Zwijgbepalingen in contracten helpen klein houden van ChipSoft-hack

De ransomware-hack bij het zorgICT-bedrijf ChipSoft kwam op 7 april 2026 boven water. Vanaf dat moment communiceert het bedrijf er wel over, maar nogal beperkt. Zo maakte ChipSoft bijvoorbeeld nog steeds niet duidelijk van hoeveel patiënten de hackers zorggegevens buitgemaakt hebben en om welke gegevens dat gaat. Bij de cyberaanval zijn bij meerdere zorginstellingen gegevens gestolen/systemen uit voorzorg platgelegd. Hoewel ChipSoft aanvankelijk meldde dat er geen patiëntgegevens waren buitgemaakt, bleek later dat er wel degelijk medische gegevens zijn gestolen bij een aantal organisaties. ChipSoft gaf op 16 april 2026 aan dat men eerst forensisch onderzoek naar oorzaak, omvang en de bron van het incident wil doen. Tot nu toe, een maand later, heeft ChipSoft geen duidelijke informatie verschaft over de aantallen gestolen/gecompromitteerde dossiers en welke data de hackers stalen. In de contracten van leveranciers van grote ziekenhuisinformatiesystemen(ZIS-sen) staan zwijg– en hold-harmless-bepalingen die openheid over dit soort cyberincidenten ernstig belemmeren.

Gag(zwijg)-bepalingen

In de contracten van ZIS-leveranciers staan zwijg-bepalingen. Daarbij is vaak vastgelegd dat medewerkers van een zorginstelling niet eigenstandig over het functioneren van ZIS-sen naar buiten mogen treden. En dat alle communicatie over eventuele problemen/missers uitsluitend via de directie richting zorgICT-leverancier verloopt. Waarbij die laatste bepaalt wat men aan derden communiceert.

De hold-harmless-bepalingen houden in dat de ZIS-leverancier juridisch alleen te maken wil hebben met de leiding van de instelling en de aansprakelijkheid/verantwoordelijkheid richting de patiënten uitsluit. De patiënt staat hiermee juridisch buitenspel. De vraag is of we dat in Nederland moeten tolereren.

Consequenties

De consequenties in het kader van deze hack zijn dat de zorginstelling zit met gestolen/gecompromitteerde dossiers. ChipSoft schrijft op 16 april wel dat indien u patiënt bent bij een van de getroffen zorginstellingen, de communicatie over dit incident vanuit de zorginstelling verloopt.  Maar juridisch is de zorginstelling door het afgesloten contract helemaal niet vrij om zomaar alles te openbaren. ChipSoft bepaalt via dat contract wat/wanneer en hoeveel naar buiten komt.

Vermoedelijk 218.000 dossiers

Op het internet staat- niet van ChipSoft zelf, maar geschreven door Gijs Loeffen, een overzicht van gecompromitteerde instellingen en de omvang. Gijs Loeffen is Chief Information Security Officer bij Castor (een Nederlands platform voor het verzamelen, standaardiseren en delen van klinische onderzoeksdata).  Dat overzicht toont de impact van de ransomware-aanval op ChipSoft. Hij concludeert dat meer dan vijftien medische instellingen zijn geraakt door de hack. Dat zijn voornamelijk huisartsenpraktijken, drie revalidatiecentra en een centrum voor klinische forensische psychiatrie. Bij dat laatste instituut zijn gegevens van 6.000 patiënten gestolen, waaronder ook TBS-patiënten. Volgens de berekening van Roeffen zijn in totaal de gegevens van circa 218.000 mensen in gevaar. Hij noemt dit zelf een voorzichtige, maar realistische schatting.

Klein houden(1)

Aan alles tot nu toe kan men zien dat ChipSoft de forse hack met flinke gevolgen klein probeert te houden. De berichtgeving is telkens summier en wordt vaak na enige dagen ingehaald door de werkelijkheid. Zo liet ChipSoft op 7 april 2026 tegenover de NOS weten niet te kunnen uitsluiten dat persoonsgegevens ingezien/gestolen waren. Waarna men op 16 april moest toegeven dat niet alleen persoonsgegevens maar de hackers ook medische gegevens(bijzondere persoonsgegevens) ontvreemd hadden. Waarna Gijs Loeffen de werkelijke omvang laat zien van aangedane instellingen en gecompromitteerde dossier. De “heat map” die Loeffen publiceerde had van ChipSoft zelf moeten komen.

Klein houden(2)

Onderdeel van de pogingen om de zaak klein te houden is ook het overduidelijk niet te controleren bericht van ChipSoft op 28 april dat de hackers de gestolen data vernietigd hebben en dat de cybersecurity-experts van ChipSoft bevestigd hebben dat de vernietiging op de juiste wijze heeft plaatsgevonden. In een Radio 1 uitzending twijfelt een cyberscurity-expert daar dan ook terecht aan.

Overwaaiende storm

Het lijkt erop dat ChipSoft erop gokt dat ze door de berichtgeving beperkt te houden de storm die de hack veroorzaakte kunnen uitzitten. Nieuwsmoeheid en mogelijk een nieuwe grote hack elders kunnen de ChipSoft-hack doen vergeten. Hoewel ChipSoft stelt dat berichtgeving over gestolen data van de getroffen zorginstellingen verloopt kan ChipSoft door de zwijgbepalingen in contracten die berichtgeving onder de oppervlak sturen, zelfs verhinderen.

ChipSoft is nooit erg happig op openheid geweest. In 2023 probeerde ChipSoft een rapport van de Autoriteit Consument en Markt, met daarin met daarin kritiek op de werkwijze, via de rechter tegen te houden – zonder succes.

W.J. Jongejan, 11 mei 2026

Afbeelding van Piyapong Saydaung via Pixabay aangepast door WJJ