Deutsch
English
Español
Français
Nederlands
Português
Wat gebeurde er bij het datalek bij ChipSoft?
De Nederlandse leverancier van zorgsoftware ChipSoft heeft bevestigd dat patiëntgegevens die tijdens een ransomware-aanval begin deze maand zijn gestolen, zijn vernietigd en nooit online zijn gepubliceerd. Het bedrijf, dat elektronische patiëntendossiers levert aan ziekenhuizen, revalidatiecentra en huisartsen in Nederland, gaf een verklaring op zijn website over de afwikkeling van het incident.
De ransomware-aanval op ChipSoft, die begin april 2026 aan het licht kwam, betrof diefstal van gevoelige medische gegevens van meerdere zorginstellingen. Tot de getroffen organisaties behoorden revalidatiecentra en huisartsenpraktijken die gebruikmaken van ChipSofts HiX 365-cloudplatform. Het datalek zorgde voor brede bezorgdheid over de privacy van patiënten en de beveiliging van gedigitaliseerde zorggegevens.
Hoe werden de gestolen patiëntgegevens vernietigd?
Volgens de officiële verklaring van ChipSoft hebben cybersecurity-experts bevestigd dat de gestolen gegevens op technisch correcte wijze zijn vernietigd. 'Onze cybersecurity-experts hebben bevestigd dat deze vernietiging op technisch correcte wijze heeft plaatsgevonden', schreef het bedrijf. De gegevens zijn niet op het darkweb verschenen of ergens gepubliceerd, waardoor de angst dat medische geschiedenissen van patiënten konden worden misbruikt, is weggenomen.
ChipSoft maakte niet bekend of er losgeld is betaald aan de hackers. Het bedrijf benadrukte dat bescherming van klantgegevens de hoogste prioriteit blijft en dat het herstelproces voorspoedig verloopt, hoewel het zorgvuldigheid vereist. Het landschap van cybersecurity in de gezondheidszorg blijft voor grote uitdagingen staan, aangezien ransomwaregroepen steeds vaker gevoelige patiëntinformatie targeten.
Wat was de omvang van de ransomware-aanval op ChipSoft?
De hack richtte zich op ChipSofts cloudgebaseerde HiX 365-platform, dat door talrijke zorgverleners in Nederland wordt gebruikt. De criminele groep achter de aanval, geïdentificeerd als Embargo, beweerde aanvankelijk 100 GB aan gegevens te hebben gestolen en plaatste aftelklokken op het darkweb met dreigementen de informatie vrij te geven. Die dreigementen werden vervolgens verwijderd.
De Nederlandse Autoriteit Persoonsgegevens ontving 66 meldingen van datalekken die verband hielden met het incident. De Nederlandse Patiëntenfederatie bekritiseerde het gebrek aan tijdige informatie voor getroffen patiënten over hun gevoelige medische gegevens. ChipSoft-CEO Hans Mulder erkende de diefstal en stelde dat het bedrijf getroffen klanten ondersteunt bij het herstelproces.
Tijdlijn van het datalek bij ChipSoft
- Begin april 2026: Ransomware-aanval gedetecteerd op ChipSofts HiX 365-platform
- Half april 2026: ChipSoft bevestigt diefstal van patiëntgegevens, in tegenspraak met eerdere verzekeringen
- Eind april 2026: Embargo-groep plaatst dreigement met claim van 100 GB gegevens en aftelklokken
- Eind april 2026: Dreigementen verwijderd; ChipSoft kondigt vernietiging van gegevens aan
Waarom is dit datalek belangrijk voor de beveiliging van zorggegevens?
Het incident bij ChipSoft onderstreept de groeiende kwetsbaarheid van zorg-IT-systemen voor ransomware-aanvallen. Medische gegevens zijn bijzonder waardevol voor cybercriminelen omdat ze zeer gevoelige persoonlijke informatie bevatten die kan worden gebruikt voor identiteitsdiefstal, verzekeringsfraude of afpersing. In tegenstelling tot financiële gegevens kunnen medische dossiers niet eenvoudig worden gewijzigd, waardoor ze een permanent risico vormen voor getroffen patiënten.
Dit datalek benadrukt ook de cruciale rol van regelgeving voor gegevensbescherming in de gezondheidszorg in Nederland en de Europese Unie. Onder de Algemene Verordening Gegevensbescherming (AVG) riskeren zorgorganisaties en hun softwareleveranciers aanzienlijke boetes als zij persoonsgegevens niet goed beschermen. De Autoriteit Persoonsgegevens zal naar verwachting een grondig onderzoek doen.
Experts raden zorgverleners aan robuuste cyberbeveiligingsmaatregelen te implementeren, waaronder regelmatige beveiligingsaudits, training van medewerkers over phishingbewustzijn, multi-factorauthenticatie en versleutelde back-ups. Het Nederlands kader voor cybersecurity in de gezondheidszorg wordt na dit incident herzien.
Wat moeten getroffen patiënten doen na de ChipSoft-hack?
Patiënten van wie gegevens mogelijk zijn gecompromitteerd, moeten alert blijven op ongebruikelijke activiteiten, zoals ongevraagde medische rekeningen of verdachte communicatie die beweert hun gezondheidsinformatie te hebben. Zorgverleners die door het datalek zijn getroffen, zullen naar verwachting contact opnemen met patiënten met instructies. De Nederlandse Patiëntenfederatie heeft opgeroepen tot duidelijkere communicatie van zowel ChipSoft als de zorginstellingen.
Veelgestelde vragen (FAQ)
Wat is ChipSoft?
ChipSoft is een Nederlandse softwareontwikkelaar van elektronische patiëntendossiers (EPD) voor ziekenhuizen, revalidatiecentra en huisartsen. Het HiX-platform wordt veel gebruikt in Nederland voor het beheer van patiëntgegevens.
Zijn patiëntgegevens gepubliceerd na de hack?
Nee. ChipSoft heeft bevestigd dat de gestolen patiëntgegevens zijn vernietigd en nooit online zijn gepubliceerd. Cybersecurity-experts hebben de vernietiging geverifieerd.
Heeft ChipSoft losgeld betaald?
ChipSoft heeft niet bekendgemaakt of er losgeld is betaald. De verklaring van het bedrijf ging niet in op deze vraag.
Welke zorginstellingen waren getroffen?
Getroffen instellingen zijn onder meer revalidatiecentra, huisartsenpraktijken en het Oogziekenhuis Rotterdam. De volledige lijst van getroffen organisaties is niet gepubliceerd.
Hoe kunnen patiënten zich beschermen na dit datalek?
Patiënten moeten verdachte activiteiten monitoren, contact opnemen met hun zorgverlener voor informatie en ongebruikelijke medische facturering of communicatie melden bij de autoriteiten.
Follow Discussion