De Nederlandse EPD-leverancier ChipSoft meldt dat gestolen patiëntgegevens na een recente ransomware-aanval zijn vernietigd. Het bedrijf zegt hiervoor bevestiging te hebben gekregen van de dadergroep. Het incident raakt zorgdata uit systemen rond het elektronisch patiëntendossier HiX. De mededeling moet ongerustheid verminderen en de gevolgen voor patiënten en zorginstellingen beperken.
ChipSoft zegt data vernietigd
ChipSoft bevestigt dat criminelen patiëntgegevens buitmaakten bij een ransomware-incident en stelt dat deze kopieën inmiddels zijn verwijderd. Ransomware is gijzelsoftware die bestanden versleutelt en vaak ook eerst kopieert om druk te zetten. Het bedrijf achter het EPD HiX zegt bewijs van vernietiging te hebben ontvangen. Op het moment van schrijven is niet bekend hoeveel dossiers zijn geraakt of welke zorginstellingen precies betrokken zijn.
De leverancier geeft aan dat dienstverlening is hersteld en dat partners zijn geïnformeerd. In de zorgketen werken ziekenhuizen, laboratoria en huisartsen nauw samen, waardoor een incident bij een leverancier snel breder kan doorwerken. ChipSoft benadrukt doorgaans hoge beschikbaarheid en beveiliging, maar een aanval op een toeleverancier benadrukt het ketenrisico. Zorgorganisaties blijven daarom alert op misbruik van eerder buitgemaakte data.
Het blijft onduidelijk welke waarborgen er zijn voor de beloofde vernietiging. In de praktijk kunnen kopieën elders blijven bestaan, bijvoorbeeld in tussenopslag of bij mede-daders. Ook is zogeheten “proof of deletion” lastig onafhankelijk te controleren. Instellingen moeten het incident daarom blijven behandelen als een datalek met mogelijk blijvende risico’s.
Bewijs blijft onzeker
Criminele groepen geven soms een verklaring of een downloadlink die niet meer werkt als “bewijs” dat data weg is. Dat zegt niets over verborgen kopieën of toekomstige publicatie. Bovendien wisselen dadergroepen van naam en infrastructuur, waardoor beloften weinig waarde hebben. Verificatie door een onafhankelijke partij is zelden volledig mogelijk.
Juridisch blijft sprake van een datalek onder de AVG, ook als gegevens later zijn verwijderd. Gezondheidsinformatie valt onder bijzondere persoonsgegevens en vereist extra bescherming. Encryptie aan de bron kan het risico beperken, maar aanvallers exfiltreren vaak data vóór versleuteling. Organisaties moeten daarom uitgaan van het worstcasescenario voor hun risicobeoordeling.
Richtsnoeren van NCSC en Autoriteit Persoonsgegevens adviseren terughoudendheid bij claims van daders. Meldingen, documentatie en communicatie naar betrokkenen blijven verplicht bij hoog risico. Ook contracten met leveranciers zouden afspraken moeten bevatten over incidentrespons en forensisch onderzoek. Zonder aantoonbare zekerheid blijft nazorg aan patiënten noodzakelijk.
Ransomware is gijzelsoftware die bestanden versleutelt en vaak eerst kopieert. Criminelen eisen geld voor een sleutel of beloven verwijdering, maar dat is zelden controleerbaar.
Impact op Nederlandse zorg
ChipSoft levert het HiX-EPD aan veel Nederlandse ziekenhuizen, waardoor de maatschappelijke impact potentieel groot is. Een verstoring of datalek bij een dominante leverancier raakt snel meerdere regio’s en ketenpartners. Denk aan doorverwijzingen, laboratoriumuitslagen en medicatieoverzichten. Elke schakel moet daarom eigen risico’s en afhankelijkheden scherp in beeld hebben.
Voor huisartsen speelt de koppeling met ziekenhuizen via systemen als het LSP en ZorgDomein. Informatie-uitwisseling vergroot de zorgkwaliteit, maar maakt ook ketenbeveiliging belangrijker. Zelfs als het eigen huisartsinformatiesysteem niet is getroffen, kan gedeelde data indirect risico lopen. Praktijken doen er goed aan na te gaan welke gegevensstromen met HiX-instellingen lopen.
