Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware

ChipSoft, een leverancier van software voor elektronische patiëntendossiers, heeft te maken met een ransomwareaanval. De website van ChipSoft is al de hele dag niet bereikbaar en zorginstellingen krijgen het advies de vpn-verbinding te verbreken.

Z-Cert, het Nederlandse expertisecentrum voor digitale beveiliging in de zorg, adviseert klanten van ChipSoft om hun netwerkverkeer de komende tijd te monitoren. Dat blijkt uit een advies dat Tweakers heeft ingezien via diverse bronnen. De waarschuwing is vermoedelijk gegaan naar zorgleveranciers.

De aanvallers hebben onder meer controle over de cloudtenant van de software voor huisartsenpraktijken, zo blijkt uit de waarschuwing. "ChipSoft heeft de eigen omgeving geïsoleerd en adviseert om de vpn-verbinding naar ChipSoft te verbreken", aldus Z-Cert. Het expertisecentrum raadt aan om de netwerkverbinding de komende dagen te blijven monitoren op zoek naar afwijkend verkeer. De getroffen software is in elk geval HiX on premises, HiX SaaS en SaaS Patiëntenportaal gehost via ChipSoft, aldus Z-Cert.

ChipSoft is marktleider op het gebied van epd-software met een geschat marktaandeel boven 70 procent. Het bedrijf bevestigt de ransomwareaanval. "We hebben het in onderzoek", aldus Floor Waalkens van ChipSoft.

Voorbeeld Chipsoft HiX

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 07-04-2026 20:27
218 • submitter: Koffie

07-04-2026 • 20:27

218

Submitter: Koffie

Lees meer

gisteren

Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

116
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware Nieuws van 9 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026
NOS: Twee derde van belangrijke Nederlandse domeinnamen gebruikt VS-cloud
NOS: Twee derde van belangrijke Nederlandse domeinnamen gebruikt VS-cloud Nieuws van 25 januari 2026
Albert Schweitzer-ziekenhuis wiste per ongeluk bestanden van 200.000 patiënten
Albert Schweitzer-ziekenhuis wiste per ongeluk bestanden van 200.000 patiënten Nieuws van 21 maart 2022
Diverse ziekenhuizen hebben ict-storing door onbekende oorzaak - update
Diverse ziekenhuizen hebben ict-storing door onbekende oorzaak - update Nieuws van 8 oktober 2020
Tientallen medewerkers Haags ziekenhuis bekeken medisch dossier van bn'er
Tientallen medewerkers Haags ziekenhuis bekeken medisch dossier van bn'er Nieuws van 5 april 2018
Meer producten en artikelen
Software Epd Nederland Zorgstelsel

Reacties (218)

-Moderatie-faq
218
216
121
13
2
74
Wijzig sortering

Sorteer op:

Weergave:
GJ007 8 april 2026 19:59
Net vers binnen


BERICHT VAN CHIPSOFT

Onderwerp: Belangrijk: ransomware-incident

Geachte heer/mevrouw,

Zoals gisteren bekend is gemaakt, is ChipSoft slachtoffer geworden van een ransomware-incident.

Wij streven ernaar u zo goed mogelijk op de hoogte te houden van het verloop van het incident en wat dit eventueel betekent voor uw bedrijfsvoering. Met dit bericht informeren wij u over de huidige status.

Welke maatregelen hebben wij genomen?

Na ontdekking van het ransomware-incident hebben wij direct stappen ondernomen om eventuele (verdere) toegang tot onze interne systemen te blokkeren en heeft het Security-team van ChipSoft een analyse uitgevoerd. We realiseren ons de korte termijn, maar uit voorzorg worden de verbindingen met Zorgportaal, HiX Mobile (alle apps) (HAS Relay) en Zorgplatform uitgeschakeld. Hierdoor zullen deze systemen niet meer beschikbaar zijn vanaf 20.00 uur vanavond. Wij beginnen daarna direct met het opnieuw online brengen van de nieuwe HAS Relay en Zorgplatform met nieuwe sleutels. Er zal contact met u worden gelegd zodra de systemen (HAS / Comez) kunnen worden voorzien van de nieuwe sleutel, zodat de platformen weer geactiveerd kunnen worden.

