Achtergrond - Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

In dit artikel:

Softwareleverancier ChipSoft, bekend van het ZIS‑/EPD-systeem HiX, is dinsdag getroffen door een ransomwareaanval waarbij criminelen toegang kregen tot de patiëntendossiersoftware. Het precieze karakter van de inbraak is nog onduidelijk: niet vaststaat hoe de aanvallers binnenkwamen, welke bestanden precies zijn buitgemaakt en of er losgeld gevraagd wordt. ChipSoft meldde direct maatregelen te hebben genomen om verdere toegang te blokkeren en raadde klanten aanvankelijk aan de vpn‑verbinding naar ChipSoft te verbreken. Woensdagavond besloten zij HiX 'uit voorzorg' offline te halen; donderdagochtend zouden klanten nieuwe cryptografische sleutels ontvangen omdat de oude mogelijk zijn blootgesteld. Daarnaast adviseert ChipSoft beheeraccounts van nieuwe wachtwoorden te voorzien en wijst het af dat klanten een hotfix moeten installeren.

Zorgsector‑expertisecentrum Z‑Cert waarschuwt ziekenhuizen en huisartsen om de komende dagen hun netwerken te monitoren op afwijkend verkeer. Verschillende ziekenhuizen die HiX gebruiken — waaronder Antoni van Leeuwenhoek en Frisius MC — geven aan niet getroffen te zijn en melden dat patiëntgegevens veilig blijven, al hebben sommige instellingen uit voorzorg patiëntenportalen afgesloten. De website van ChipSoft is sinds dinsdag ontoegankelijk. Bronnen rond het bedrijf vertelden de NOS dat mogelijk niet zoveel ziekenhuisgegevens zijn gelekt, maar dat vooral dossiers van huisartsenpraktijken en apotheken kwetsbaar zijn; het blijft onduidelijk om welke gegevens het precies gaat en of ook medewerkersgegevens zijn buitgemaakt.

HiX is het ZIS/EPD‑systeem van ChipSoft waarin medische dossiers, medicatiegegevens, onderzoeksresultaten en administratieve en facturatiegegevens worden beheerd. Het platform kent verschillende inzetvormen: on‑premises, in de cloud (gehost via Microsoft Azure) of hybride. HiX is marktleider in Nederland: naar schatting gebruiken circa 76% van de ziekenhuizen het systeem. Die dominante positie leidde al eerder tot kritiek en zorg over vendorlock‑in: de Autoriteit Consument & Markt (ACM) waarschuwde in 2021 dat overstappen kostbaar en langdurig is (gemiddeld 1,5–2 jaar). Ziekenhuizen klaagden bovendien over hoge aanschaf- en onderhoudskosten; er wordt gesproken over miljoeneninvesteringen bij implementatie en jaarlijkse kosten, terwijl ChipSoft volgens critici forse winstmarges zou behalen. ChipSoft vocht publicatie van het ACM‑rapport juridisch aan, maar verloor later de bodemprocedure.

Publieke kritiek op HiX kreeg ook aandacht in de 2022‑documentaire Dodelijke zorg: anonieme zorgverleners noemden de medicatiemodule onhandig en foutgevoelig, met mogelijk ernstige gevolgen. Concurrenten op de Nederlandse markt zijn onder meer Epic (ongeveer 16% marktaandeel) en kleinere spelers zoals Nexus. Epic wordt door sommige ziekenhuizen als opener beschouwd omdat het meer API‑standaarden biedt; HiX‑gebruikers moeten vaak extra licenties voor ChipSofts Zorgplatform kopen om gegevensuitwisseling te faciliteren.

De aanval onderstreept de kwetsbaarheid van digitale infrastructuur in de zorg, zeker wanneer één leverancier zo dominant is. Voor zorgorganisaties blijft het essentieel om netwerkverkeer te monitoren, beheerrollen te beveiligen en plannen te hebben voor continuïteit en dataprivacy bij leveranciersincidenten.