Wat is er gebeurd?

7 april 2026. ChipSoft — leverancier van het HiX EPD-systeem dat 76 procent van alle Nederlandse ziekenhuizen draait, plus huisartsenpraktijken, tbs-klinieken en revalidatiecentra — constateert een cyberaanval. De eerste publieke verklaring spreekt van een "data-incident" met "mogelijke ongeautoriseerde toegang." Z-CERT informeert zijn zorgklanten rechtstreeks: ransomware.

Nota bene: onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

De aanvaller is Embargo. Geen scriptkiddie-collectief: een professionele Ransomware-as-a-Service-operatie met een door TRM Labs geschatte crypto-omzet van 34 miljoen dollar. Vermoedelijk een rebrand van BlackCat/ALPHV — de Conti-spinoff die zijn eigen affiliates oplichtte voor 22 miljoen dollar voordat het deed alsof het door handhaving was opgerold. Rust-based malware, double extortion, politiek getinte berichten op de leak site. Dát is de tegenpartij waarmee ChipSoft heeft onderhandeld over uw patiëntdossiers.

De tijdlijn spreekt voor zich. Patiëntportalen bleven aanvankelijk online — pas na de komst van externe security-experts gingen ze offline. Ziekenhuizen moesten zeven dagen na de aanval alsnog alle ChipSoft-supportaccounts en digitale sleutels roteren, wat aangeeft dat de initiële forensische analyse de blast radius had onderschat. Op 16 april volgde bevestiging dat medische persoonsgegevens waren buitgemacht. Op 23 april plaatste Embargo aftelklokken op het darkweb; ChipSoft bevestigde aan NOS dat er "onderhandeld" werd. Op 28 april verscheen een LinkedIn-post met de mededeling dat de gestolen data "op technisch juiste wijze vernietigd" was — zonder toelichting, en zonder antwoord op de vraag of er losgeld betaald is.

Meer dan 60 datalekmeldingen zijn ingediend bij de Autoriteit Persoonsgegevens. Getroffen instellingen omvatten Rijndam, Basalt, Van der Hoeven Kliniek (forensische zorg), Franciscus Gasthuis, Meander MC en Albert Schweitzer Ziekenhuis.

Waarom dit ertoe doet

ChipSoft beheert patiëntdossiers die u nooit bewust aan hen heeft toevertrouwd. Diagnoses, medicatie, psychiatrische voorgeschieden, forensische rapporten — geconcentreerd bij één leverancier met 76 procent marktaandeel, licentiekosten van anderhalf tot twee miljoen euro per ziekenhuis, en een winstmarge van 42 procent op 107 miljoen euro omzet in 2019. De kaspositie bedraagt naar schatting 360 miljoen euro.

Dat marktaandeel is niet het resultaat van kwaliteitscompetitie. De ACM waarschuwde in 2022 al voor vendor lock-in in de zorgsector. ChipSoft probeerde het kritische rapport destijds via de rechter te blokkeren. UMCG, Ommelander en Treant werken inmiddels aan exit-routes — niet omdat ze dat graag willen, maar omdat ze geen alternatief meer voelen.

Het betaal-dilemma

De argumenten voor betalen zijn reëel. Als criminelen daadwerkelijk data vernietigen in ruil voor betaling, beperkt u de directe schade voor patiënten wier meest gevoelige gegevens op het spel staan. Een civiele procedure duurt jaren; Data op het darkweb zijn permanent.

De argumenten tegen zijn minstens even zwaar. Elke betaling financiert de volgende aanval op het volgende ziekenhuis. Geen "deletion certificate" van een crimineel collectief is verifieerbaar: TRM Labs documenteerde dat Embargo eerder zijn eigen affiliates oplichtte. Er is geen reden aan te nemen dat destructiebeloften betrouwbaarder zijn dan betalingsbeloften. Elke betaling normaliseert de businesscase van ransomware in de zorgsector.

Hackedemia's positie: de vraag is niet óf u betaalt, maar waarom u in die positie zit. Een leverancier met 76 procent marktaandeel en 360 miljoen euro cash heeft de middelen om weerbaarheid te bouwen. Dat dit niet is gebeurd, is de bestuurlijk relevante conclusie.

