D66 wil opheldering over cyberaanval ChipSoft

In dit artikel:

D66-Kamerleden Marc Vervuurt en Sarah El Boujdaini hebben schriftelijke vragen gesteld aan het kabinet naar aanleiding van de ransomware-aanval op ChipSoft. Ze vragen om een actueel overzicht van de aard, omvang en impact van de aanval, welke patiënten mogelijk zijn geraakt en in hoeverre de continuïteit van de zorg is aangetast (denk aan beperkte toegang tot patiëntgegevens, vertragingen of het inschakelen van noodprocedures). Ook willen ze weten of er aanwijzingen zijn dat patiëntgegevens zijn ingezien of buitgemaakt en vragen ze een oordeel over de kwetsbaarheid van de zorg door sterke afhankelijkheid van enkele commerciële leveranciers. D66 opperde het mogelijk stellen van extra eisen aan leveranciers van cruciale zorg‑it (redundantie, interoperabiliteit, exit‑strategieën) en het verkleinen van single points of failure.

ChipSoft, leverancier van elektronische patiëntendossiers die circa driekwart van de Nederlandse markt bedient, meldde dat het dinsdag door een aanval is getroffen en haalde woensdagavond uit voorzorg meerdere diensten offline, waaronder Zorgportaal, HiX Mobile, HAS Relay en Zorgplatform. Donderdagochtend begon gefaseerd herstel; enkele klanten hebben nieuwe cryptografische sleutels ontvangen omdat hackers mogelijk de oude sleutels hebben kunnen inzien. ChipSoft adviseert beheerders hun wachtwoorden te vernieuwen en raadt voorlopig af hotfixes te installeren. Voor het eerst bevestigde het bedrijf expliciet dat het om ransomware gaat; eerder werd slechts gesproken van een ‘data‑incident’.

De precieze duur en volle omvang van de storing zijn onduidelijk. ChipSoft zegt al haar capaciteit in te zetten op onderzoek en herstel; de bedrijfswebsite blijft dagenlang offline. Door de verstoring namen al meerdere ziekenhuizen en huisartsen tijdelijke maatregelen: patiëntportalen gingen uit de lucht, koppelingen werden (tijdelijk) verbroken en in sommige gevallen werd teruggevallen op e-mail voor afspraken en verwijzingen. Meerdere klanten meldden een datalek bij de Autoriteit Persoonsgegevens.

Er is kritiek op de communicatie van ChipSoft: het bedrijf communiceert volgens berichten voornamelijk met klanten en houdt de pers op afstand. Ook Z‑Cert, het landelijke cybersecurity‑expertisecentrum voor de zorg, klaagde over moeizaam contact en beperkte publieke informatie. Het is onduidelijk of er losgeld is geëist of betaald en hoeveel medische gegevens daadwerkelijk zijn aangetast.

Het incident heeft de discussie aangewakkerd over centralisatie en afhankelijkheid in de Nederlandse zorg‑ict: door ruime marktconcentratie en gedeelde sleutels ontstaan kwetsbare, centrale punten die bij uitval grote gevolgen hebben voor de gehele sector. De politieke vragen van D66 richten zich daarom niet alleen op de directe schade, maar ook op structurele maatregelen om toekomstige incidenten te voorkomen en de weerbaarheid van de zorg te vergroten.