Print 🖨 PDF 📄 eBook 📱

ChipSoft

Vertelt gegijzelde Chipsoft hele waarheid over persoonsgegevens?

Op 7 april 2026 verscheen in nieuwsmedia in de avond het bericht dat hackers de zorgICT-leverancier ChipSoft met ransomware gegijzeld hebben. Die is met haar  ziekenhuisinformatiesysteem(ZIS) een zeer dominante markleider bij Nederlandse ziekenhuizen. 70% gebruikt ChipSoft. Daarnaast heeft het bedrijf ook een huisartsinformatiesysteem, HIX genaamd, en verzorgt clouddiensten voor huisartsen. Het bedrijf verschaft zeer terughoudend informatie over de hack. De NOS meldt dat Chipsoft aangeeft dat er sprake is van een “data-incident” waarbij “mogelijke ongeautoriseerde toegang” is geweest. Of het om ransomware gaat, zegt ChipSoft niet. Het  expertisecentrum van de overheid voor digitale beveiliging in de zorg, Z-CERT, laat duidelijker weten wat er speelt. Z-CERT meldt specifieker in een vertrouwelijk bericht aan zorginstellingen, dat ChipSoft getroffen is door een hack met gijzelsoftware. In de berichtgeving van de NOS staat vermeld dat ChipSoft zegt niet te kunnen uitsluiten dat persoonsgegevens zijn ingezien of gestolen. Vertelt Chipsoft daarmee wel de hele waarheid?

Persoonsgegevens versus bijzondere persoonsgegevens

Er bestaat een duidelijk verschil tussen persoonsgegevens en bijzondere persoonsgegevens. Persoonsgegevens omvatten meer dan alleen namen. Voorbeelden zijn: directe gegevens zoals naam, adres, woonplaats(NAW), telefoonnummer, Burgerservicenummer (BSN). Ook zijn er indirecte gegevens zoals: IP-adres, locatiegegevens, bankrekeningnummer. Bijzondere persoonsgegevens die extra bescherming verdienen zijn gegevens over ras, gezondheid, geloofsovertuiging, politieke voorkeur of biometrische gegevens. Medische gegevens van patiënten vallen dus onder de categorie bijzondere persoonsgegevens.

Hele waarheid?

Strikt genomen liegt ChipSoft niet als het zegt dat er gegevens van personen eventueel gestolen zijn. Men zou denken dat het alleen gaat om de hierboven genoemde directe en indirecte persoonsgegevens. Het is echter heel wel mogelijk dat ChipSoft, maar een deel van de waarheid vertelt en verhult dat er sprake is van diefstal en gijzeling van patiëntgegevens. Het bedrijf zou dan kunnen hopen dat het gefaseerd naar buiten brengen van de schade de ophef erover mitigeert. Persoonlijk acht ik het onwaarschijnlijk dat de hackers alleen gijzelsoftware gebruikten. Bijna altijd combineren hackers gijzelsoftware met diefstal van grote hoeveelheden data om hun blokkade een grotere hefboomwerking te geen,

De ervaring leert dat bedrijven die vanaf het begin duidelijk en open communiceren over datadiefstal er publicitair en zakelijk beter vanaf komen dan bedrijven die mondjesmaat de ernst van de hack toegeven.

Cascade  

Na het bekend worden van de hack vond en vindt een cascade van gebeurtenissen plaats. Vanuit het bedrijf ChipSoft zijn er continue dataverbindingen met aangesloten ziekenhuizen, maar ook met huisartsen en huisartsenposten. Z-CERT adviseerde al aan alle ChipSoft gebruikende ziekenhuizen om hun VPN-verbinding met het bedrijf ogenblikkelijk te stoppen.

Meer dan alleen ChipSoft gebruikers(1)

ChipSoft gebruikende ziekenhuizen sloten dus direct hun dataverbinding met het bedrijf. Inmiddels zie ik ook berichten dat ook niet ChipSoft-gebruikende ziekenhuis- en huisartsinformatiesystemen hun koppeling met het bedrijf afsluiten. Het Onze Lieve Vrouwe Gasthuis in Amsterdam(OLVG), dat EPIC als ZIS gebruikt, dat ze een dataverbinding met ChipSoft stopten.

“OLVG wisselt soms medische gegevens uit met ziekenhuizen die ChipSoft gebruiken. Dit doen wij alleen met uw toestemming en om uw behandeling goed te laten verlopen. Uit voorzorg hebben wij deze uitwisseling tijdelijk stopgezet. Zo beschermen wij uw gegevens.”

Meer dan alleen ChipSoft gebruikers(2)

Vandaag vernam ik dat ook het bedrijf PharmaPartners, het bedrijf achter het huisarts-informatiesysteem Medicom, dat op het oog geen connectie heeft met ChipSoft een bestaande koppeling met dat bedrijf stopzet:

“Uit voorzorg, en op advies van Z-CERT, hebben wij direct besloten om alle technische koppelingen en verbindingen met systemen van ChipSoft tijdelijk uit te schakelen. Deze voorzorgsmaatregel kan mogelijk invloed hebben op specifieke functionaliteiten waarbij een koppeling met ChipSoft wordt gebruikt. De maatregel is genomen om eventuele risico’s voor onze systemen en gegevens volledig uit te sluiten.”

Het zal de zelfde reden hebben als bij het OLVG. Namelijk dat communicatie met zorginstellingen die software van ChipSoft gebruiken niet rechtstreeks gaat maar via het bedrijf.

APT

Bij gijzelsoftware gaat het bijna altijd niet om een eenmalige daad, maar vormt dat het sluitstuk van een langdurige, soms maandenlange, infiltratie in het systeem: een Advanced Persistent Threat. De indringer(s) nestelen zich m.b.v. onder andere phishing in een systeem en verkennen gedurende langere tijd de opbouw en de werking van systemen. En gaan dan vervolgens command-and-control-software gebruiken. Om daarmee data buit te maken en als sluitstuk de zaak te gijzelen.

Veel groter

Het zou mij persoonlijk niet verbazen als deze hack veel grotere consequenties heeft dan nu bekend is. De dataverbindingen met het bedrijf zijn op aandrang van Z-CERT afgekapt, maar volmaakt zeker dat de nu afgekoppelde ziekenhuis- en huisartsinformatiesystemen niet gecompromitteerd zijn kan niemand nu zijn.

W.J. Jongejan, 8 april 2026

Afbeelding van Gerd Altmann via Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.