChipSoft krijgen daarmee striktere verplichtingen. Denk aan technische documentatie, logging en robuust beheer van datamodellen. Als trainings- of validatiedata verontreinigd raken, kan een systeem foute uitkomsten geven. Dat vergroot niet alleen ethische risico’s, maar ook juridische aansprakelijkheid.
De AI-regels sluiten aan op Europese cybersecurity-eisen, zoals NIS2. Voor essentiële diensten in de zorg betekent dit strengere beveiligingsstandaarden en toezicht. Organisaties moeten aantoonbaar risico’s beperken en incidenten melden. Dat vereist nauwe samenwerking tussen IT, compliance en klinische teams.
Onderzoek en herstelacties
ChipSoft werkt met externe specialisten aan forensisch onderzoek en herstel. Gebruikelijke stappen zijn het intrekken van toegangen, het roteren van sleutels en het updaten van systemen. Klanten krijgen technische en juridische instructies voor eigen vervolgstappen. Daarbij hoort ook evaluatie van logging en detectie.
Patiënten kunnen letten op verdachte e-mails, telefoontjes of brieven. Bij twijfel is het verstandig geen links te openen en contact op te nemen met de eigen zorginstelling. Identiteitsbescherming, zoals het monitoren van ongebruikelijke zorgdeclaraties, kan helpen. Instellingen kunnen hun patiënten hierin praktisch begeleiden.
Het is op het moment van schrijven onduidelijk in hoeverre de gestolen gegevens al publiek circuleren. Publicatie op een leksite is een bekend drukmiddel van criminelen. Snelle, feitelijke communicatie verkleint schade en onrust. Transparantie is essentieel om vertrouwen te behouden.
Wat ziekenhuizen nu kunnen doen
Actualiseer de dreigingsanalyse en controleer toegang tot het HiX-ecosysteem en koppelingen. Versterk monitoring op uitgaand dataverkeer en verdachte aanmeldingen. Voer een gerichte check uit op back-ups en sleutelbeheer. Borg dat alle patches en configuraties up-to-date zijn.
Herzie verwerkersovereenkomsten met leveranciers op meldplichten en beveiligingseisen. Leg afspraken vast over penetration testing, auditrechten en respons-tijdslijnen. Koppel dit aan de AVG en de eisen uit de AI-verordening voor hoogrisicosystemen. Zo ontstaat één integraal kader voor privacy, AI en security.
Voor de korte termijn is duidelijk patiëntencontact cruciaal. Bied een informatiepagina met Q&A en contactpunt. Geef praktische tips, zonder speculatie. Houd de pagina actueel naarmate het onderzoek vordert.
