Het Nederlandse softwarebedrijf ChipSoft is getroffen door een cyberaanval die zorgprocessen verstoort. Het incident raakt zorginstellingen die het elektronisch patiëntendossier HiX gebruiken, vooral in Nederland. Delen van systemen zijn uit voorzorg afgesloten terwijl onderzoek loopt. De aanval onderstreept hoe Europese digitalisering en de gevolgen voor het bedrijfsleven en de zorg samenkomen in de praktijk.
Zorgprocessen onder druk
Ziekenhuizen en huisartsen melden hinder bij het inzien en bijwerken van patiëntgegevens. Afspraken plannen, labuitslagen delen en medicatievoorschriften verwerken kosten meer tijd. Teams schakelen waar nodig over op papieren noodprocedures en telefonische afstemming.
De impact verschilt per instelling, omdat niet iedereen dezelfde modules of hosting gebruikt. Sommige organisaties draaien HiX in hun eigen datacentrum, anderen gebruiken diensten van ChipSoft of een partner. Daardoor zijn de verstoringen niet overal gelijk.
Acute zorg blijft doorgaans doorgaan met extra veiligheidsstappen, zoals dubbele controles. Niet-spoedeisende zorg kan worden uitgesteld om risico’s te beperken. Instellingen prioriteren continuïteit en patiëntveiligheid bij elke keuze.
Wat ChipSoft en HiX doen
ChipSoft levert het zorginformatiesysteem HiX, een elektronisch patiëntendossier (EPD) waarin medische gegevens veilig worden vastgelegd en gedeeld. Het systeem ondersteunt onder meer poli-registratie, medicatie, radiologie en facturatie. Hierdoor is het een kernonderdeel van de digitale zorgketen.
Omdat HiX veel koppelingen heeft, raakt een storing meerdere werkprocessen tegelijk. Denk aan uitwisseling met laboratoria, apotheken en regionale samenwerkingsplatformen. Ketenafhankelijkheid maakt herstel complexer en vraagt om strakke coördinatie.
Technisch zijn er zowel lokale installaties als centrale diensten in gebruik. Netwerksegmentatie en gescheiden omgevingen bepalen mede hoe ver een aanval kan reiken. Dat verklaart waarom de ene locatie meer hinder ervaart dan de andere.
Status onderzoek en datarisico
Forensische specialisten onderzoeken de oorzaak en omvang van het incident. Op het moment van schrijven is niet publiekelijk bevestigd welke toegang is misbruikt of welke systemen precies zijn geraakt. Ook is er nog geen definitieve conclusie over mogelijke datadiefstal.
De AVG verplicht organisaties om datalekken snel te beoordelen en, als er risico is voor betrokkenen, te melden bij de Autoriteit Persoonsgegevens en de getroffen personen. Zorgpartijen moeten tevens vastleggen welke gegevens zijn geraakt en welke maatregelen zijn genomen. Transparantie helpt vertrouwen en herstel.
Binnen de AVG geldt: meld een datalek binnen 72 uur na ontdekking bij de toezichthouder, met beschrijving van aard, impact en tegenmaatregelen.
Naast de AVG gelden zorgspecifieke normen zoals NEN 7510 voor informatiebeveiliging. Deze eisen sturen op toegangsbeheer, logging en encryptie om medische data te beschermen. Een incidenttoets bekijkt of deze waarborgen in de praktijk hebben gewerkt.
NIS2 scherpt zorgplichten aan
De Europese NIS2-richtlijn vergroot de beveiligings- en meldplichten voor essentiële en belangrijke entiteiten. Zorginstellingen en vitale toeleveranciers, zoals aanbieders van kritieke IT-diensten, vallen hieronder. In Nederland wordt dit geborgd via nationale wetgeving en toezicht, op het moment van schrijven in uitrol.
NIS2 vraagt om aantoonbaar risicobeheer, incidentrapportage en bestuurdersaansprakelijkheid. Dat betekent concreet: multi-factor-authenticatie, netwerksegmentatie, patchbeleid en oefening van noodprocedures. Ook leveranciersmanagement en contractafspraken over respons en herstel worden strenger.
Sectorale steunpunten zoals Z-CERT ondersteunen zorgorganisaties met dreigingsinformatie en coördinatie. Nationale instanties zoals het NCSC delen technische indicatoren en handelingsperspectief. Zo wordt de respons op ketenincidenten sneller en consistenter.
Continuïteit en herstelmaatregelen
Bij een cyberaanval tellen segmentatie, back-ups en getest herstel. Offline en onveranderbare back-ups (immutabel) beperken blijvende schade en versnellen terugkeer naar de normale situatie. Regelmatige hersteltests voorkomen verrassingen op het moment suprême.
Instellingen gebruiken vaak een trapsgewijze herstart: eerst kernfuncties, dan koppelingen en ten slotte minder kritieke modules. Elke stap wordt gecontroleerd op integriteit en prestaties. Dat verkleint de kans op herbesmetting of datacorruptie.
Heldere communicatie met zorgprofessionals en patiënten is essentieel. Denk aan tijdelijke procedures voor recepten, verwijsbrieven en toegang tot uitslagen. Duidelijkheid voorkomt fouten en onnodige vertraging.
Gevolgen voor beleid en praktijk
Het incident maakt duidelijk dat digitale weerbaarheid net zo belangrijk is als capaciteit of personeel. Besturen moeten investeren in detectie, segmentatie en respons, inclusief training en oefeningen. Dit past in de bredere Europese digitalisering met gevolgen voor het bedrijfsleven en de zorg.
De Nederlandse Wegiz, die veilige gegevensuitwisseling in de zorg verplicht stelt, vergroot de noodzaak van robuuste beveiliging. Standaarden en interoperabiliteit werken alleen goed als de onderliggende infrastructuur weerbaar is. Anders verspreiden storingen sneller door de keten.
Voor patiënten is het advies nuchter: houd contact met uw zorgverlener, neem actuele medicatielijsten mee en vraag om bevestiging bij wijzigingen. Voor organisaties is het moment nu om leveranciersrisico’s opnieuw te toetsen. Heldere afspraken over respons- en herstelverplichtingen verkleinen de impact van een volgend incident.