ChipSoft, maker van het elektronisch patiƫntendossier HiX, is deze week getroffen door gijzelsoftware. Het Nederlandse bedrijf levert cruciale software aan veel ziekenhuizen in Nederland en Belgiƫ. Het incident vond plaats op bedrijfs-IT en lijkt gericht op afpersing, zoals bij ransomware gebruikelijk is. De Europese AI-verordening gevolgen overheid en zorg spelen mee, omdat strengere beveiliging en toezicht verplicht worden voor digitale zorgsystemen.
Aanval treft ChipSoft
ChipSoft bevestigde dat het is geraakt door een aanval met ransomware. Het bedrijf nam noodmaatregelen, zoals het tijdelijk uitschakelen van onderdelen en het opstarten van forensisch onderzoek. Er is op het moment van schrijven geen publiek bekende dadergroep genoemd. Ook is nog onduidelijk of data van klanten is buitgemaakt.
ChipSoft ontwikkelt HiX, een elektronisch patiƫntendossier (EPD). Ziekenhuizen gebruiken HiX voor afspraken, medicatie, laboratoriumuitslagen en facturatie. Daardoor raakt een storing of aanval snel bedrijfsprocessen in de zorgketen. De afhankelijkheid van ƩƩn leverancier vergroot het risico op keteneffecten.
Het is niet bekend hoe de aanvallers binnenkwamen. Vaak gaat dit via phishing, gestolen wachtwoorden of misbruik van een kwetsbaarheid. Dubbele afpersing komt veel voor: gegevens stelen Ć©n versleutelen. Bedrijven krijgen dan druk om te betalen om publicatie te voorkomen.
Impact op zorg onduidelijk
Op het moment van schrijven is niet duidelijk of patiƫntenzorg is verstoord. Ziekenhuizen hebben uitwijkplannen, zoals werken op papier en beperkte spreekuren. Zulke noodprocedures houden zorg veilig, maar kosten tijd en capaciteit. Achterstanden in administratie en declaraties kunnen later ontstaan.
Veel ziekenhuizen draaien HiX in hun eigen datacentrum of een zorgcloud. Daardoor kan de impact per instelling verschillen. Een incident bij de leverancier raakt echter snel updates, support en integraties. Leveranciersstop kan ook betekenen dat nieuwe functies of koppelingen vertragen.
Ook ketenpartners kunnen hinder ondervinden. Denk aan laboratoria, apotheken en regionale uitwisselingssystemen. Als berichtenverkeer stokt, stapelt de werkdruk zich op. Daarom is snelle, gecoƶrdineerde communicatie in de keten cruciaal.
AVG verplicht snelle melding
Als er kans is op risico voor personen, eist de Algemene verordening gegevensbescherming (AVG) een datalekmelding. De verantwoordelijke partij moet binnen 72 uur de Autoriteit Persoonsgegevens informeren. Bij hoog risico moeten ook betrokken patiƫnten bericht krijgen. In de zorg is transparantie belangrijk voor vertrouwen en nazorg.
In contracten is ChipSoft vaak verwerker en het ziekenhuis verwerkingsverantwoordelijke. Dan melden ziekenhuizen aan de toezichthouder, met informatie van de leverancier. Heldere verwerkersafspraken en incidentprotocollen versnellen dit proces. Dat vraagt actuele contactpunten en ingestudeerde procedures.
Ransomware is gijzelsoftware die bestanden versleutelt en soms ook kopieert. Aanvallers eisen losgeld om data te ontsleutelen of niet te lekken. Betalen biedt geen garantie en kan strafbaar gedrag aanmoedigen.
Dataminimalisatie en versleuteling verlagen het risico op ernstige schade. Sterke back-ups en netwerksegmentatie beperken uitval en herstelduur. Loggen en monitoring helpen om exfiltratie aan te tonen of uit te sluiten. Dit is nodig voor een goede risicobeoordeling bij de datalekmelding.
NIS2 verhoogt zorg-eisen
De Europese NIS2-richtlijn verplicht zwaardere cybermaatregelen voor zorginstellingen en belangrijke toeleveranciers. Denk aan risicobeheer, snelle incidentmelding en streng toezicht. In Nederland wordt dit via aangepaste wet- en regelgeving ingevoerd, op het moment van schrijven in uitwerking. Boetes en bestuurdersaansprakelijkheid worden zwaarder als eisen niet worden nageleefd.
Z-CERT ondersteunt de zorgsector bij dreigingsinformatie en incidentrespons. Het Nationaal Cyber Security Centrum (NCSC) coƶrdineert nationaal, met sectorale teams zoals Z-CERT. Vroegtijdige melding binnen 24 uur is onder NIS2 de norm. Dat helpt om dreigingen sneller te delen en vervolgschade te beperken.
Inkoop krijgt hiermee extra gewicht. Ziekenhuizen moeten aantonen dat leveranciers voldoen aan normen als NEN 7510. Contracten vereisen testbare beveiliging, updatebeleid en exit-scenarioās. Ook moet ketenrisico structureel worden beoordeeld en geaudit.
Europese AI-verordening gevolgen overheid en zorg
Als zorgsoftware AI-functies bevat, valt die onder de Europese AI-verordening (AI Act). Beslisondersteuning in de zorg is meestal āhoog risicoā en moet aan strenge eisen voldoen. Dat omvat onder meer cybersecurity, logging en robuuste data. Overheden en ziekenhuizen moeten hier bij inkoop en gebruik op toetsen.
De AI Act vraagt om duidelijke rollen: ontwikkelaar, importeur en professionele gebruiker. Voor ziekenhuizen betekent dit toezicht op prestaties en incidenten in de praktijk. Fabrikanten als ChipSoft moeten technische documentatie en risicobeheersing leveren. Zo groeit de samenhang tussen AI-compliance en informatiebeveiliging.
Voor de overheid betekent dit dat inkoopvoorwaarden en toetsingskaders worden aangescherpt. Denk aan conformiteitsbeoordelingen naast de AVG en NIS2-eisen. Audittrail en modeltransparantie worden onderdeel van acceptatie. Dit verkleint juridische en operationele risicoās in publieke dienstverlening.
Herstel en lessen voor de sector
Directe prioriteit is herstel: systemen veilig isoleren, oorzaak vinden en diensten gecontroleerd opstarten. Back-ups testen en terugzetten moet zonder besmetting gebeuren. Daarna volgt het dossiervorming voor toezichthouders en mogelijke aangiftes. Heldere communicatie met ziekenhuizen en patiƫnten is essentieel.
Voor de langere termijn zijn basismaatregelen cruciaal. Patchbeleid, multifactor-authenticatie en least privilege verkleinen de kans op inbraak. Netwerksegmentatie en applicatierechten beperken laterale beweging van aanvallers. Regelmatige oefeningen maken respons sneller en schoner.
Normen als NEN 7510, 7512 en 7513 geven praktische houvast voor zorg-IT. Leveranciers en ziekenhuizen kunnen samen testen met table-top scenarioās. Ook helpt het om updates en kwetsbaarheden transparant te publiceren. Zo wordt de keten weerbaarder tegen nieuwe ransomwaregolven.
