Zal RDI in staat blijken Chipsoft-hack adequaat te onderzoeken?

🔊 Na selectie van tekst start voorlezen vanzelf

RDI

Zal RDI in staat blijken Chipsoft-hack adequaat te onderzoeken?   

Vandaag, 15 juli 2026, maakten diverse media bekend dat de Rijksinspectie Digitale Infrastructuur(RDI) een onderzoek start naar de beveiligingsmaatregelen van ChipSoft. Zulks naar aanleiding van de ransomware-aanval die het bedrijf begin april trof. Toen verscheen in nieuwsmedia het bericht dat hackers de zorgICT-leverancier ChipSoft met ransomware gegijzeld hadden. Het bedrijf is met haar  ziekenhuisinformatiesysteem(ZIS) een zeer dominante markleider bij Nederlandse ziekenhuizen. 70% gebruikt ChipSoft. Daarnaast heeft het bedrijf ook een huisartsinformatiesysteem, HIX genaamd, en verzorgt clouddiensten voor huisartsen. Het bedrijf verschaft zeer terughoudend informatie over de hack. De hack leidden tot het afsluiten van zorginstellingen van belangrijke onderdelen van de ChipSoft software. Naar later bleek, maakten de hackers naast het activeren van ransomware ook dossiers van 218.000 Nederlanders buit. De RDI wil in kaart brengen wat er precies is gebeurd, onder welke omstandigheden de aanval kon plaatsvinden en welke lessen daaruit kunnen worden getrokken om de digitale weerbaarheid van Nederland verder te versterken.

Wat is de RDI?

De RDI begon in 1927 als de Radiocontroledienst (RCD) van de PTT. De organisatie werd opgericht om etherpiraterij tegen te gaan en radiozenders te controleren. Sindsdien is de organisatie geëvolueerd naar een moderne toezichthouder voor de gehele digitale infrastructuur. In de jaren 90 wordt de dienst verzelfstandigd binnen de overheid onder de naam Rijksdienst voor Radiocommunicatie (RDR). In 2002 verzelfstandigt de overheid de RDI nog verder en wordt de dienst Agentschap Telecom genoemd. Op 1 januari 2023 verandert het Agentschap Telecom andermaal haar naam in de huidige Rijksinspectie Digitale Infrastructuur (RDI). Dit gebeurde om beter aan te sluiten bij het bredere takenpakket, dat inmiddels ook toezicht omvat op cyberbeveiliging en de digitale snelweg. Tot voor heel kort had de DJI geen onderzoeken naar grote hacks op haar naam staan. Uitermate recent op 13 juli 2026 kondigde de DJI onderzoek te doen naar de ODIDO-hack.

Toezichtsgebied

Het werkgebied van de RDI is erg breed.

  • Telecommunicatiewet: Regelt het gebruik van het frequentiespectrum (bijvoorbeeld voor 5G, radio, lucht- en scheepvaart) en verplicht telecomaanbieders tot betrouwbare netwerken. Geeft ook etherfrequenties uit.
  • Wet beveiliging netwerk- en informatiesystemen (Wbni): Verplicht aanbieders van essentiële diensten en digitale dienstverleners om maatregelen te nemen tegen cyberdreigingen. Het onderzoek naar de ChipSoft-hack vindt plaats op basis van deze wet.
  • Wet weerbaarheid kritieke entiteiten (Wwke) & Cyberbeveiligingswet: Zorgt voor de bescherming van vitale sectoren (zoals energie en digitale infrastructuur) tegen verstoringen.
  • Energiewet: Handhaaft onder andere de verplichting rondom de plaatsing van energiemeters

Zo komt het voor dat de RDI naast onderzoek naar gebruik van etherfrequenties en de uitgifte daarvan ook onderzoek naar de vraag of mensen hun oude analoge energiemeters wel laten vervangen door moderne, op afstand uitleesbare, meters. De RDI controleert ook of netbeheerders zich houden aan de wettelijke verplichting om hun meters via steekproeven nauwkeurig te testen.

Wel voldoende kennis in huis?

Met een zo groot aandachtsgebied is het maar de vraag of de RDI voldoende kennis in huis heeft om diepgaand de hack bij ChipSoft te onderzoeken. Bedrijven die daar wel voor wel zijn toegerust zijn bijv. Fox-IT of Hunt and Hackett. Aangezien ChipSoft tot op heden heel weinig of beter gezegd vrijwel niets heeft losgelaten over de hack zal men qua cyberkennis en kennis van het zorgveld van goeden huize moeten komen om diepgaand onderzoek te verrichten. Als het gaat als bij onderzoeken van de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd dan zal zeker niet de onderste steen boven komen.

Inhuren expertise

De RDI zal er verstandig aan doen zich te realiseren waar haar lacunes zitten wat betreft specifieke kennis van zorg-hard-/software en cyberincidenten. En daarna op die specifieke gebieden adequate menskracht en kennis in te huren bij private bedrijven. Anders wordt het RDI-onderzoek het zoveelste dat wat algemeenheden debiteert en niet diepgravend onderzoek en dito-conclusies produceert

W.J. Jongejan, 16 juli 2026

Afbeelding van rgaymon via Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.