We beginnen morgenochtend met een Task Force aan de uitrol van die nieuwe sleutels. Er wordt hard gewerkt aan een planning en zodra iets bekend is over de tijdlijnen dan laten we u dat weten.

Wij hebben gespecialiseerde cybersecurity-experts ingeschakeld voor diepgaand forensisch onderzoek. De security experts monitoren ook nauwlettend hoe de situatie zich verder ontwikkelt.

Welke maatregelen dient u te nemen?

De algemene ChipSoft beheeraccounts en persoonlijke beheeraccounts van onze consultants op uw systeem dienen te worden gedisabled en te worden voorzien van een nieuw wachtwoord.

Ook vragen wij u geen nieuwe hotfix meer te installeren.

Assistentie en ondersteuning door ChipSoft

We begrijpen dat de bereikbaarheid op dit moment niet is wat u van ons gewend bent. Dat komt doordat wij alle zeilen bijzetten om het incident te onderzoeken en de impact zoveel mogelijk te beperken. Daarnaast doen wij er alles aan om de dienstverlening zo snel mogelijk te herstellen en u weer de service te bieden die u van ons mag verwachten.

Om onze support gedegen voort te zetten, zijn onze Accountmanagement- en Support teams samengevoegd. Daarmee verbetert ook onze bereikbaarheid. Als uitgangspunt geldt echter dat u steeds zo snel mogelijk proactief wordt benaderd; zodra wij meer informatie hebben die voor u relevant is, dan laten we u dat weten.

Forensisch onderzoek kost tijd, ongeacht hoeveel experts worden betrokken. We geven u in elk geval morgen voor 13.00 uur een nieuwe update. Mocht u in de tussentijd toch prangende vragen hebben, dan kunt u deze richten aan communicatie@chipsoft.com.

Tot slot blijven wij benadrukken dat het privacybelang gerelateerd aan onze klanten en hun data onze absolute prioriteit is. Vanuit die achtergrond steken wij ook het onderzoek in, en staat het beperken van enige nadelige gevolgen van dit ransomware-incident voorop.

Met vriendelijke groet,

ChipSoft
Reageer
jantjegroen00 7 april 2026 21:39
Als je als bedrijf zelf slachtoffer bent van ransomware, wat weet ik het hoeveel Site-to-Site VPNs heeft naar ziekenhuizen dan zet je die toch allemaal aan jouw kant uit of mis ik wat.

Als het puur voor beheer is zou dit geen enkele impact moeten hebben op de ziekenhuizen zelf en zo gooi de sluizen alvast dicht.
Reageer
Karel Anjer @jantjegroen007 april 2026 22:35
De systemen bij Chipsoft zijn een zooitje: dev machines die rechtstreeks van internet dingen installeren, zonder enig toezicht en diezelfde machines kunnen gewoon verbinding met prod maken. Geen enkele vorm van segmentatie. Dus reken er maar op dat ze geen enkele controle meer hadden over de systemen. Het is een wonder dat dit nu pas gebeurt.

Werknemers konden bij aankomst vanmorgen al niet werken. De opperchef is al flink seniel met 0 kennis van de huidige ICT wereld en dacht “dat het vanmiddag wel opgelost zou zijn”. Iedereen moest daarom de hele dag op kantoor blijven (want thuiswerken is ook illegaal daar). En morgen ook gewoon naar kantoor komen trouwens.

Ik heb er 0 vertrouwen in dat de backups op orde zijn, de enige opties zijn betalen en bidden. Ik gun het dit nare bedrijf (en vooral de eigenaar), maar weet dat vooral de zorg, de patiënten, en wij als belastingbetaler de echte klos gaan zijn in dit verhaal. Meneer Gerrit blijft gewoon met z’n porem in de Quote 500 staan.