Voor patiënten kan het risico variëren van privacyinbreuk tot identiteitsmisbruik. Medische details zijn gevoelig en langdurig waardevol voor criminelen. Doxing, afpersing of gerichte phishing behoren tot de mogelijke gevolgen. Heldere communicatie en praktische tips aan betrokkenen verkleinen die schade.
AVG en NIS2 verplichten
Onder de AVG moeten organisaties een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Betrokkenen moeten worden geïnformeerd als er waarschijnlijk een hoog risico is voor hun rechten. Voor gezondheidsdata is die drempel snel bereikt. Transparantie over aard, omvang en maatregelen is daarom essentieel.
De Europese NIS2-richtlijn legt strengere beveiligings- en meldplichten op aan essentiële en belangrijke entiteiten. Zorgaanbieders en cruciale IT-dienstverleners in de zorgketen vallen daar in veel gevallen onder. In Nederland is de implementatie op het moment van schrijven in voorbereiding. Verwachting is meer focus op ketenrisico, supply‑chain‑eisen en tijdige incidentmelding.
Contracten met leveranciers als EPD‑bouwers moeten daarom afspraken bevatten over pentests, logging, isolatie, back‑ups en forensische toegang. Dat sluit aan bij principes als dataminimalisatie en versleuteling uit de AVG. Ook moeten rollen helder zijn: wie meldt wat, wanneer en aan wie. Duidelijke taakverdeling voorkomt vertraging in crisistijd.
Aanpak voor instellingen
Organisaties doen er goed aan meteen toegangssleutels, wachtwoorden en certificaten te vervangen die via de leverancier konden worden benaderd. Logbestanden uit netwerk, EPD‑koppelingen en identiteitsbeheer moeten worden gecontroleerd op afwijkingen. Segmentatie en het intrekken van ongebruikte koppelingen beperken vervolgschade. Laat bevindingen vastleggen voor AP‑melding en eventueel strafrechtelijk onderzoek.
Communicatie naar patiënten moet concreet en begrijpelijk zijn: welke gegevens, welke risico’s, welke stappen. Bied een loket voor vragen en overweeg hulp bij identiteitsmisbruik als dat aan de orde is. Werk samen met regionale partners om dubbele of tegenstrijdige boodschappen te voorkomen. Eenduidigheid vergroot vertrouwen en vermindert onrust.
Technisch helpt meerlaagse beveiliging: multifactor‑authenticatie, actuele patches, offline back‑ups en endpointdetectie. Machine‑learninggestuurde monitoring kan afwijkend dataverkeer snel signaleren, maar kent valse meldingen. Menselijke beoordeling blijft nodig. Oefen regelmatig met crisisscenario’s, inclusief uitval van een leverancier.
AI in aanval en verdediging
Criminelen zetten generatieve AI in voor geloofwaardige phishing en geautomatiseerde speurtochten naar zwakke plekken. Ook deepfake‑stemmen en gescripte chats verhogen de druk bij social engineering. Hierdoor stijgt de kans dat inloggegevens of toegangstokens worden buitgemaakt. Bewustwording en technische checks zijn nodig om dit te pareren.
Aan de verdedigende kant helpt AI bij detectie van afwijkend gedrag en snelle triage van alarmen. Zulke modellen zijn nuttig, maar niet foutloos en vragen continu onderhoud. Combineer ze met strikte toegangsrechten en goede loganalyse. Zo blijft de controle bij het securityteam.
De Europese AI‑verordening stelt op het moment van schrijven vooral eisen aan transparantie en risicobeheer voor verschillende toepassingscategorieën. Cybersecurity‑tools vallen doorgaans niet onder de hoogste risicoklassen, maar governance blijft nodig. Leg keuzes, datastromen en beperkingen vast. Dat maakt audits en samenwerking met toezichthouders eenvoudiger.
