ChipSoft, leverancier van het elektronisch patiëntendossier HiX, meldt dat bij de recente hack mogelijk toch ziekenhuisdata zijn buitgemaakt. Het bedrijf kan een datalek niet uitsluiten na aanvullend onderzoek naar de inbraak in zijn bedrijfsnetwerk. Nederlandse ziekenhuizen zijn gewaarschuwd en verhogen hun digitale waakzaamheid. Het onderzoek naar de impact loopt nog op het moment van schrijven.
ChipSoft sluit lek niet uit
ChipSoft nuanceert de eerdere geruststelling dat patiëntgegevens veilig zouden zijn. Na nieuw forensisch onderzoek zegt het bedrijf dat een datalek van ziekenhuisdata niet valt uit te sluiten. Het gaat om een aanval op het interne netwerk van ChipSoft, niet direct op de systemen van ziekenhuizen. Toch kunnen sporen van patiëntinformatie ook in ondersteuningskanalen en koppelingen staan.
HiX wordt breed gebruikt voor medische dossiers, afspraken en medicatie-overzichten. Zo’n elektronisch patiëntendossier (EPD) is software waarin zorgverleners gegevens vastleggen en inzien. Data staan meestal lokaal bij het ziekenhuis, maar leveranciers hebben soms toegang voor support en updates. Dat maakt de grens tussen intern en extern in de praktijk kwetsbaar.
ChipSoft werkt aan herstel en aanvullende beveiliging, zo geeft het aan. Er lopen forensische analyses om te bepalen welke onderdelen geraakt zijn. Pas daarna is duidelijk of en welke data zijn ingezien of gekopieerd. Betrokken klanten krijgen updates terwijl het onderzoek doorgaat, op het moment van schrijven.
Ziekenhuizen verhogen waakzaamheid
Zorgorganisaties bekijken hun verbindingen met ChipSoft en beperken waar nodig extern beheer. Dit gaat om zaken als remote support, update-kanalen en uitwisseling van logbestanden. Zulke maatregelen verkleinen de kans dat een aanval via de leverancier overslaat. Ze helpen ook om verdachte activiteiten sneller te zien.
Veel ziekenhuizen gebruiken HiX voor dagelijkse zorgprocessen. Continuïteit is daarom een aandachtspunt, ook bij strakkere netwerkfilters. Teams zetten extra monitoring in en houden handmatige noodprocedures paraat. Zo blijft de zorg doorlopen als digitale verbindingen tijdelijk dicht moeten.
Het Nationaal Cyber Security Centrum (NCSC) adviseert sectorbreed om IOC’s (aanwijzingen van inbraak) te delen. Dat helpt om patronen te herkennen en sneller te reageren. Ziekenhuizen en leveranciers wisselen dit soort technische signalen via vertrouwde kanalen. Daarmee wordt de detectie in de hele keten beter.
AVG verplicht snelle melding
Bij een mogelijk datalek geldt de meldplicht uit de AVG. Organisaties moeten binnen 72 uur een melding doen bij de Autoriteit Persoonsgegevens (AP). Wie patiënten zijn en welke gegevens zijn geraakt, bepaalt of betrokkenen ook direct geïnformeerd moeten worden. Versleuteling kan het risico verlagen, mits de sleutels niet zijn buitgemaakt.
In de zorg zijn gegevens vaak bijzonder gevoelig, zoals diagnosen, laboratoriumuitslagen en medicatie. Daarom vraagt de AP om dataminimalisatie: alleen verzamelen wat echt nodig is. Ook logging en toegangsbeheer moeten op orde zijn. Dat maakt misbruik eerder zichtbaar en beperkt de schade.
Rolverdeling is hierbij belangrijk. Het ziekenhuis is meestal verwerkingsverantwoordelijke en de leverancier verwerker. Afspraak en aansprakelijkheid horen in het contract te staan, inclusief incidentafhandeling. Goede documentatie ondersteunt zowel de zorgplicht als eventuele communicatie richting patiënten.
NIS2 eist ketenbeveiliging
De Europese NIS2-richtlijn legt strengere cyberverplichtingen op aan essentiële sectoren, waaronder de zorg. Ook leveranciers in de keten vallen onder hogere eisen voor risicobeheer en incidentmelding. Dit betekent concreet meer aandacht voor toeleveranciers, updates en externe toegang. De Nederlandse implementatie maakt deze plichten afdwingbaar, op het moment van schrijven.
Ziekenhuizen moeten aantoonbaar toezicht houden op leveranciersrisico’s. Denk aan security-eisen in contracten, audits en een beleid voor kwetsbaarheden. Standaarden als NEN 7510 en ISO 27001 helpen om dit systematisch te regelen. Ze dwingen onder meer segmentatie, patchbeleid en continue monitoring af.
Het incident bij ChipSoft onderstreept het belang van “least privilege” en scheiding van omgevingen. Hoe minder toegang een leverancier standaard heeft, hoe kleiner de impact bij een inbraak. Ook code signing en integriteitscontroles van updates zijn cruciaal. Zo voorkom je dat kwaadwillenden via update-kanalen binnenkomen.
Praktische stappen voor zorg
Breng alle gegevensstromen met de leverancier in kaart. Kijk ook naar supportprocessen, zoals tickets met screenshots of logbestanden met patiëntgegevens. Zet waar mogelijk automatische redactie of pseudonimisering aan. Zo verklein je de kans dat gevoelige data onnodig rondgaat.
Reset wachtwoorden en API-sleutels die met de leverancier zijn gedeeld. Vervang certificaten en beperk IP-ranges voor externe toegang. Controleer update-pakketten op herkomst en integriteit via hashes en ondertekening. En voer extra controles uit op beheeraccounts en service-accounts.
Bereid communicatie voor richting AP en mogelijk betrokken patiënten. Gebruik heldere sjablonen, met uitleg van risico’s en aanbevolen acties. Test daarnaast de incidentrespons met een korte oefening. Dat versnelt besluitvorming als nieuwe informatie binnenkomt.
Een supply-chain-aanval is een inbraak via een leverancier, om zo bij de systemen of gegevens van klanten te komen.
AI-verordening raakt zorgdata
Veel ziekenhuizen ontwikkelen of gebruiken algoritmen die leren van EPD-gegevens. Als zulke datasets lekken, schaadt dat vertrouwen en kan herleiding van personen risico’s geven. Ook kunnen gemanipuleerde gegevens modellen vervormen. Daarom is strikte datagovernance nodig, van herkomst tot gebruik.
De Europese AI-verordening (AI Act) classificeert medische AI voor diagnose en behandeling als hoog risico. Dat vraagt om robuuste datakwaliteit, traceerbaarheid en toezicht. Incidenten en afwijkingen moeten worden gelogd en onderzocht. Deze plichten komen boven op de AVG en sectorale normen.
Zorginstellingen doen er goed aan de herkomst van trainingsdata te controleren en vast te leggen. Beperk data-uitwisseling tot het strikt noodzakelijke en met een duidelijke rechtsgrond. Overweeg tijdelijk pauzeren van niet-essentiële datastromen tot de impact van de hack helder is. Zo blijven kwaliteit, privacy en veiligheid in balans.
