ChipSoft: persoonsgegevens waarschijnlijk niet gelekt

In dit artikel:

ChipSoft meldt dat bij de ransomware-aanval van dinsdagavond naar verwachting geen persoonsgegevens zijn buitgemaakt, maar het incident wordt nog onderzocht. De leverancier van elektronische patiëntendossiers bevestigt dat het om een ‘data-incident’ gaat en werkt aan maatregelen om de schade te beperken.

Vijftien Nederlandse ziekenhuizen schakelden uit voorzorg de webtoegang tot patiëntdossiers uit; volgens bronnen van de NOS zijn er nog twaalf daarvan offline. Vooral instellingen die hun systemen sterk aan ChipSoft koppelden troffen die maatregel. Ziekenhuizen geven aan dat de continuïteit van de patiëntenzorg niet in gevaar is gekomen.

Tegelijkertijd zijn een aantal huisartsenpraktijken en apotheken wél geraakt: aanvallers kregen toegang tot servers met data van huisartsen. Of er daadwerkelijk gegevens zijn exfiltreerd is nog onduidelijk, maar huisartsen wordt geadviseerd er rekening mee te houden dat dat mogelijk is. Betroffen zijn zowel on‑premises- als SaaS-versies van de ChipSoft-software en het via ChipSoft gehoste SaaS-patiëntenportaal.

Z-CERT, het zorgsector-expertisecentrum voor cybersecurity, raadt zorginstellingen aan de komende dagen het netwerkverkeer extra te monitoren op afwijkingen. ChipSoft zegt alle technische en organisatorische middelen in te zetten om het incident te beheersen en houdt de situatie nauwlettend in de gaten.

Wat de juridische gevolgen betreft: ChipSoft positioneert zich als verwerker; de zorgaanbieder is de verwerkingsverantwoordelijke en moet zelf beoordelen of een melding aan de Autoriteit Persoonsgegevens nodig is. ChipSoft biedt wel ondersteuning daarbij. Onbekend blijft of ook andere data uit ChipSoft‑systemen of gegevens van medewerkers zijn geraakt.