[Update, 14 april, 14.45uur, mededeling Chipsoft]
Het is inmiddels een week geleden dat Chipsoft getroffen werd door een ransomware-aanval. Heel veel nieuws is er nog niet en veel diensten, Zorgportaal, HiX Mobile (alle apps) (HAS Relay) en het Zorgplatform, zijn nog steeds offline. De EPD-fabrikant heeft gisteren wel een statusupdate van de situatie op haar LinkedIn pagina gedeeld. Daarin stelt Chipsoft, net als vorige week, dat de patiëntenzorg doorloopt en gebruikers met HiX kunnen werken. Echter, de patiëntenportalen die door ChipSoft worden gehost, zijn dus tijdelijk niet beschikbaar. Inmiddels is, maandagavond, wel de beloofde webpagina met informatie door Chipsoft online gezet.
"Op dit moment voeren we samen met een extern team van cybersecurity-experts forensisch onderzoek uit om de oorzaak, omvang en bron van het incident vast te stellen. Het is noodzakelijk dat dit onderzoek nauwkeurig en volledig wordt uitgevoerd voordat er conclusies kunnen worden getrokken. Forensisch onderzoek kost tijd en daarvoor vragen wij uw begrip", aldus Chipsoft. De fabrikant meldt in de LinkedIn update ook dat er gewerkt wordt aan het opzetten van een (nieuwe) webpagina waarop meer informatie over de hack en het verloop gedeeld gaat worden. Die pagina is op dit moment echter nog niet online.
[Update, 8 april, 15.00 uur, reactie LHV] Veel is er nog onduidelijk omtrent de ransomware-aanval die EPD-leverancier ChipSoft getroffen heeft. Het nieuws over de aanval kwam vanmorgen naar buiten. Zo’n 70 procent van de Nederlandse ziekenhuisorganisaties werkt met het HiX-EPD van ChipSoft. Zeker elf ziekenhuisorganisaties zouden hun met het EPD verbonden patiëntportaal offline gehaald hebben. De website van ChipSoft is offline. Het bedrijf heeft nog niet gereageerd op vragen met betrekking tot oorzaak en impact van de aanval.
De Nederlandse softwareleverancier ChipSoft bevestigde vanmorgen (7 april) getroffen te zijn door een ransomware-aanval - na eerdere berichtgeving door onder meer NU.nl en de Volkskrant. De impact op zorginstellingen en de mogelijke gevolgen voor patiëntgegevens worden momenteel onderzocht. Vooral een - beperkte groep - huisartsen lijkt getroffen. In dit segment is ChipSoft een stuk minder dominant.
“We willen allemaal graag weten wat er gebeurd is”, stelt woordvoerder Edwin Feldmann van Z-CERT, het expertisecentrum voor cybersecurity in de zorg. “Momenteel is ChipSoft zelf druk bezig met onderzoek naar wat er heeft plaatsgevonden. Wij zijn bij dit onderzoek niet betrokken.” Volgens Feldmann is er wel structureel contact tussen ChipSoft en Z-Cert.
Volgens Z-CERT is aan klanten geadviseerd om hun vpn-verbinding met ChipSoft tijdelijk te verbreken en netwerkverkeer intensief te monitoren. Het bedrijf meldde tegenover de NOS dat er mogelijk ook persoonsgegevens buitgemaakt zijn en dat er een poging gedaan is tot een ransomware-aanval. Inmiddels hebben meer dan tien ziekenhuizen die Chipsoft software gebruiken, besloten de patiëntportalen (tijdelijk) offline te halen.
Marktleider met potentieel grote impact
De aanval zou onder meer betrekking hebben op cloudomgevingen voor huisartsenpraktijken. Getroffen systemen zijn in elk geval HiX on premise, HiX SaaS en het SaaS-patiëntenportaal. ChipSoft meldt dat het de eigen systemen heeft geïsoleerd en het incident onderzoekt. Of er daadwerkelijk data is buitgemaakt of versleuteld, is nog niet bekend.
Met een marktaandeel van naar schatting meer dan 70 procent in Nederland is ChipSoft een cruciale speler in de zorg. Incidenten bij dergelijke leveranciers raken niet alleen individuele organisaties, maar kunnen ketenbreed gevolgen hebben voor continuïteit van zorg en beschikbaarheid van patiëntgegevens. Juist deze afhankelijkheid van centrale platforms maakt de sector kwetsbaar voor grootschalige verstoringen.
