Ziekenhuizen in Nederland zetten deze week extra personeel in na een hack bij softwareleverancier ChipSoft. Het bedrijf levert het elektronisch patiëntendossier HiX, dat in delen is uit voorzorg uitgeschakeld of beperkt inzetbaar. Afdelingen stappen terug op papier en telefoon om de zorg door te laten gaan. Daarbij speelt ook de discussie over de NIS2-richtlijn en de Europese AI-verordening, en hun gevolgen voor ziekenhuizen en overheid.
Ziekenhuizen schakelen handmatig bij
Meerdere ziekenhuizen, onder meer in de regio Utrecht, hebben roosters opgeschaald en noodprocedures geactiveerd. Teams registreren patiënten handmatig en verifiëren medicatie aan de hand van papieren lijsten. Dat kost tijd, maar houdt de basiszorg beschikbaar.
Afdelingen zetten extra baliemedewerkers, planners en verpleegkundigen in. Zij bellen onderzoeken na, brengen uitslagen rond en controleren dubbel. Digitalisering maakt plaats voor analoge stappen om fouten te voorkomen.
Spoedzorg gaat door, maar planbare zorg kan vertragen. Poli’s en dagbehandelingen worden waar nodig verschoven. ICT-teams werken in een crisisstructuur om systemen veilig te herstellen.
ChipSoft HiX deels onbruikbaar
ChipSoft is een Nederlandse leverancier van zorg-ICT en ontwikkelt het EPD-systeem HiX. Dat pakket ondersteunt het volledige zorgproces, van triage tot ontslag. Bij een hack sluiten instellingen vaak componenten uit voorzorg af.
Daardoor vallen functies als dossierinzage, orderen van labonderzoek en planning deels weg. Ziekenhuizen schakelen dan naar een downtime-procedure. Medewerkers vullen formulieren in en voeren gegevens later in als systemen weer veilig zijn.
De impact verschilt per ziekenhuis en per module. Sommige onderdelen blijven beschikbaar binnen strenge veiligheidsmaatregelen. Andere staan tijdelijk stil tot de risico’s duidelijk zijn.
Een elektronisch patiëntendossier (EPD) is het digitale medische dossier van een patiënt, met gegevens zoals klachten, medicatie en allergieën.
AVG en NIS2 stellen eisen
Onder de AVG moeten zorginstellingen persoonsgegevens beschermen met passende beveiliging, zoals versleuteling en dataminimalisatie. Bij een datalek geldt een meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur. Op het moment van schrijven is niet publiek bekend of er sprake is van een datalek, of alleen van verstoring.
De NIS2-richtlijn verplicht ziekenhuizen en hun leveranciers om grote ICT-incidenten snel te melden bij het sectorale CSIRT (Z-CERT) en het Nationaal Cyber Security Centrum. De regels vragen ook om risicobeheer, leverancierscontrole en oefening van noodprocessen. Dat past bij het nu zichtbare belang van continuïteit en segmentatie.
De Europese AI-verordening raakt zorg-ICT zodra algoritmen voor triage of besluitondersteuning zijn gekoppeld aan EPD’s. Zulke systemen vallen als hoog risico onder strengere eisen, zoals logging, menselijke controle en robuustheid. Voor zorginstellingen en overheid betekent dit extra governance naast NIS2, met duidelijke rollen voor inkopers, dataprofessionals en artsen.
Patiëntveiligheid boven productiviteit
Nu digitale ondersteuning hapert, kiezen ziekenhuizen voor veiligheid eerst. Medicatie en allergieën worden handmatig dubbelgecheckt. Dat verlaagt de kans op fouten, maar maakt het werk trager.
Patiënten krijgen vaak het advies hun actuele medicatielijst en legitimatie mee te nemen. Ook vragen ziekenhuizen begrip voor wachttijden en last-minute wijzigingen. Informatie loopt via websites, patiëntportalen en telefonische updates.
Als de storing langer duurt, groeit de administratieve achterstand. Gegevens moeten later worden ingevoerd en gecontroleerd. Dat vergt extra uren en kan de wachttijd voor nieuwe afspraken verlengen.
Leveranciersrisico wordt zichtbaarder
De hack onderstreept het risico van sterke afhankelijkheid van één leverancier. Concentratie vergroot de impact van een enkel incident. Diversificatie en open standaarden, zoals HL7 FHIR voor gegevensuitwisseling, maken ketens weerbaarder.
Inkoop kan scherper sturen op NEN 7510/7512/7513, segmentatie en offline leesbaarheid van kerngegevens. Contracten horen eisen te bevatten voor back-ups, noodscenario’s en hersteltests. Oefeningen met realistische uitval helpen teams sneller en veiliger schakelen.
Z-CERT ondersteunt de zorgsector met dreigingsinformatie en advies. Het NCSC deelt indicatoren van compromis en coördineert waar nodig met andere sectoren. Brancheorganisaties helpen hun leden bij crisiscommunicatie en het herstellen van reguliere zorgprocessen.
