Het Nederlandse zorg-ICT-bedrijf ChipSoft is begonnen met het gefaseerd herstarten van systemen na een ransomware‑aanval. De leverancier ondersteunt veel ziekenhuizen met zijn EPD‑platform HiX. Het herstel moet de dienstverlening stabiliseren en de continuïteit van zorg waarborgen. De stap laat zien hoe kwetsbaar digitalisering in de zorg is en raakt aan de Europese digitalisering gevolgen bedrijfsleven.
Systemen starten gefaseerd op
ChipSoft kiest voor een gecontroleerde herstart, waarbij functies stap voor stap online komen. Zo kan het bedrijf eerst kritieke onderdelen testen, zoals dossierinzage en berichtenverkeer tussen afdelingen. Deze aanpak moet voorkomen dat fouten of verborgen malware opnieuw voor uitval zorgen. Het bedrijf geeft op het moment van schrijven geen volledige technische details vrij.
Bij een gefaseerde opstart horen validaties van back‑ups en logbestanden. Back‑ups zijn kopieën van data die los van het netwerk worden bewaard, zodat herstel mogelijk is zonder losgeld te betalen. Ook worden koppelingen met systemen van ziekenhuizen voorzichtig hersteld om extra risico’s te vermijden. Tijdelijke verstoringen voor gebruikers zijn daardoor waarschijnlijk, maar wel beheersbaar.
Voor ziekenhuizen is stabiliteit belangrijker dan snelheid. Een te snelle herstart kan nieuwe incidenten veroorzaken, bijvoorbeeld door nog niet opgespoorde achterdeurtjes. Forensisch onderzoek en monitoring helpen om dit te voorkomen, maar kosten tijd. Ziekenhuizen en ChipSoft stemmen daarom doorgaans de volgorde van activeren af op zorgprioriteit.
Effect op zorg en leveranciersketen
Veel Nederlandse ziekenhuizen draaien hun elektronisch patiëntendossier (EPD) op ChipSoft HiX. Bij storingen vallen zij terug op noodprocedures, zoals papieren registratie en telefonische overdracht. Dat is veilig maar arbeidsintensief en kan wachttijden verlengen. Een snelle maar verantwoorde herstart beperkt deze impact.
De zorg is sterk afhankelijk van ketens: lab, apotheek, radiologie en regionale uitwisseling werken via standaarden en koppelingen. Als één schakel uitvalt, raakt dat de hele keten. Daarom ondersteunen sectorpartijen zoals Z‑CERT ziekenhuizen met advies en dreigingsinformatie. Ook houdt de Inspectie Gezondheidszorg en Jeugd zicht op risico’s voor patiëntveiligheid.
Ransomware is gijzelsoftware: criminelen versleutelen bestanden en eisen losgeld voor herstel of dreigen met publicatie van gestolen data.
Dubbele afpersing, waarbij data eerst wordt gekopieerd en daarna versleuteld, komt steeds vaker voor. Dit vergroot het risico op privacy‑schade, ook als systemen operationeel blijven. Leveranciers en zorginstellingen moeten daarom niet alleen beschikbaarheid, maar ook vertrouwelijkheid en integriteit van data borgen. Contractuele afspraken over incidentrespons en hersteltermijnen worden in deze context belangrijker.
AVG en meldplichten in zorg
Bij een ransomware‑incident kan sprake zijn van een datalek onder de AVG. Organisaties moeten ernstige datalekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het lek een hoog risico voor betrokkenen oplevert, moeten patiënten bovendien rechtstreeks worden geïnformeerd. Welke meldingen precies nodig zijn, hangt af van de forensische bevindingen.
Versleuteling en segmentatie beperken de schade. Versleuteling is het onleesbaar maken van data voor onbevoegden, ook als bestanden worden gestolen. Segmentatie verdeelt het netwerk in zones, zodat aanvallers niet overal bij kunnen. Beide maatregelen zijn kernonderdelen van NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg.
Zorginstellingen doen er goed aan hun verwerkersovereenkomsten met ICT‑leveranciers te actualiseren. Daarin horen afspraken te staan over back‑ups, hersteldoelen (RTO/RPO), logging, penetratietests en auditrechten. Ook duidelijke procedures voor gezamenlijke incidentmelding en communicatie helpen om verwarring te voorkomen. Transparantie richting patiënten en professionals blijft essentieel om vertrouwen te behouden.
NIS2 scherpt eisen aan
De Europese NIS2‑richtlijn legt zwaardere beveiligings- en meldplichten op aan essentiële en belangrijke entiteiten, waaronder ziekenhuizen en veel ICT‑dienstverleners. In Nederland is dit verankerd in aangepaste wetgeving voor netwerk- en informatiesystemen. NIS2 vraagt onder meer om risicobeheer van de toeleveringsketen, meerlaagse beveiliging en snel incidentrapporteren aan het nationale CSIRT. Dit raakt direct aan hoe zorg‑ICT wordt ingekocht, beheerd en gecontroleerd.
Voor bestuurders betekent NIS2 ook persoonlijke verantwoordelijkheid voor cyberbeveiliging. Opleiding, periodieke oefeningen en aantoonbare maatregelen zijn geen bijzaak meer. Audits en rapportages krijgen een vast ritme, met nadruk op continu verbeteren. Zo wordt cyberweerbaarheid onderdeel van reguliere bedrijfsvoering, niet alleen van IT.
De praktijk vraagt om concrete stappen. Denk aan offline, getest herstel van back‑ups, streng beheer van beheerdersrechten en multifactor‑authenticatie op alle kritieke systemen. Ook een actuele software‑inventaris (SBOM) helpt om snel te zien welke componenten risico lopen. Zulke basismaatregelen verkleinen de kans dat één aanval de hele zorgketen raakt.
De herstart bij ChipSoft laat zien dat zorgdigitalisering sterk leunt op professionele incidentrespons. Heldere communicatie, aantoonbare beveiliging en samenwerking in de keten maken het verschil tussen dagen en weken herstel. Met AVG en NIS2 als kader ontstaat meer druk én meer richting voor verbetering. Dat is nodig om patiëntenzorg veilig en beschikbaar te houden in een digitale omgeving.