ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack

In dit artikel:

Bij de recent ontdekte ransomware‑aanval op ChipSoft zijn toch patiëntgegevens buitgemaakt, blijkt uit forensisch onderzoek van het bedrijf. ChipSoft, de grootste leverancier van elektronische patiëntendossiers in Nederland, maakte op 7 april bekend slachtoffer te zijn geworden van de aanval; getroffen zijn onder meer HiX on‑premises, HiX SaaS en het SaaS‑patiëntenportaal dat via ChipSoft wordt gehost.

Volgens beschikbare informatie betreft het dossiers van onder meer huisartsen, revalidatieklinieken en oogziekenhuizen. ChipSoft meldt dat zorginstellingen die hun software zelfstandig draaien of laten beheren door derden niet zijn geraakt; de instellingen die wél getroffen zijn, worden geïnformeerd. Naar verwachting zullen de afzonderlijke zorgaanbieders zelf patiënten gaan informeren over betrokkenheid bij het datalek.

Er is nog veel onduidelijkheid over de omvang en de aard van de gelekte gegevens: het is niet bekend of het om alle patiënten van de getroffen instellingen gaat of slechts om een deel, en of het alleen om contactgegevens of ook om medische informatie gaat. Intussen zijn er volgens berichten 66 meldingen gedaan bij de Autoriteit Persoonsgegevens, wat kan duiden op minstens evenveel getroffen zorginstellingen.

De zaak is relevant omdat ChipSoft met een marktaandeel van meer dan 70 procent in ziekenhuizen een cruciale positie in de Nederlandse zorginformatie heeft; problemen bij deze leverancier kunnen daardoor brede consequenties hebben voor privacy en continuïteit van zorg. Zorgaanbieders en toezichthouders zullen moeten onderzoeken welke patiënten precies zijn getroffen en welke vervolgstappen nodig zijn om schade te beperken.