Zorg-ICT-leverancier ChipSoft is getroffen door een cyberaanval. Het bedrijf bevestigde dat sprake is van een data-incident met mogelijke ongeautoriseerde toegang. Dat meldt Z-Cert, het expertisecentrum voor digitale beveiliging in de zorg, in een vertrouwelijk bericht aan zorginstellingen. Dat bericht is in handen van de NOS. ChipSoft sluit niet uit dat persoonsgegevens zijn ingezien of buitgemaakt. Zorginstellingen kregen het dringende advies om de VPN-verbinding met ChipSoft te verbreken.
De impact kan groot zijn, omdat ChipSoft een van de belangrijkste leveranciers van elektronische patiëntendossiers in Nederland is. Veel ziekenhuizen en ook huisartsenpraktijken werken met software van het bedrijf. Daardoor raakt een incident bij de leverancier al snel de dagelijkse zorgpraktijk, ook als een instelling zelf niet direct is aangevallen.
Ontvang gratis onze zorgberichten in je mailbox.
Je kunt je op elk moment afmelden via de link onderaan de e-mails die je ontvangt.
Wil je graag weten hoe onze nieuwsbrief eruit ziet? Bekijk hier het archief.
Welke onderdelen precies zijn getroffen, is nog niet volledig duidelijk. Wel is bekend dat meerdere omgevingen en diensten in beeld waren, waaronder systemen voor ziekenhuizen, huisartsenpraktijken en patiëntportalen. Dat vergroot de onrust, omdat het niet alleen gaat om interne werkprocessen, maar ook om digitale toegang voor patiënten.
Voor zorgmedewerkers draait dit niet alleen om ICT, maar om continuïteit van zorg. Als koppelingen worden verbroken of portalen tijdelijk uitvallen, raakt dat direct het werken met patiëntinformatie, digitale communicatie en de afhandeling van processen rond afspraken en dossierinzage. Een deel van de ziekenhuizen haalde uit voorzorg patiëntportalen offline, terwijl andere organisaties extra veiligheidsmaatregelen namen.
ChipSoft zegt maatregelen te hebben genomen om de gevolgen te beperken en de toegang van de aanvallers af te snijden. Tegelijk is nog niet duidelijk waar de aanval precies heeft plaatsgevonden en hoe groot de schade is. Ook is nog onduidelijk of en hoeveel patiëntgegevens daadwerkelijk zijn buitgemaakt.
Deze aanval laat zien hoe afhankelijk de zorg is geworden van een beperkt aantal digitale leveranciers. Voor zorgmedewerkers wordt dat vooral zichtbaar zodra systemen haperen, koppelingen dichtgaan of onzekerheid ontstaat over de veiligheid van patiëntgegevens. De zorginhoud verandert niet, maar de uitvoering wordt direct lastiger. Het incident onderstreept daarmee dat digitale veiligheid geen puur IT-onderwerp meer is, maar een voorwaarde voor veilige en toegankelijke zorg.
Update: vooral huisartsenpraktijken geraakt, impact op ziekenhuizen lijkt beperkt
De impact van de ChipSoft-hack lijkt anders uit te pakken dan aanvankelijk werd gevreesd. Volgens nieuwe informatie zijn vooral een relatief klein aantal huisartsenpraktijken en apotheken geraakt. Voor ziekenhuizen lijken de gevolgen vooralsnog beperkt, al loopt het onderzoek nog en is nog niet alle informatie bekend.
Bij de aanval kregen hackers toegang tot systemen van ChipSoft en ook tot servers met data van huisartsen. Of daarbij daadwerkelijk gegevens zijn buitgemaakt, is nog niet duidelijk. Huisartsen moeten er wel rekening mee houden dat dit kan zijn gebeurd.
Meerdere ziekenhuizen blokkeerden uit voorzorg de webtoegang tot patiëntendossiers. Volgens betrokkenen is de patiëntenzorg daarbij niet in gevaar geweest. De maatregel was bedoeld om risico’s te beperken, vooral bij organisaties met extra koppelingen aan ChipSoft-systemen.
Voor de eerste lijn verschuift de aandacht daarmee nadrukkelijk naar huisartsenpraktijken en apotheken. Deze nieuwe stand van zaken laat zien dat een cyberaanval op een ICT-leverancier niet alleen gevolgen kan hebben voor grote zorginstellingen, maar ook direct kan doorwerken in de dagelijkse zorgverlening in de wijk.
