Op 7 april 2026 werd zorgsoftwareleverancier ChipSoft slachtoffer van een digitale aanval waarbij systemen werden getroffen en gegevens konden worden buitgemaakt. De zaak kreeg extra aandacht nadat hackersgroep Embargo op het darkweb claimde circa 100 GB aan bestanden in handen te hebben en dreigde die te publiceren. ChipSoft bevestigde later dat er data waren gestolen en stelde op 28/04/2026 op zijn website dat die gegevens niet openbaar zijn verschenen en inmiddels zijn vernietigd. Tegelijkertijd meldt het bedrijf dat gesprekken met de daders nog voortduren, zodat er veel onzekerheid blijft rond de gevolgen voor getroffen personen en instellingen.
Wat gebeurde er precies?
De aanval begon als een klassieke ransomware-incident: systemen werden ontoegankelijk gemaakt door versleuteling, waarna toegang tot bestanden door de aanvallers werd gebruikt om druk uit te oefenen. In de vakterminologie spreken specialisten van ransomware als bestanden gegijzeld worden door versleuteling, en van dubbele afpersing wanneer aanvallers tegelijkertijd data exfiltreren om publicatie te dreigen. Volgens externe beveiligingsonderzoekers zoals ESET past Embargo deze dubbele tactiek toe: eerst verstoren ze de bedrijfsvoering, vervolgens dreigen ze met het openbaar maken van gevoelige data om betaling af te dwingen.
Wie is Embargo en hoe kenmerkend is hun werkwijze?
Embargo presenteert zichzelf op het darkweb als een internationaal opererend collectief zonder politieke agenda. Onderzoekers houden de groep sinds medio 2026 in de gaten en constateren dat hun handelswijze consistent is gebleven: aanvallen op de zorgsector en andere vitale organisaties, met publicatiebedreigingen op afgeschermde sites die vaak een afteltimer tonen. Die klok is bedoeld om slachtoffers onder druk te zetten en onderhandelingen te versnellen. In dit geval heeft Embargo hun dreigement tijdelijk verwijderd; dat kan wijzen op onderhandelingen, een betaling, of strategische redactionele stappen van de groep zelf.
De darkweb-tactiek en het publicatiebedreiging
Op de gepubliceerde pagina stonden volgens meldingen twee aftelklokken en vermeldingen over de omvang van de buitgemaakte data. Cybersecurityspecialisten benadrukken dat dergelijke openbare displays vooral psychologische druk uitoefenen, omdat ze aantonen dat de criminelen materiaal bezitten dat schadelijk kan zijn voor betrokkenen. In veel gevallen stoppen de publicaties pas nadat een overeenkomst is bereikt, maar er zijn ook voorbeelden waarbij de dadergroepen hun claim intrekken terwijl de onderhandelingen doorgaan. ChipSoft geeft aan dat gesprekken lopen en houdt daardoor terughoudendheid in communicatie.
Wie zijn getroffen en wat is de omvang?
ChipSoft levert software aan huisartsen, revalidatiecentra, forensische zorg en een groot deel van ziekenhuizen. In de berichtgeving wordt aangegeven dat mogelijk gegevens van ‘enkele tientallen huisartsenpraktijken’ zijn betrokken, en ook gegevens van tbs-klinieken en revalidatiecentra kunnen zijn getroffen. Omdat ChipSoft systemen levert aan circa 55 van de 75 ziekenhuizen in Nederland, is het potentiële bereik groot. Het precieze aantal getroffen personen of instellingen heeft het bedrijf niet vrijgegeven. De Landelijke Huisartsen Vereniging heeft huisartsen geadviseerd patiënten te informeren wanneer hun dossiers mogelijk zijn aangetast.
Praktische gevolgen voor patiënten en zorgverleners
Voor patiënten betekent dit dat medische data, soms extra gevoelig van aard, buiten de controle van zorgverleners konden komen. Dit vergroot het risico op chantage en op misbruik van persoonlijke informatie. Sommige melders uit het publiek klaagden over gebrekkige communicatie vanuit hun praktijk of ziekenhuis en willen meer transparantie over welke dossieronderdelen precies gelekt zijn. ChipSoft roept getroffenen op eerst contact op te nemen met hun eigen huisarts of zorgverlener voor gerichte informatie en advies.
Reacties, advies en vervolgstappen
ChipSoft heeft op zijn website excuses aangeboden en CEO Hans Mulder benadrukte dat het bedrijf alles doet om klanten te ondersteunen en systemen veilig te krijgen. De overheid en sectororganisaties reageren scherp: de Landelijke Huisartsen Vereniging adviseert openheid richting patiënten, en de toenmalige zorgminister namens de sector sprak van een uiterst ernstige zaak die zorgvuldig onderzoek vereist. Cybersecurityadviseurs raden getroffen organisaties aan incidentresponsprotocollen te volgen, systemen grondig te herstellen en slachtoffers actief te informeren over mogelijke risico’s.
Waar let u op als burger?
Patiënten die vermoeden dat hun gegevens betrokken zijn, doen er goed aan de waarschuwingen van hun zorgverlener te volgen, alert te zijn op ongewone contacten of verzoeken, en waar nodig identiteits- of privacywaarschuwingen in te schakelen bij instanties. Organisaties wordt aangeraden te investeren in herstelplannen, back-ups en aanvullende monitoring om herhaling te voorkomen. De situatie rond ChipSoft toont nogmaals aan hoe kwetsbaar ketens in de zorg zijn voor digitale aanvallen en waarom transparante, tijdige communicatie onmisbaar blijft.
Samenvattend: ChipSoft meldt dat de gestolen patiëntgegevens niet zijn gepubliceerd en dat die bestanden zijn vernietigd, zoals op 28/04/2026 gecommuniceerd. De onderhandelingen met de hackersgroep Embargo zouden nog gaande zijn en verschillende vragen over omvang, mogelijke gevolgen en aansprakelijkheid blijven openstaan terwijl betrokken zorgverleners patiënten adviseren en de sector de nasleep onderzoekt.
