Forensisch onderzoek heeft bevestigd dat cybercriminelen bij de ransomware-aanval op ChipSoft daadwerkelijk patiëntgegevens hebben gestolen. Dat laat het bedrijf zelf weten. Het gaat om persoonsgegevens, waaronder medische gegevens, van patiënten bij enkele Nederlandse zorginstellingen. Alle getroffen instellingen worden direct geïnformeerd. Belgische instellingen zijn niet getroffen.

Gisteren maakte ChipSoft via LinkedIn en een bijgewerkte FAQ-pagina bekend dat het forensisch onderzoek uitwijst dat cybercriminelen daadwerkelijk medische persoonsgegevens hebben ontvreemd. Dat is een flinke stap verder dan de communicatie van een week eerder. Op 8 april stelde het bedrijf nog dat persoonsgegevens waarschijnlijk niet betrokken waren bij het incident.

De aanval werd op 7 april door ChipSoft-medewerkers ontdekt als afwijkingen in de systemen. Direct daarna werden externe cybersecurity-experts ingeschakeld. Uit voorzorg zijn sindsdien het Zorgportaal, HiX Mobile (alle apps), HAS Relay en het Zorgplatform offline gehaald. Zorginstellingen die de software in eigen beheer uitvoeren of door derden laten beheren, zijn niet getroffen.

Van ‘waarschijnlijk veilig’ naar bevestigde diefstal

De erkenning van 16 april volgt op een reeks updates die steeds zorgelijker werden. Op 15 april meldde de NOS al dat ziekenhuisdata mogelijk toch gestolen was via het HIX365-platform. Aanvallers hadden mogelijk verkeer kunnen onderscheppen tussen patiëntenportalen en de servers van ChipSoft. Ziekenhuizen die gebruik maakten van dat platform, zoals Franciscus Gasthuis Rotterdam en Albert Schweitzer Ziekenhuis Dordrecht, ontvingen het advies een datalek te melden bij de Autoriteit Persoonsgegevens.

CEO Hans Mulder laat weten: “Na veertig jaar toewijding aan betrouwbare zorg-ICT doet het ons pijn dat deze situatie is ontstaan. Deze ontvreemding van gegevens kunnen wij niet ongedaan maken. Wel doen wij er alles aan om de getroffen klanten in deze situatie zo goed mogelijk te ondersteunen.”

Wat er nu offline is en wat niet

De patiëntenportalen die door ChipSoft worden gehost, blijven voorlopig offline. Patiënten kunnen hun dossier daardoor niet inzien en inchecken in het ziekenhuis is beperkt mogelijk. Eerder meldde Techzine dat ChipSoft zijn systemen opnieuw inricht en test in afstemming met Z-CERT. MyChipSoft is voorlopig niet beschikbaar; voor spoedeisende zaken kunnen klanten contact opnemen met hun accountmanager. Fysieke support aan klanten op locatie wordt aangeboden totdat de remote-dienstverlening is hersteld.

Het forensisch onderzoek loopt nog. Hoe de aanvallers toegang kregen tot de systemen, is niet vastgesteld. ChipSoft staat in contact met Z-CERT, de Autoriteit Persoonsgegevens en het Centre for Cyber Security Belgium. Patiënten met vragen kunnen terecht bij hun eigen zorginstelling.