Een Nederlandse leverancier van elektronisch patiëntendossier-software is deze week getroffen door een cyberaanval. Meerdere ziekenhuizen in Nederland namen delen van hun systemen uit voorzorg offline. Het doel is om verspreiding en datadiefstal te voorkomen. Op het moment van schrijven is niet duidelijk of medische gegevens zijn buitgemaakt.
EPD-leverancier getroffen door hack
Een elektronisch patiëntendossier (EPD) is software waarin ziekenhuizen medische gegevens opslaan en raadplegen. De getroffen leverancier levert zulke systemen aan Nederlandse zorginstellingen. Door de aanval zijn ondersteunende diensten en koppelingen verstoord. Dat raakt vooral afsprakenplanning, labverwijzingen en communicatie tussen afdelingen.
Ziekenhuizen kozen ervoor om delen van het EPD of aanverwante diensten tijdelijk uit te zetten. Zo beperken zij risico’s voor patiëntveiligheid en IT-infrastructuur. Noodprocessen treden in werking, zoals werken met papieren formulieren en telefonische afstemming. Spoedzorg blijft doorgaans doorgaan, maar wachttijden kunnen oplopen.
De oorzaak en techniek van de aanval zijn nog niet publiek bevestigd. Bij dit soort incidenten gaat het vaak om ransomware, ook wel gijzelsoftware genoemd. Dat is malware die systemen versleutelt om losgeld te eisen. Forensisch onderzoek moet uitwijzen wat hier precies is gebeurd.
Een EPD is een digitaal systeem waarin ziekenhuizen medische gegevens veilig opslaan en delen met zorgverleners die ze nodig hebben.
Ziekenhuizen beperken directe schade
Het eerste doel na een hack is isoleren en controleren. Ziekenhuizen segmenteren netwerken, sluiten externe koppelingen af en blokkeren verdachte accounts. Zo voorkomen zij dat de aanval overslaat naar andere systemen. Daarna volgt gefaseerde herstart met extra toezicht.
Operationele prioriteit ligt bij medicatie, radiologie en spoed. Teams controleren of cruciale data volledig en actueel is voordat systemen opnieuw worden gebruikt. Back-ups worden getest en alleen teruggezet als ze aantoonbaar schoon zijn. Dit proces kan uren tot dagen duren, afhankelijk van de omvang.
Communicatie met patiënten is aangepast en mogelijk beperkter. Afspraken kunnen verzet worden en uitslagen later binnenkomen. Zorginstellingen wijzen op het belang van legitimatie aan de balie en nemen vaker extra controles op medicatie en allergieën. Dat verkleint de kans op medische fouten.
AVG en meldplichten gelden
Medische gegevens vallen onder de AVG als bijzondere persoonsgegevens. Als er kans is op datalekken, moet de organisatie dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Ook betrokken patiënten moeten geïnformeerd worden als er een hoog risico op misbruik bestaat. Op het moment van schrijven is niet bekend of zo’n melding is gedaan.
Zorginstellingen en softwareleveranciers hebben verwerkersovereenkomsten. Daarin staan afspraken over beveiliging, versleuteling en incidentrespons. Dataminimalisatie en sterke versleuteling verkleinen de impact als er toch wordt ingebroken. Logs en toegangsbeheer helpen om te bepalen welke gegevens mogelijk zijn ingezien.
De Inspectie Gezondheidszorg en Jeugd houdt toezicht op continuïteit en patiëntveiligheid. Sectorale partijen zoals Z-CERT ondersteunen ziekenhuizen met detectie, advies en herstel. Het Nationaal Cyber Security Centrum coördineert waar nodig bij dreiging voor vitale processen. Samenwerking versnelt het indammen van de aanval.
NIS2 verhoogt eisen in zorg
De Europese NIS2-richtlijn geldt, op het moment van schrijven, voor veel zorgaanbieders en hun IT-leveranciers. Zij moeten aantoonbaar risico’s beheersen, incidenten snel melden en bestuurders laten meeverantwoordelijk zijn. Een vroege waarschuwing binnen 24 uur en een uitgebreid rapport binnen 72 uur zijn standaard. Overtredingen kunnen leiden tot boetes en toezichtmaatregelen.
NIS2 vraagt om basismaatregelen zoals multifactorauthenticatie, netwerksegmentatie en patchbeleid. Ook leveranciersrisico’s horen erbij, bijvoorbeeld via security-eisen in contracten en het toetsen van back-ups. Transparantie over softwarecomponenten, een zogenoemde SBOM, maakt kwetsbaarheden sneller vindbaar. Dit is extra belangrijk bij ketensystemen zoals EPD’s.
Beslissingsondersteuning in EPD’s gebruikt steeds vaker algoritmen. Dergelijke toepassingen kunnen onder de Europese AI-verordening (AI Act) als hoog risico vallen, met strengere documentatie en testen. Die regels gaan over betrouwbaarheid van het model, niet over cyberweerbaarheid. Beide sporen zijn nodig om veilige digitale zorg te bieden.
Herstel en lessen voor keten
Na isolatie volgt gecontroleerd herstel. Organisaties herbeveiligen accounts, vervangen sleutels en certificaten, en draaien systemen opnieuw uit schone basis-images. Back-ups worden pas teruggezet na validatie door forensische teams. Dit voorkomt dat de aanvaller meeverhuist naar de nieuwe omgeving.
Heldere communicatie verkleint onrust bij patiënten en personeel. Ziekenhuizen delen praktische updates over doorlooptijden en bereikbaarheid. Patiënten kunnen vragen naar hun eigen gegevens en krijgen uitleg over mogelijke risico’s. Transparantie is een vereiste onder de AVG én belangrijk voor vertrouwen.
De belangrijkste lessen liggen in ketenbeveiliging. Denk aan striktere toegangsrechten voor leveranciers, offline back-ups, monitoring met afwijkingsdetectie en regelmatige crisisoefeningen. Investeren in een Security Operations Center en responsplannen met Z-CERT versnelt het handelen bij een volgende dreiging.
