Chipsoft-hack: ziekenhuisdata mogelijk toch gestolen

In dit artikel:

Bij de ransomware-aanval op zorgsoftwarebedrijf Chipsoft is het inmiddels onduidelijk of ziekenhuispatiëntgegevens toch zijn buitgemaakt; eerdere geruststelling dat ziekenhuisdata ongeschonden bleef, blijkt te voorbarig. Het gaat vooral om ziekenhuizen die het HIX365-patiëntportaal gebruiken — onder meer het Franciscus Gasthuis in Rotterdam en het Albert Schweitzer Ziekenhuis in Dordrecht, plus ruim tien andere instellingen. De zorg is dat aanvallers het verkeer tussen die portalen en de servers van Chipsoft mogelijk hebben kunnen onderscheppen.

Betrokken ziekenhuizen zijn geadviseerd een datalek te melden bij de Autoriteit Persoonsgegevens; de AP heeft meerdere meldingen ontvangen maar noemt geen namen. Voor andere ziekenhuizen wordt de impact nog onderzocht en hoeven zij voorlopig niet te melden. Eerder bleek al dat huisartsenpraktijken en apotheken zwaarder werden getroffen, omdat aanvallers toegang kregen tot servers van huisartsen; of daar daadwerkelijk data is weggenomen, is nog onduidelijk.

Eind vorige week zette Chipsoft extra maatregelen: HIX365 offline, externe security-experts ingeschakeld, beheeraccounts gereset en cryptografische sleutels vervangen. Sommige betrokkenen vinden de experts laat ingezet, maar Chipsoft zegt: “Ze zijn direct ingeschakeld”. Forensisch onderzoek loopt nog. Patiëntenportalen blijven uit, waardoor patiënten dossiers niet kunnen raadplegen en digitaal inchecken niet mogelijk is; een beloofde informatiepagina is nog niet beschikbaar.