ChipSoft, leverancier van het elektronisch patiëntendossier HiX, is getroffen door een cyberaanval. De aanval raakte deze week meerdere zorginstellingen in Nederland, omdat zij via ChipSoft hun patiëntendossiers beheren. Systemen waren deels onbereikbaar, waardoor afspraken en uitslagen vertraging opliepen. Het motief en de herkomst zijn op het moment van schrijven niet bevestigd.
Aanval verstoort zorgprocessen
Door de aanval konden medewerkers soms niet inloggen of gegevens niet opslaan. Het verzenden van labaanvragen en het ophalen van uitslagen ging trager of helemaal niet. Dit zorgde voor oponthoud bij poli’s, apotheken en laboratoria. Patiënten merkten dit aan langere wachttijden en verplaatste afspraken.
Ziekenhuizen houden spoedzorg in stand, maar plannen niet-spoedeisende zorg vaak om. Afdelingen schakelen over op vaste noodprocedures om veilig door te werken. Denk aan werken op papier, extra controles en telefonische afstemming. Zo moet de continuïteit van zorg gewaarborgd blijven.
De impact reikt verder dan één ziekenhuis, omdat veel processen ketens vormen. Als een elektronisch patiëntendossier hapert, raakt dat ook apotheek-, lab- en beeldsystemen. Regionale samenwerking komt dan onder druk te staan. De uitval laat zien hoe sterk de zorg van één platform afhankelijk kan zijn.
HiX centraal in uitval
HiX is het elektronisch patiëntendossier (EPD) van ChipSoft dat in Nederland door tientallen ziekenhuizen wordt gebruikt. In een EPD staan medische gegevens, medicatie, orders en behandelplannen. Het systeem is de ruggengraat van het dagelijkse werk. Valt het deels uit, dan stokt de informatievoorziening.
Veel instellingen draaien HiX in nauwe samenwerking met de leverancier, met gedeelde koppelingen en beheer. Zo’n opzet maakt updates en beveiliging centraal, maar vergroot ook het risico op een ketenstoring. Eén incident kan daardoor meerdere zorglocaties raken. Dat blijkt nu in de praktijk.
In HiX zitten ook beslisondersteuning en controles, zoals medicatieveiligheid en interacties. Deze functies gebruiken soms algoritmen die waarschuwingen geven bij risico’s. Als de kernsystemen uitvallen, verdwijnen die vangnetten tijdelijk. Dan moeten teams extra handmatig controleren.
Ziekenhuizen op noodprocedures
Bij storingen stappen zorgteams over op ‘downtime’-protocollen. Artsen en verpleegkundigen werken dan met papieren formulieren en uitgeprinte lijsten. Uitslagen en orders gaan via telefoon of veilige mail. Elke stap wordt later ingevoerd zodra systemen weer beschikbaar zijn.
Medicatieveiligheid krijgt extra aandacht met dubbele handtekeningen en fysieke etiketten. Laboratoria en radiologie plannen onderzoeken door, maar rapporteren soms vertraagd. Patiënten krijgen uitleg aan de balie en via sms of portalen, waar mogelijk. Het doel is veilige zorg, met beperkte hinder.
Nederlandse zorginstellingen vallen onder NEN 7510, de norm voor informatiebeveiliging in de zorg. Die eist onder meer continuïteitsplannen en oefening van uitwijkscenario’s. Sectorale organisatie Z-CERT ondersteunt met dreigingsinformatie en incidenthulp. Inspectie Gezondheidszorg en Jeugd beoordeelt de patiëntveiligheid.
Onderzoek naar datalek loopt
ChipSoft onderzoekt met externe specialisten de toedracht en de toegangspunten. Eerst worden getroffen systemen geïsoleerd en back-ups gecontroleerd. Herstel volgt gefaseerd om nieuwe schade te voorkomen. Forensische analyse moet duidelijkheid geven over de gebruikte techniek.
Of er persoonsgegevens zijn buitgemaakt, is op het moment van schrijven niet duidelijk. Als onbevoegden dossiers hebben ingezien of gekopieerd, is dat een datalek. Dan moeten betrokkenen en toezichthouders worden geïnformeerd. Encryptie en netwerksegmentatie kunnen de schade beperken, maar niet elk risico uitsluiten.
Ook Z-CERT en het Nationaal Cyber Security Centrum ondersteunen bij detectie en herstel. Logbestanden en endpoint-gegevens zijn cruciaal om het aanvalspad te reconstrueren. Daarna kunnen gerichte patches en wachtwoordresets volgen. Lessons learned vloeien terug naar de hele sector.
AVG en NIS2 eisen meldingen
De Algemene verordening gegevensbescherming (AVG) verplicht zorginstellingen tot snelle melding van datalekken. Bij risico voor patiënten moet dit binnen 72 uur bij de Autoriteit Persoonsgegevens, en soms ook aan de patiënt. Leveranciers die verwerker zijn, moeten hun klanten direct informeren. Transparantie en mitigatie staan voorop.
Onder de AVG geldt: meld een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens als er risico is voor betrokkenen.
Daarnaast is NIS2 van kracht voor essentiële en belangrijke entiteiten, waaronder zorg en kritieke ICT-leveranciers. Die wet vraagt een vroege waarschuwing binnen 24 uur aan het CSIRT en toezichthouder, plus een incidentmelding binnen 72 uur. Een eindrapport volgt binnen een maand met oorzaken en maatregelen. In Nederland houdt de Rijksinspectie Digitale Infrastructuur hier toezicht op.
Niet-naleving kan leiden tot boetes en bindende aanwijzingen. Afnemers eisen steeds vaker audits, pentests en herstelplannen van leveranciers. Ook AI-modules in de zorg vallen onder de Europese AI-verordening als hoog risico, met strenge eisen aan beheer en logging. Incidentrespons en dataminimalisatie worden daarmee nog belangrijker.
Herstelplan en preventie nodig
Na eerste stabilisatie volgt structureel herstel, inclusief herconfiguratie en verscherpte monitoring. Organisaties draaien aanvullende detectietools en segmenteren netwerken fijner. Toegangsrechten worden herzien en multifactor-authenticatie aangescherpt. Oefeningen testen of de nieuwe maatregelen werken.
Voor de sector ligt de les in minder single points of failure. Meer redundantie, offline back-ups en geteste uitwijk verminderen impact. Ook heldere contracten met leveranciers over incidenttaken helpen. Denk aan hersteltermijnen, communicatie en aansprakelijkheid.
Patiënten verwachten veilige en beschikbare digitale zorg. Dat vraagt blijvende investering in basisbeveiliging en menselijk handelen. Phishing en gestolen wachtwoorden blijven vaak startpunt van een aanval. Training en tooling moeten daarom hand in hand gaan.
