ChipSoft bevestigt diefstal patiëntgegevens na ransomware-aanval

In dit artikel:

Forensisch onderzoek heeft aangetoond dat bij de ransomware-aanval op ChipSoft patiëntgegevens inderdaad zijn buitgemaakt. Het betreft persoonsgegevens en medische informatie van patiënten bij meerdere Nederlandse zorginstellingen; Belgische instellingen zijn niet geraakt. ChipSoft informeert alle getroffen klanten direct.

De inbraak werd op 7 april ontdekt na afwijkingen in systemen; aanvankelijk (8 april) stelde het bedrijf dat persoons­gegevens waarschijnlijk niet waren betrokken, maar na meldingen en verder onderzoek – onder meer berichtgeving van de NOS op 15 april – bevestigde ChipSoft op 16 april dat gegevens zijn geëxfiltreerd. Hoe de aanvallers precies toegang kregen, is nog onduidelijk; het forensisch onderzoek loopt door.

Uit voorzorg is een aantal door ChipSoft gehoste diensten offline gezet: het Zorgportaal, HiX Mobile (alle apps), HAS Relay, het Zorgplatform en MyChipSoft blijven voorlopig onbeschikbaar. Patiënten kunnen daardoor dossiers niet inzien en inchecken is beperkt mogelijk. Instellingen die de software lokaal draaien of via een andere beheerder gebruiken, lijken niet betroffen. Voor urgente zaken kunnen klanten contact opnemen met hun accountmanager en er wordt fysieke support geleverd tot remote-diensten terug zijn.

CEO Hans Mulder reageerde teleurgesteld en erkent dat de beschadiging van vertrouwelijke data niet ongedaan te maken is; ChipSoft belooft getroffen klanten zo goed mogelijk te ondersteunen. Het bedrijf werkt samen met Z-CERT, de Autoriteit Persoonsgegevens en het Centre for Cyber Security Belgium. Patiënten met vragen wordt geadviseerd contact op te nemen met hun zorginstelling.