De CISO van een getroffen Nederlandse zorginstelling heeft het recente incident rond ChipSoft in kaart gebracht. Het ging om storingen in het elektronisch patiëntendossier HiX die meerdere ziekenhuizen ontregelden. De reconstructie beschrijft wat er misging, hoe is hersteld en welke keuzes zijn gemaakt. Ook speelt mee wat Europese regels zoals NIS2, de AVG en de Europese AI-verordening betekenen voor overheid en zorg.
Impact op patiëntenzorg
Door de storing in HiX moesten afdelingen tijdelijk overstappen op noodprocedures. Patiëntgegevens waren moeilijker te raadplegen en registreren. Niet‑spoedeisende zorg werd uitgesteld, terwijl spoedzorg met extra controles doorging. Dat vergrootte de werkdruk en het risico op fouten.
Ziekenhuizen gebruikten papieren formulieren en lokale lijsten als tussenoplossing. Deze fallback is onderdeel van continuïteitsplannen, maar blijft kwetsbaar. Het kost tijd om te schrijven, te scannen en later in te voeren. Daardoor lopen wachttijden en administratieve achterstanden op.
Apotheek- en ordersystemen haperden ook, omdat die vaak met HiX koppelen. Medicatiecontrole en labaanvragen kregen extra handmatige stappen. Teams moesten bellen in plaats van digitale berichten. Dat vertraagde zorgpaden op de SEH en in klinieken.
Ketenfouten verergerden uitval
De reconstructie laat zien dat een technische wijziging doorwerkte in de hele keten. Denk aan updates, certificaten of configuraties die onverwacht botsen. In zo’n landschap met veel koppelingen valt een klein radertje soms groot uit. Dat heet ketenafhankelijkheid: één storing trekt andere mee.
Change‑management bleek niet sluitend genoeg. Niet alle afhankelijkheden waren vooraf getest in een realistische acceptatieomgeving. Ook ontbrak een direct uitvoerbaar rollback‑plan met duidelijke stappen. Daardoor duurde het langer om stabiele service te herstellen.
Daarnaast speelde leveranciersafhankelijkheid een rol. Ziekenhuizen leunen zwaar op ChipSoft en partners voor onderhoud en support. Zonder actuele documentatie en heldere contactlijnen stokt de respons. Dat vergroot de hersteltijd en de impact op de werkvloer.
Communicatie en regie ontbraken
De informatie richting gebruikers kwam gefaseerd en soms te laat. Afdelingen misten tijdige statusupdates en praktische instructies. Daardoor ontstonden lokale werkafspraken die niet altijd op elkaar pasten. Uniforme regie had hier tijd en fouten kunnen besparen.
Ook de communicatie tussen ziekenhuis, ChipSoft en toeleveranciers was stroef. Heldere meldkanalen en één beslisboom ontbraken. Een centrale statuspagina met technische en operationele updates zou helpen. Zo weet iedereen wat de actuele beperkingen en veilige omwegen zijn.
HiX is het elektronisch patiëntendossier (EPD) van ChipSoft: software waarin zorgverleners medische gegevens vastleggen, inzien en uitwisselen.
Gebruikers gaven aan dat simpele, korte berichten het best werkten. Bijvoorbeeld: wat kan wel, wat kan niet, en voor hoe lang. Ook hielpen kant‑en‑klare A4’tjes met noodprocedures per afdeling. Deze formats worden nu opgenomen in het crisisdraaiboek.
NIS2 en AVG eisen meer
Zorginstellingen vallen onder NIS2 als essentiële entiteiten. Dat vraagt om aantoonbare maatregelen voor continuïteit, supply‑chain‑risico’s en snelle incidentmelding binnen 24 uur. Contracten met leveranciers zoals ChipSoft moeten dit expliciet borgen. Denk aan testplichten, rollback‑eisen en transparantie over kwetsbaarheden.
De AVG stelt eisen aan de beveiliging van patiëntdata. Dataminimalisatie, versleuteling en logging blijven noodzakelijk, ook tijdens noodprocedures. Papieren noodformulieren vragen daarom om strakke opslag en snelle terugkoppeling. Anders ontstaan gaten in dossiervoering en privacyrisico’s.
De Europese AI‑verordening raakt zorgsoftware zodra AI‑modules beslissingen ondersteunen. Zulke systemen vallen vaak in de hoge risicoklasse en vereisen strikte controle en traceerbaarheid. Op het moment van schrijven is de AI‑verordening aangenomen en in invoering. Ziekenhuizen moeten daarom inventariseren welke AI‑functies in of naast HiX draaien.
Leveranciers moeten transparanter
De CISO wijst op noodzaak van openheid over wijzigingen. Een publieksvriendelijke changelog en een technische release‑nota per update helpen risico’s inschatten. Ook een gestandaardiseerde testset voor koppelingen verkleint faalkansen. Zo kan elke instelling updates voorspelbaar valideren.
Verder zijn rollback‑pakketten nodig die direct inzetbaar zijn. Met vaste checklists, scripts en terugzetpunten verkort je de MTTR, de hersteltijd. Leveranciers kunnen daarnaast een software‑bill‑of‑materials (SBOM) leveren. Dat maakt kwetsbaarheden in gebruikte componenten snel zichtbaar.
Transparante statuscommunicatie hoort bij deze aanpak. Denk aan een realtime statuspagina met storingscodes en impactniveaus. In combinatie met heldere SLA‑escalaties ontstaat regie. Dat schept vertrouwen bij kliniek en ICT‑teams.
Ziekenhuizen versterken weerbaarheid
Instellingen scherpen hun crisisdraaiboeken aan met korte, taakgerichte instructies. Zij oefenen vaker op papierwerken en digitale uitval, per afdeling. Ook standaardiseren zij communicatiesjablonen voor interne updates en patiëntinformatie. Zo wordt de respons voorspelbaarder en rustiger.
Technisch zetten zij in op redundantie en segmentatie. Denk aan gescheiden omgevingen voor testen en productie, plus strengere uitrolvensters. Automatische monitoring met duidelijke drempelwaarden verkort detectietijd. Dat helpt storingen isoleren voordat ze keteneffecten krijgen.
Z‑CERT ondersteunt sectorbreed met dreigingsinformatie en incidentrespons. Op het moment van schrijven werkt Z‑CERT samen met ziekenhuizen en leveranciers aan richtlijnen voor zorg‑ICT. Nationale partijen zoals het NCSC delen hierbij ook adviezen. Samen moet dit leiden tot snellere meldingen en beter herstel.