Hinder voor huisartsen
De Landelijke Huisartsen Vereniging (LHV) schrijft om 15.00 uur dat ziekenhuizen inmiddels verstoringen in systemen en processen melden. Huisartsen kunnen hiervan indirect hinder ondervinden, bijvoorbeeld bij verwijzingen en terugkoppeling, met name als zij HIX gebruiken. ChipSoft geeft aan dat waarschijnlijk geen persoonsgegevens zijn betrokken, maar dit is nog niet definitief vastgesteld.
De LHV benadrukt dat er op dit moment geen directe actie van huisartsen wordt verwacht, zoals een datalekmelding. Wel wordt geadviseerd om berichtgeving van ChipSoft en de regionale huisartsenorganisatie te volgen, rekening te houden met verstoringen en – bij gebruik van HIX – de IT-leverancier alert te laten zijn op afwijkend netwerkverkeer.
De LHV volgt de situatie naar eigen zeggen en dringt aan op snelle en duidelijke communicatie vanuit ChipSoft. Zodra meer informatie beschikbaar is, wordt dit gedeeld.
Ransomware in de zorg
De aanval op ChipSoft staat niet op zichzelf. De zorgsector is de afgelopen jaren herhaaldelijk doelwit geweest van ransomware-aanvallen, zowel in Nederland als internationaal. Een van de meest impactvolle incidenten vond plaats tijdens de WannaCry ransomware-aanval in 2017, waarbij onder meer de Britse National Health Service zwaar werd getroffen. Ziekenhuizen moesten operaties uitstellen en patiënten doorverwijzen doordat systemen onbruikbaar waren geworden.
Dichter bij huis werd in 2021 de GGD geconfronteerd met een groot datalek, wat het bewustzijn rond digitale veiligheid in de zorg verder vergrootte. Hoewel dit geen ransomware-aanval was, benadrukte het incident de kwetsbaarheid van zorgdata. Internationaal werden ook meerdere ziekenhuizen in de Verenigde Staten getroffen door ransomware, waarbij systemen dagenlang uitvielen en spoedeisende zorg tijdelijk moest worden afgeschaald of omgeleid.
Toenemende druk op zorg
De combinatie van verouderde systemen, complexe IT-landschappen en hoge tijdsdruk maakt de zorgsector extra kwetsbaar. Tegelijkertijd stijgt de waarde van medische data op de zwarte markt, wat cybercriminelen motiveert om juist deze sector aan te vallen. Volgens experts vraagt dit om een structurele aanpak: van betere netwerksegmentatie en monitoring tot strengere toegangscontrole en crisisvoorbereiding.
De huidige situatie rond ChipSoft laat zien hoe belangrijk samenwerking binnen de zorgketen is bij cyberincidenten. Snelle informatie-uitwisseling via partijen als Z-CERT helpt om risico’s te beperken en verdere schade te voorkomen.
De komende dagen zal moeten blijken wat de exacte impact is van de aanval. Voor nu geldt vooral dat zorginstellingen alert blijven en hun digitale weerbaarheid verder versterken, want ransomware in de zorg is geen uitzondering meer, maar een structureel risico. In editie 5 van ons Magazine uit 2025 schreven we, in samenwerking met een security-specialist van Z-CERT, over de structurele en groeiende dreiging die ransomware voor de zorgsector vormt.
Opvallend is dat juist kleinere en middelgrote zorgorganisaties vaak doelwit zijn, omdat aanvallers hun eisen afstemmen op de omzet. Uitbesteding van IT of werken in de cloud biedt geen garantie voor veiligheid, doordat lokale systemen en kwetsbaarheden blijven bestaan en aanvallers zich aanpassen. Volgens Z-CERT kunnen maatregelen zoals applicatie-allowlisting, phishing-resistente multifactorauthenticatie, snelle patching en veilige externe toegang risico’s aanzienlijk beperken.
Een zero trust-benadering wordt daarbij steeds belangrijker. Door structureel te investeren in beveiliging, bewustwording en crisisvoorbereiding kunnen zorginstellingen hun digitale weerbaarheid vergroten en de continuïteit van zorg beter waarborgen.
