ChipSoft, leverancier van elektronische patiëntendossiers voor ruim 70 procent van de Nederlandse ziekenhuizen, is vandaag getroffen door een ransomware-aanval. De website lag de hele dag plat. Getroffen systemen zijn HiX on premise, HiX SaaS, het SaaS Patiëntenportaal en de cloud-omgeving voor huisartsenpraktijken. ChipSoft heeft de eigen omgeving geïsoleerd en Z-CERT adviseert klanten de VPN-verbinding te verbreken. Grote klanten zoals het Erasmus MC en Medisch Spectrum Twente zeggen vooralsnog geen hinder te ondervinden. Wie achter de aanval zit is onbekend.

Wat zijn de risico’s?

Voor zorginstellingen is het voornaamste risico dat de malware via de VPN-verbinding hun eigen netwerk heeft bereikt. Voor patiënten is het risico dat data al buiten staat: bij moderne ransomware is datadiefstal vóór versleuteling standaard. Of dat hier het geval is, is nog onbekend.

De bredere context

ChipSoft heeft al jaren een problematische reputatie. De ACM constateerde structurele vendor lock-in, de documentaire “Dodelijke Zorg” legde een verband tussen HiX-fouten en patiëntsterfgevallen, en ziekenhuizen zitten contractueel vast met zwijgclausules. Die lock-in beschermt ChipSoft op korte termijn ook nu: klanten kunnen niet weg. Maar een aanval van deze omvang brengt nieuwe druk mee. Als patiëntdata is gelekt volgt een meldplicht bij de Autoriteit Persoonsgegevens, en onder NIS2 is het management persoonlijk aansprakelijk bij aantoonbare nalatigheid.

De vendor lock-in die ChipSoft zo winstgevend maakte, is vandaag ook het grootste risico voor de Nederlandse zorg.

Bronnen

Photo by Ty Tomlinson on Unsplash

A person in a hood leans against a dark wall with a red glowing heartbeat line graffiti.