ChipSoft haalt systemen offline na ransomware‑aanval

In dit artikel:

ChipSoft, leverancier van het veelgebruikte elektronisch patiëntendossier (EPD), werd dinsdag getroffen door een ransomware‑aanval. Uit voorzorg nam het bedrijf woensdagavond meerdere diensten offline — onder meer Zorgportaal, HiX Mobile, HAS Relay en Zorgplatform — en begon donderdagochtend gefaseerd met het weer beschikbaar stellen van systemen. Sommige klanten ontvingen nieuwe cryptografische sleutels omdat wordt gevreesd dat aanvallers oude sleutels hebben bekeken; waar dat mogelijk is, worden sleutels vervangen en raadt ChipSoft aan beheeraccounts direct van nieuwe wachtwoorden te voorzien.

Het bedrijf waarschuwt klanten voorlopig geen hotfixes te installeren uit vrees voor besmette code en bevestigde formeel dat het om ransomware gaat, nadat het aanvankelijk van een ‘data‑incident’ sprak. Hoe lang de storing duurt is onduidelijk: alle capaciteit wordt ingezet op onderzoek en herstel, en de eigen website van ChipSoft is al dagen niet bereikbaar. Op 7 april hadden elf ziekenhuizen uit voorzorg hun patiëntenportalen al offline gehaald en in enkele gevallen werden verbindingen met ChipSoft tijdelijk verbroken.

Zorginstellingen merken vooral hinder achter de schermen: afsprakenplanning en verwijzingen moesten soms via e‑mail of handmatige routes worden afgehandeld. Meerdere klanten hebben een melding gedaan bij de Autoriteit Persoonsgegevens; het is nog onduidelijk of medische data zijn buitgemaakt en of losgeld is gevraagd of betaald. De beperkte informatievoorziening van ChipSoft leidde tot kritiek: perscontacten werden vermeden en ook Z‑Cert klaagde over moeizaam contact.

De omvangrijke impact hangt samen met de dominante positie van ChipSoft: het bedrijf verzorgt ongeveer driekwart van de Nederlandse markt voor EPD‑software. Daardoor raakt een aanval op één partij veel zorginstellingen tegelijk. Het incident versterkt de discussie over systeemontwerp en governance in de zorg, met name of controle over toegang en sleutels minder gecentraliseerd en daarmee robuuster tegen dit soort ketenincidenten moet worden georganiseerd.