/rant

[Reactie gewijzigd door Karel Anjer op 7 april 2026 22:41]

Reageer
edwinjm @Karel Anjer7 april 2026 23:36
Voor wie zich afvraagt waarom Karel zo rant, moet deze documentaire eens bekijken. Ik heb er stage gelopen en het is in het echt ook een heel naar bedrijf.

Documentaire - Dodelijke zorg. (2Doc)
Reageer
CreatiXx @edwinjm8 april 2026 10:23
Zet anders deze URL er ook bij of in de plek, hier kunnen mensen het rechtstreeks bekijken bij NPO (en betere kwaliteit : NPO -> 1080p, YouTube -> 480p)

https://npo.nl/start/afspelen/dodelijke-zorg
Reageer
tp2 @edwinjm8 april 2026 01:39
Ik heb deze docu gekeken. ChipSoft is minstens zo crimineel als de hackers.

Normaliter zeg ik: niet betalen. Maar hier zeg ik: "Laat de hackers maar €700M eisen van ChipSoft". Wat een ratten.
Reageer
increddibelly @tp28 april 2026 07:57
de pest is dat Chipsoft geen enkele gewetensbezwaren heeft om die kosten keihard door te berekenen aan hun klanten bij de eerstvolgende "update". zorg interesseert ze geen hol, je moet ze geld betalen of je moet kapot.
Reageer
MajorDisaster @increddibelly8 april 2026 09:59
Klopt er zal geen cent van ChipSoft gaan naar de verbeteringen, dat wordt allemaal keurig gefactureerd aan de zorginstellingen, die wij allemaal uiteindelijk ophoesten.

Ik heb ze negen jaar geleden al eens geattendeerd op een 0day in HiX en het feit dat het opslaan van de wachtwoorden van de gebruikers middels een salt en een XOR in de database geen goed idee was.

Geen dankjewel of iets, maar rants en dreigementen in de bestuurskamers. De oorspronkelijke bug stilletjes 'geplakt', maar het fundament HiX is nog zo lek als een mandje en de 0days die er nog inzitten hou ik voor mezelf en niet om de bankrekening van Gerrit verder te spekken.
Reageer
HakanX @edwinjm8 april 2026 05:04
Wow ik zit pas paar minuten in het filmpje en ik hoop nu al dat Chipsoft keihard onderuit gaat en een verantwoord bedrijf de boel kan overnemen. Ze hebben het meest basale gewoon niet in orde waardoor mensen dood gaan, welke dus "simpel" gered hadden kunnen worden.
Reageer
Fronkie @HakanX8 april 2026 10:35
Als ze "het meest basale" al niet in orde hebben, welk bedrijf zou dan een systeem dat in de brand staat willen overnemen en fixen?
Reageer
bzuidgeest
@Fronkie8 april 2026 10:47
Een bedrijf dat al iets beters heeft en geïnteresseerd is in de klanten portefeuille en het markt aandeel.

Je koopt ze. Vaagt de software en het personeel uit en zet jou spullen er voor in de plaats. Kan lucratief zijn.
Reageer
svenslootweg @bzuidgeest8 april 2026 12:21
Ik betwijfel of (het grootste deel van) het personeel het probleem is, ik verwacht eerder dat het bij de managementlaag ligt. Dat is meestal het geval bij dit soort wanpraktijken.
Reageer
bzuidgeest
@svenslootweg8 april 2026 13:28
Dat is totaal niet waar ik het over heb. Ik reageer op de vraag waarom iemand dat bedrijf zou willen kopen. Waar het probleem ligt is niet relevant voor die vraag. De klanten is waarom je het bedrijf zou kopen.
Reageer
svenslootweg @bzuidgeest9 april 2026 16:48
Ah, excuus, ik begreep je verkeerd. Ik dacht dat je 'personeel vervangen' bedoelde als manier om de brand te blussen, zogezegd.
Reageer
bzuidgeest
@svenslootweg9 april 2026 16:53
Nee, ik noemde het als iets dat gebruikelijk is bij overnames die puur om het klantenbestand gaan. Maar het word ook wel gedaan om rotte appels in een keer kwijt te zijn bij een overname. De personen die je wil houden bied je dan een nieuw beter contract aan.
Reageer
mexmen2 @edwinjm8 april 2026 10:43
zo een echte eye-opener die documentaire!
Reageer
Karel Anjer @edwinjm8 april 2026 12:07
Thanks, goede toevoeging voor context inderdaad.

