2 uren geleden
1
Eén zinnetje in de persverklaring die softwarefabrikant Chipsoft dinsdagavond uitdeed over gestolen patiëntdata: „Tevens zijn die ontvreemde gegevens vernietigd.” En vervolgens: „Onze cybersecurity-experts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden.” Het bedrijf dat software en automatiseringsdiensten levert aan de meeste Nederlandse ziekenhuizen en verschillende andere klinieken, wil verder geen toelichting geven.
Een hack op 7 april legde Chipsofts online communicatie met de buitenwereld – en dus met klanten – langdurig plat. Ziekenhuizen en huisartsen konden patiënten niet meer naar elkaar verwijzen, alles moest plotseling weer ouderwets via de telefoon. Zorgelijker misschien waren berichten die geleidelijk opdoken – eerst niet, negen dagen later wel – dat bij sommige klanten ook patiëntdata waren gestolen. Daarover schrijft het bedrijf dinsdag: „Het herstelproces verloopt voorspoedig, maar vraagt om zorgvuldigheid en tijd.”
Je kunt alleen constateren dat de hackers op lek-sites nog geen gestolen data van patiënten hebben gepubliceerd
Of Chipsoft de hackers losgeld heeft betaald – en zo ja, hoeveel – wil het familiebedrijf niet zeggen. Volgens kenners van het dark web die de NOS sprak, noemt de hackgroep zich Embargo. Ze zou vorige week gedreigd hebben gestolen data te publiceren, waarop Chipsoft zich gedwongen zou hebben gevoeld te betalen. Chipsoft zelf zegt nauwelijks iets tegen de buitenwereld, en al helemaal niets tegen de pers.
Lees ook
Een hack bij Chipsoft treft direct het grootste deel van de zorgsector
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2026/04/08143703/080426ECO_2032856996_ziekenhuis2.jpg)
Kwestie van vertrouwen
Dat bedrijf moeten we dan maar op zijn blauwe ogen geloven, zegt Jochen den Ouden, eigenaar van Cybernext. Zijn bedrijf hackt de hele dag, legaal en in opdracht, websites van klanten, zoals ziekenhuizen en bouwbedrijven. Met zogeheten ‘pentests’ spoort het bedrijf kwetsbaarheden in de beveiliging op.
Den Ouden: „Je kúnt niet stellen dat wat dieven gestolen hebben, vernietigd is. Want je weet het niet. Een collega-cybersecurity-expert zei over deze zaak gisteravond: ‘zoals je niet kunt stellen dat eenhoorns niet bestaan’. Je kunt alleen constateren dat de hackers op lek-sites nog geen gestolen data van patiënten hebben gepubliceerd. Onze klanten vragen ook weleens: hoe weten we nou dat de gegevens die u blijkbaar bij ons kon stelen, níét ergens opgeslagen liggen? Daar moeten ze dan op vertrouwen, want je kúnt niet bewijzen dat iets helemaal is verdwenen.”
Ook de Autoriteit Persoonsgegevens zegt, desgevraagd, dat het de vraag is of je ooit kunt stellen dat gestolen gegevens vernietigd zijn. „Als een criminele organisatie dat beweert, is dat voor ons geen betrouwbare verklaring”, zegt een woordvoerder van de privacybewaker.
De hack bij Chipsoft roept de vraag op wie verantwoordelijk is voor bescherming van gegevens als naam, leeftijd, adres, e-mail en labuitslagen die patiënten inleveren bij hun zorgverlener. Dat is de zorgorganisatie die de gegevens verzamelt, meent Frederik Zuiderveen Borgesius, hoogleraar ICT en Recht aan de Radboud Universiteit. „De partij die de gegevens met een doel verzamelt (of laat verzamelen), zoals een huisarts of ziekenhuis, is verantwoordelijk volgens de AVG-wet. Ingehuurde verwerkers, zoals een salarisadministrateur of een softwarefabrikant, mogen met die gegevens alleen doen wat de verantwoordelijke hun opdraagt. En dat soort verwerkers zijn mede-verantwoordelijk voor goede beveiliging van de gegevens.”
Vindt hij het aannemelijk dat de hackers alle gestolen gegevens hebben vernietigd? „Dat kun je niet beweren, want je weet het nooit”, zegt Zuiderveen Borgesius. „Maar het is wel mogelijk dat de hackers, eenmaal betaald, niks meer met de gegevens doen omdat ze ‘betrouwbaar’ gevonden willen worden. Als je dat niet bent, zullen je slachtoffers voortaan minder snel losgeld betalen na een hack.”
Patiënt aanschrijven
De zorginstellingen die van Chipsoft hebben gehoord dat hun patiëntdata tijdens de hack gestolen zijn, moeten volgens de wet zelf elke individuele patiënt aanschrijven om die te waarschuwen. Onder meer revalidatiekliniek Heliomare en de klinische forensische psychiatriekliniek Van der Hoeven hebben dat gedaan. Bij de Van der Hoeven-kliniek gaat het om data van zesduizend verdachten van delicten, onder wie tbs’ers, die forensische zorg krijgen. Hun elektronisch patiëntendossier (EPD) is van Chipsoft.
Gevraagd of de instellingen hun patiënten gaan aanschrijven met de geruststelling dat alle gestolen data zijn „vernietigd”, zoals Chipsoft stelt, antwoorden ze dat alleen Chipsoft hierover de pers te woord staat.
Het Amsterdamse Chipsoft, eigendom van een oud-chirurg en zijn zoon, heeft de afgelopen veertig jaar een grote klantenkring opgebouwd in de zorg. Dat is zo succesvol dat vader en zoon in de Quote-lijst van Nederlands 500 rijksten staan. Ruim 70 procent van de ziekenhuizen heeft EPD’s van Chipsoft, en ook elektronische patiëntenportalen, verwijzings- en planningssystemen van het softwarebedrijf. Veel ziekenhuizen zijn zo afhankelijk van die digitale infrastructuur dat ze niet durven te stoppen met Chipsoft, ook als ze dat zouden willen.
Lees ook
Ook gegevens van tbs-patiënten gelekt bij Chipsoft-hack
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2026/04/17104155/170426VER_2033096233_hack.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/04/29185712/290426VER_2033404038_brand.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/04/29185406/290426BUI_2033404133_energie3.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/04/29165659/290426VER_2033401087_1.jpg)
English (US) ·