ChipSoft, maker van het elektronische patiĆ«ntendossier HiX, ligt onder een vergrootglas na een hack die de zorg in Noord-Nederland raakte. In en rond Grou wonen stille aandeelhouders die profiteren van het succes van de leverancier, wat vragen oproept over zeggenschap en verantwoordelijkheid. Op het moment van schrijven onderzoeken ziekenhuizen en toezichthouders de gevolgen voor patiĆ«ntgegevens en continuĆÆteit van zorg. De kwestie raakt de AVG en de Europese AI-verordening, met directe gevolgen voor ziekenhuizen en overheid.
ChipSoft beheerst ziekenhuissoftware
ChipSoft levert met HiX het digitale dossier dat artsen en verpleegkundigen dagelijks gebruiken. In zoān dossier staan diagnoses, medicatie, uitslagen en afspraken. De software stuurt ook werkprocessen aan, zoals medicijnverificatie en OK-planning. Storingen raken dus direct de patiĆ«ntenzorg.
Een elektronisch patiƫntendossier (EPD) is het digitale systeem waarin zorgverleners medische gegevens vastleggen, delen en opzoeken.
Een groot deel van de Nederlandse ziekenhuizen werkt met HiX. Een kleiner deel gebruikt alternatieven zoals Epic. De markt is daarmee sterk geconcentreerd, wat de onderhandelingsmacht van ziekenhuizen beperkt. Afhankelijkheid van Ć©Ć©n leverancier vergroot ook het risico bij incidenten.
De eigendomsstructuur van zorg-IT is vaak ondoorzichtig. Aandeelhouders blijven bewust uit beeld. Dat geldt ook voor investeerders in en rond Grou, die in de regio weinig ruchtbaarheid geven aan hun rol. Dat voedt het debat over transparantie rond publieke zorggelden en private winst.
Hack toont kwetsbare keten
De recente aanval verstoorde zorgprocessen en digitale planning. Ook als een ziekenhuis niet direct wordt geraakt, kan een storing bij een leverancier doorwerken. Denk aan koppelingen voor beeldvorming, labuitslagen of recepten. De zorgketen is digitaal nauw verweven.
Bij een mogelijk datalek geldt meldplicht aan de Autoriteit Persoonsgegevens. PatiĆ«nten moeten worden geĆÆnformeerd als hun privacy is geraakt. Delen van dreigingsinformatie met het Nationaal Cyber Security Centrum helpt nieuwe aanvallen te voorkomen. Snelle forensische analyse is nodig om herhaling te beperken.
De komst van de Europese NIS2-richtlijn verhoogt de lat voor cyberweerbaarheid. Ziekenhuizen en cruciale IT-leveranciers vallen onder strengere eisen voor risicobeheer, logging en incidentmelding. Sancties bij nalatigheid worden zwaarder. Besturen moeten kunnen aantonen dat zij passende maatregelen hebben genomen.
Basishygiƫne blijft cruciaal: tijdig patchen, netwerksegmentatie en offline back-ups. Ook leveranciersaudits en gezamenlijke crisisoefeningen horen daarbij. Zonder heldere afspraken in contracten blijven technische ingrepen echter kwetsbaar. Juridische borging en techniek moeten hand in hand gaan.
AI-verordening raakt zorgsoftware
Steeds meer EPDās bevatten beslisregels of algoritmen voor waarschuwingen, triage of medicatieveiligheid. Zulke functies vallen onder de Europese AI-verordening als āhoog risicoā. Dan gelden eisen voor datakwaliteit, uitlegbaarheid, toezicht door mensen en continue monitoring.
Voor ziekenhuizen betekent dit extra taken als āinzetterā van AI. Ze moeten het doel van het systeem vastleggen, medewerkers trainen en de werking controleren. Leveranciers zoals ChipSoft moeten technische dossiers, risicobeoordelingen en logboeken leveren. Zonder deze documentatie wordt inkoop lastiger en gebruik beperkter.
De AI-regels sluiten aan op bestaande zorgkaders, zoals de MDR voor medische hulpmiddelen. Als een AI-functie invloed heeft op diagnose of behandeling, is CE-markering vereist. Inkoopteams doen er goed aan deze eisen vroeg in trajecten op te nemen. Zo voorkomen zij dure aanpassingen achteraf.