Pas maar op dat meneer Mulder je personeelsdossier niet opzoekt want hij komt graag persoonlijk langs om je cavia dood te knuppelen als je je negatief uit durft te laten.
Reageer
edwinjm @Karel Anjer8 april 2026 21:53
Haha. Buigen voor autoritair gedrag deed ik toen niet (tot ergernis van Mulder) en doe ik ook nu niet.
Reageer
gpon @edwinjm8 april 2026 01:11
Trouwens, de website van Chipsoft is al uren offline.
Reageer
Cilph @Karel Anjer8 april 2026 00:12
Hahahaha. Ik heb ervaringen met ze. Ik achtte het niveau al niet erg hoog maar ik dacht laat ik de schokkende anecdotes nog maar niet posten.

Ben wel benieuwd naar hun NEN 7510 cert. Isolatie van netwerken en zero trust zit in Annex A, alsmede management training op ICT kennis. Weliswaar de nieuwste versie maar dat moet geen verrassing zijn geweest.

[Reactie gewijzigd door Cilph op 8 april 2026 00:19]

Reageer
hulseman @Cilph8 april 2026 00:28
NEN7510 of ISO 27001 vertellen je niet of je goed bent beveiligd. Daarnaast stel je zelf samen wat je wilt opnemen in je beleid. Of te wel: het zegt echt niets of er een lek zit in je software of je interne beveiliging op orde hebt.
Reageer
Cilph @hulseman8 april 2026 00:40
Het is absoluut geen garantie maar het zou wel moeten zeggen dat je er op zijn minst over nagedacht hebt. Als je alle maatregelen uitsluit gaat niemand je serieus nemen. Iedere computer verbinden aan productie is wel zo'n enorme basic fout, daar gaan gewoon fundamenteel al dingen mis. Gelukkig wist iemand nog Z-CERT te bellen...

[Reactie gewijzigd door Cilph op 8 april 2026 00:44]

Reageer
Skywalker27 @hulseman8 april 2026 08:29
Nee maar wel of je je controls op orde hebt waar mee de problemen aan het ligt komen maar ja aan het einde van de rit kan iemand het risico gewoon accepteren natuurlijk.
Reageer
Robotx777 @Cilph8 april 2026 08:29
De netwerken zijn ook gescheiden. Ze hebben het WAN en het LAN
Reageer
Snow_King @Karel Anjer8 april 2026 06:47
Dit is toch gewoon het pure kapitalisme? Ik sta er totaal niet van te kijken. Kapitalisme klinkt op papier leuk, concurrentie enzo. In de IT-wereld werkt het gewoon niet goed, je kan er te snel mee schalen en macht mee verkrijgen.

Dat zien we niet alleen hier, maar op veel plekken. Over de gehele wereld krijgen tech bedrijven te veel macht.
Reageer
bzuidgeest
@Snow_King8 april 2026 10:51
Dat licht er maar aan wat je puur kapitalisme vind. Kapitalisme als systeem is niet zonder regels. Het is juist heel belangrijk in echt kapitalisme om regels te hebben. Regels om de markt gezond te houden. En dingen als monopolies en oplichting en wat al niet zijn allemaal schadelijk voor de markt en dus onwenselijk.