Beleidscontext

NIS2-meldplicht. De Nederlandse implementatie van NIS2 brengt de zorgsector onder de essentiële sectoren met een 24-uurs meldplicht voor significante incidenten en supply chain-vereisten voor kritische leveranciers. Een EPD-leverancier die drie weken nodig heeft om te bevestigen dat medische gegevens zijn buitgemaakt, voldoet niet aan de norm die NIS2 stelt. Bestuurdersaansprakelijkheid. NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders van essentiële entiteiten. "Wij wisten het niet" werkt niet meer als verweer. Bestuurders zijn verplicht aantoonbare kennis te hebben van de cybersecuritypositie van hun organisatie en kritische leveranciers — inclusief hun incidentrespons-procedures en meldtijdlijnen. DORA voor zorgverzekeraars. De Digital Operational Resilience Act geldt primair voor financiële instellingen, maar raakt zorgverzekeraars via de ICT-risicobeheervereisten voor derde partijen. De relatie tussen zorgverzekeraars en EPD-leveranciers is een directe testcase voor de supply chain-bepalingen van DORA. AVG: verwerker versus verantwoordelijke. ChipSoft is verwerker; de zorginstelling is verwerkingsverantwoordelijke. De 72-uurs meldplicht bij de AP rust op de instelling — ook als de breach bij de verwerker zat. Instellingen die pas weken na de aanval voldoende informatie kregen om hun melding in te dienen, staan juridisch kwetsbaar. De AP ontving meer dan 60 afzonderlijke meldingen: dat is precies hoe de AVG-structuur uitpakt bij een monopolistische leverancier die informatieverstrekking controleert.

Onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

Wat kunt u morgen doen?

  • 1Eis transparantie over ransomware-protocollen van uw kritieke ICT-leveranciers. Vraag elke leverancier van wie u operationele of patiëntengegevens beheert, schriftelijk om hun ransomware-protocol: Hoe snel wordt u geïnformeerd bij een incident? Wie onderhandelt er indien nodig? Wordt er een deletion certificate geboden? Als het antwoord onduidelijk is, ontbreekt er een essentiële contractuele en beleidsmatige laag.
  • 2Actualiseer uw DPIA's en risico-inventarisaties met concrete ransomware-scenario's. Voeg aan elke DPIA voor kritieke ICT-leveranciers een scenario toe waarin die leverancier wordt getroffen: Hoe beperkt u de schade? Wie neemt welke beslissingen en binnen welk tijdsbestek? Concrete antwoorden op concrete scenario's — geen generieke clausules.
  • 3Maak ransomware-risico een vast bestuurlijk thema, ongeacht of u direct bent getroffen. NIS2 maakt supply chain-cybersecurity een bestuurdersverantwoordelijkheid. Het gaat niet om de vraag óf u betaalt — dat is een illusie van keuze. Het gaat om de vraag: was uw leverancier voorbereid? En zo niet, wat doet u daar nu aan?
SLOTSOM

De ChipSoft-case is geen uitzondering. Het is een patroon. Een monopolistische leverancier met 76 procent marktaandeel, 360 miljoen euro cash en een winstmarge van 42 procent had de middelen om robuuste weerbaarheid op te bouwen. Dat dit niet is gebeurd, is geen technisch falen — het is bestuurlijk falen met patiëntdossiers als inzet.

De vraag is niet óf er losgeld is betaald. De vraag is waarom de organisatie die het meest gevoelige datatype van Nederlandse burgers beheert, niet beter voorbereid was. Ransomware is structurele kostenpost voor Critical Information Infrastructure Operators. NIS2 schrijft dat voor, maar handhaving blijft uit. Totdat een Dutch Hospital Group-bestuurder persoonlijk aansprakelijk wordt gesteld wegens nalatigheid in leveranciersbeheer, verandert er niets.

Hackedemia verwacht dat het volgende major incident in de zorgsector opnieuw een leverancier met vergelijkbaar marktaandeel zal treffen. De vraag is niet of, maar wanneer. En of u dan beter voorbereid bent dan ChipSoft.