Een lek in de zorgsoftware van ChipSoft heeft geleid tot verstoring van systemen en vragen over de veiligheid van patiëntgegevens. Volgens berichten van onder meer NOS, Tweakers en medisch nieuwsgevers ontstond het incident begin april: Z-CERT meldde meldingen over een aanval op 7 april 2026, en naar aanleiding van berichtgeving verklaarden twee ziekenhuizen tegenover het ANP op 15/04/2026 dat het nog niet is uit te sluiten dat gegevens zijn ingezien. In reactie werden delen van de digitale infrastructuur afgesloten om verdere schade te voorkomen, terwijl onderzoekers de omvang proberen te bepalen.
Wat er precies gebeurde
Uit de beschikbare informatie blijkt dat de indringers met een ransomware-aanval toegang hebben gekregen tot delen van de cloudomgeving die door ChipSoft worden beheerd. Hierboven is het woord ransomware gebruikt als aanduiding voor schadelijke software die bestanden kan versleutelen of exfiltratie kan veroorzaken. Volgens de waarschuwing van Z-CERT kregen aanvallers onder meer toegang tot servers waar data van huisartsenpraktijken staan. ChipSoft heeft zijn systemen geïsoleerd en adviseerde klanten om vpn-verbindingen te verbreken en netwerkverkeer extra te monitoren.
Aanpak en eerste meldingen
Technologiesites zoals Tweakers berichtten op 8 april 2026 over de storing, nadat een waarschuwing van Z-CERT was ingezien. Op dat moment was de website van ChipSoft dagenlang onbereikbaar en interne systemen ondervonden storingen. ChipSoft gaf aan dat ‘klantdata waarschijnlijk niet betrokken zijn bij de aanval’, maar dat onderzoek voortduurt. Verschillende instellingen blokkeerden uit voorzorg tijdelijk de webtoegang tot dossiers, en het Franciscus Ziekenhuis sloot bijvoorbeeld zijn patiëntportaal om mogelijke risico’s te beperken.
Welke zorginstellingen zijn getroffen
De impact lijkt ongelijk verdeeld: de bestaande rapportage suggereert dat vooral huisartsenpraktijken direct zijn geraakt, terwijl veel ziekenhuizen tot dusver buiten de grootste schade lijken te blijven. ChipSoft heeft een marktaandeel van circa zeventig procent in ziekenhuizen, maar een kleiner aandeel in huisartsenzorg. Toch namen vijftien ziekenhuizen voorzorgsmaatregelen door toegang tijdelijk te blokkeren, waarbij zij aangaven dat de acute patiëntenzorg niet in gevaar was. Het Franciscus Ziekenhuis meldde op 10 april 2026 dat patiënten tijdelijk hun dossiers en uitslagen niet konden inzien, omdat het systeem voor veiligheid offline stond.
Beschadigde platformen en technische termen
Als mogelijk getroffen platforms worden genoemd: HiX on-premise, HiX SaaS en het SaaS-patiëntenportaal dat via ChipSoft wordt gehost. Hier staat on-premise voor lokaal geïnstalleerde software binnen een organisatie, en SaaS (software as a service) voor via de cloud aangeboden applicaties. Omdat aanvallers toegang bleken te hebben tot gedeelde cloudomgevingen, ligt het risico bij diensten die centraal worden gehost en door meerdere praktijken worden gebruikt.
Reacties, adviezen en gevolgen voor patiënten
Veiligheidsexperts en het expertisecentrum Z-CERT roepen gebruikers op om actief te zoeken naar afwijkend netwerkverkeer en bij verdachte signalen contact op te nemen. De adviezen omvatten het verbreken van vpn-verbindingen met ChipSoft, het isoleren van getroffen omgevingen en het continu monitoren van netwerkactiviteiten in de dagen na de ontdekking. De Autoriteit Persoonsgegevens gaf aan dat ‘een aantal’ ziekenhuizen melding heeft gedaan van een vermoedelijk datalek; de definitieve vaststelling van exfiltratie of misbruik van data is nog onderwerp van onderzoek.
Wat patiënten kunnen verwachten
Voor patiënten betekent dit (voorlopig) dat sommige digitale diensten tijdelijk niet beschikbaar zijn. Zoals bij het Franciscus werd gemeld, kunnen uitslagen en dossierinzage later alsnog beschikbaar worden gesteld zodra systemen veilig terugkeren. Zorgverleners benadrukken dat acute zorg doorgaans doorgaat en dat veel instellingen alternatieve werkprocessen gebruiken om continuïteit te waarborgen. De blijvende onzekerheid over of er daadwerkelijk gegevens zijn ingezien maakt het van belang dat getroffen organisaties transparant communiceren zodra er nieuwe feiten bekend zijn.
