ChipSoft, de maker van het elektronische patiëntendossier HiX, is deze week getroffen door een cyberaanval. Daardoor raakten digitale zorgprocessen in meerdere Nederlandse instellingen verstoord. Het ging onder meer om diensten voor gegevensuitwisseling en planning. De toedracht wordt onderzocht; op het moment van schrijven is niet bevestigd of er medische gegevens zijn buitgemaakt.
Zorgprocessen raakten verstoord
Instellingen meldden vertraging bij het raadplegen van dossiers en het uitwisselen van informatie. Afspraken moesten soms worden verzet of handmatig worden afgehandeld. Sommige zorgverleners stapten tijdelijk over op noodprocedures, zoals bellen en papieren formulieren.
Het elektronische patiëntendossier (EPD) is het centrale werkpaard van de zorg. Artsen, verpleegkundigen en balies vertrouwen op dit systeem voor inzage, orders en verslaglegging. Als het hapert, stokt de doorstroom van patiënten en ontstaan wachttijden.
Niet alleen dossiervoering is geraakt, ook digitale controles kunnen uitvallen. Denk aan medicatiebewaking en beslisondersteuning, vaak algoritmen die waarschuwingen geven bij bijvoorbeeld interacties. Zonder deze digitale checks werken teams voorzichtiger en kost zorg meer tijd.
ChipSoft en HiX zijn sleutel
ChipSoft levert HiX aan een groot deel van de Nederlandse ziekenhuizen. Het bedrijf biedt daarnaast diensten voor uitwisseling met huisartsen, laboratoria en apotheken, zoals Zorgplatform. Zo’n knooppunt maakt samenwerking eenvoudiger, maar vergroot ook de afhankelijkheid van één leverancier.
Ook wanneer HiX lokaal in het ziekenhuis draait, zijn er vaak koppelingen met externe diensten. Authenticatie, berichtenverkeer en updates lopen dan via internetverbindingen en leveranciersnetwerken. Een verstoring bij de leverancier kan daardoor merkbaar zijn op de werkvloer.
Deze concentratie van kritieke zorg-IT heet ketenafhankelijkheid. Werkt één schakel niet, dan volgt rimpelwerking in de rest van het zorgnetwerk. Dat raakt niet alleen ziekenhuizen, maar ook eerstelijnszorg en diagnostische partijen.
Aard van aanval nog onduidelijk
Het is op het moment van schrijven niet publiek bekend of het om ransomware, een DDoS-aanval of een andere aanvalstechniek gaat. Het bedrijf werkt aan herstel en forensisch onderzoek. Veiligheidsmaatregelen kunnen ertoe leiden dat diensten tijdelijk uit voorzorg worden uitgezet.
Een DDoS-aanval is het overbelasten van een online dienst met heel veel verkeerd verkeer, waardoor die onbereikbaar wordt.
Ransomware vergrendelt bestanden en kan datadiefstal combineren met chantage. Ziekenhuizen en hun leveranciers zijn hiervoor aantrekkelijke doelwitten, omdat uitval snel maatschappelijke impact heeft. Of dit hier speelt, is niet bevestigd.
Z-CERT, het cybersecuritycentrum voor de zorg, en het Nationaal Cyber Security Centrum (NCSC) ondersteunen bij incidenten. Zij delen waarschuwingen en technische indicators om verdere schade te voorkomen. Dergelijke coördinatie helpt om aanvallen sneller te detecteren en te beperken.
Plichten onder AVG en NIS2
Medische gegevens vallen onder de AVG en zijn “bijzondere persoonsgegevens”. Zorginstellingen en hun IT-leveranciers moeten dataminimalisatie toepassen en gegevens versleutelen, zowel tijdens opslag als transport. Bij een datalek met risico voor betrokkenen is melding aan de Autoriteit Persoonsgegevens en de patiënten verplicht.
De Europese NIS2-richtlijn scherpt cybersecurity-eisen aan voor essentiële entiteiten, waaronder zorginstellingen en cruciale ICT-leveranciers. Zij moeten risico’s in de toeleveringsketen beheersen, continuïteit borgen en incidenten tijdig melden. Nederland implementeert deze regels in nationale wetgeving; op het moment van schrijven gelden voorbereidings- en meldplichten al in de sector.
NIS2 schrijft een vroege waarschuwing binnen 24 uur voor, een incidentmelding binnen 72 uur en een eindrapport binnen een maand. Toezichthouders kunnen handhaven als basismaatregelen ontbreken, zoals segmentatie, back-ups en multi-factor-authenticatie. De Inspectie Gezondheidszorg en Jeugd let daarnaast op continuïteitsplannen in de zorg.
Gevolgen voor patiënten en herstel
Patiënten kunnen vertraging merken bij afspraken, uitslagen en herhaalrecepten. Neem een actueel medicatieoverzicht mee en houd rekening met extra wachttijd. Volg de communicatiekanalen van het ziekenhuis of de huisartsenpost voor actuele instructies.
Voor zorgaanbieders geldt: schakel snel over op noodprocedures en documenteer handelingen voor later herstel in het EPD. Isoleer getroffen systemen, houd logs veilig en deel indicatoren van compromise met Z-CERT. Test daarna stapsgewijs of primaire functies weer veilig online kunnen.
Op langere termijn helpt het om afhankelijkheden te verkleinen en weerbaarheid te vergroten. Denk aan netwerksegmentatie, geo-redundante back-ups, gescheiden communicatiekanalen en periodieke hersteltests. Leg in contracten met leveranciers eisen vast over penetratietesten, software-stuklijsten (SBOM) en maximale hersteltijden.
Ketenrisico vraagt regie
De zorg is sterk verweven met digitale leveranciers, van EPD tot beeldvorming en lab. Eén storing kan daardoor veel organisaties tegelijk raken. Dit vraagt om gezamenlijke afspraken over standaarden, updates en crisisoefeningen.
Regionale zorgnetwerken kunnen samen scenario’s oefenen en procedures gelijk trekken. Zo weten teams bij uitval direct wie beslist, waar data staan en hoe papieren noodroutes lopen. Heldere rollen verkorten de hersteltijd en beperken fouten.
Publieke inkoop kan veiligheid zwaarder laten wegen, naast functionaliteit en prijs. Transparantie over kwetsbaarheden en snelle patching horen daar bij. Dat versterkt het hele ecosysteem en verkleint de kans dat één aanval de zorg breed lamlegt.