Transparantie over modellen en datasets blijft een pijnpunt. Ziekenhuizen vragen om uitlegbaarheid en prestatiecijfers per patiĆ«ntengroep. Dat verkleint bias en vergroot vertrouwen. Heldere APIās en auditbare logbestanden maken toezicht eenvoudiger.
Lock-in vraagt open standaarden
Ziekenhuizen ervaren vaak leverancierslock-in. Migreren naar een ander systeem is duur en risicovol. Dat drukt op innovatie en onderhandelingsruimte. Incidenten maken die afhankelijkheid extra zichtbaar.
De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) duwt richting open, erkende standaarden. Nictiz werkt aan informatiestandaarden op basis van HL7 FHIR, en MedMij regelt veilige uitwisseling met patiƫnten. Hoe beter de aansluiting op deze standaarden, hoe kleiner de lock-in.
Inkoop kan lock-in verminderen met exitplannen, broncode-escrow en dataportabiliteit. Leg eisen vast voor open koppelvlakken en export in gangbare formaten. Vraag om periodieke penetratietests en samenvattingen van bevindingen. Zo ontstaat meer grip op kwaliteit en veiligheid.
Ook de infrastructuur rond het Landelijk Schakelpunt van VZVZ vraagt aandacht. Als centrale hubs haperen, ontstaan wachtrijen in de zorg. Verspreiding van risicoās en heldere fallbackscenarioās horen daarom in elk continuĆÆteitsplan. Redundantie is hier geen luxe maar noodzaak.
Geld, zeggenschap en Grou
De rijkdom rond zorg-IT blijft vaak buiten beeld, zeker bij aandeelhouders in kleinere gemeenten zoals rond Grou. Eigendom op afstand betekent niet dat verantwoordelijkheid op afstand kan. Bestuur en aandeelhouders moeten investeren in weerbaarheid en continuĆÆteit. Dat is geen bijzaak maar kerntaak.
De hack zet de balans tussen winst en beveiliging opnieuw op de agenda. Ziekenhuizen betalen jaarlijks grote bedragen voor licenties en onderhoud. Daar horen meetbare beveiligingsdoelen en transparante rapportages bij. Publieke middelen vragen om publieke rekenschap.
Politiek en toezichthouders kijken intussen naar marktmacht en toegang tot data. De Autoriteit Consument & Markt kan ingrijpen bij misbruik van positie. Het ministerie van VWS kan beveiligingseisen verankeren in bekostiging en normen. Zo komt druk vanuit markt Ć©n beleid.
Voor burgers is vertrouwen het belangrijkst. Patiƫnten willen dat hun gegevens veilig zijn en zorg doorgaat. Helder communiceren na incidenten helpt dat vertrouwen te behouden. Zwijgen of bagatelliseren werkt averechts.
Wat ziekenhuizen nu kunnen doen
Maak een actueel risicoprofiel met de leverancier en test downtime-procedures in de praktijk. Zorg voor 3-2-1 back-ups, inclusief offline kopieƫn, en oefen herstel. Segmenteer netwerken en beperk rechten tot wat strikt nodig is. Versleutel data in rust en tijdens transport.
Leg in contracten harde beveiligingseisen vast, met SLAs, boetes en onafhankelijke audits. Vraag om een duidelijke updatekalender en release-notes in begrijpelijke taal. Documenteer kritieke afhankelijkheden en stel een exitplan op. Deel kernbevindingen met de raad van toezicht.
Voer voor AI-functies een DPIA uit, een privacy-onderzoek zoals vereist door de AVG. Richt een klinisch-IT comitƩ in dat alerts en beslisregels periodiek evalueert. Monitor prestaties per patiƫntengroep om bias te signaleren. Zet logs klaar voor interne en externe audits.
Oefen samen met ketenpartners, zoals VZVZ en laboratoria. Spreek af wie wat meldt bij een incident en binnen welke tijd. Houd contact met het NCSC voor dreigingsinformatie. Zo wordt de digitale zorgketen veerkrachtiger, van leverancier tot spreekkamer.