Wat mensen vaak kapitalisme noemen is eigenlijk iets heel anders. Ongereguleerde Winst jagerij ten koste van alles. Maar dat is eigenlijk niet kapitalisme. Kapitalisme is ook niet tegen "groen" bijvoorbeeld. Want groen en kunnen leven op deze wereld heeft waarde en die omgeving schaden heeft een hoge prijs in een gezonde markt.
Reageer
svenslootweg @bzuidgeest8 april 2026 12:31
Ik ben bang dat je hier echt een te positief beeld van kapitalisme hebt, en het ziet als een economisch systeem, maar dat is het niet. Kapitalisme is een ideologie, precies zoals socialisme ook een ideologie is. En specifiek is de ideologie van het kapitalisme (net zoals die van bijvoorbeeld het monarchisme) een hierarchische ideologie; eentje waar je mensen 'bovenaan' en 'onderaan' hebt, en het geloof is dat als de mensen 'bovenaan' naar eigenbelang streven, dat dat dan een positieve uitwerking heeft op de hele maatschappij (wederom, net zoals bij monarchisme).

Daar zitten een paar belangrijke aannames in die niet blijken te kloppen, zoals het idee dat eigenbelang najagen wel moet leiden tot maatschappelijk belang omdat je door de maatschappij uitgekotst wordt als je je eigenbelang ten koste van dat van de maatschappij laat komen, en je dan zelf ook dingen kwijtraakt. In de praktijk werkt het niet zo, want wat in dit geloof niet meegenomen wordt is het machtsverschil en hoe dat zichzelf versterkt. Het idee dat 'er wel regels moeten zijn' is dan ook een soort van ideologische 'hotpatch' voor die oversight, die probeert om de schade te beperken maar nooit het onderliggende ideologische geloof in twijfel trekt, ondanks dat dat dus nooit geklopt heeft.

Die pogingen tot 'gereguleerd kapitalisme' komen dan ook voornamelijk van de ideologische groepen die zelf niet zoveel op hebben met het geloof achter kapitalisme, maar ook niet bereid zijn om het helemaal af te schrijven, en dus een soort van middenweg proberen te vinden (maar dat is eigenlijk vechten tegen de bierkaai). Als je regelmatig met mensen praat die zichzelf ook echt als kapitalist zien en dus uitdrukkelijk de ideologie aanhangen, dan hoor je over die regulering ineens helemaal niets meer en gaat het alleen maar over winstmaximalisatie.

Dus ja, het klopt dat kapitalisme gelijk stukgaat zonder regels. Maar dat komt niet omdat mensen niet snappen wat 'kapitalisme' betekent, maar omdat kapitalisme een ideologisch geloof is dat fundamenteel niet klopt, en omdat mensen die er niet zo diep inzitten zich dat realiseerden en hebben geprobeerd om de maatschappij nog enigszins functioneel te houden.
Reageer
bzuidgeest
@svenslootweg8 april 2026 13:37
Ik denk dat jij en andere mensen er te veel bij verzonnen hebben dat niet noodzakelijk iets met kapitalisme als principe te maken heeft.

zie voor een redelijk simpel overzicht Wikipedia: Capitalism

Daar vind je ook deze regel:
economist and historian Robert Hessen stated that the term "capitalism" itself is a term of disparagement and a misnomer for economic individualism

Ik denk dat wat jij omschrijft eerder val onder economic Individualism of een van de andere varianten.
Er is ook niets mis met een hiërarchie. De natuur zit er vol mee. Tenminste als je even negeert dat de grootste jongen in de natuur, neergebracht kan worden door de allerkleinsten ofwel ziektes. Maar laten we het niet complexer maken dan nodig.

Die belangrijke aannames hebben wat mij betreft weinig te maken met kapitalisme als manier van doen. Ik denk dat dit er juist niet in hoort. En dat mensen die beweren dat ze kapitalisten zijn, eigenlijk geen kapitalisten zijn. Of anders op zijn hoogst in de zin dat ze kapitaal hebben. Maar er is meer aan dan dat.
Reageer
svenslootweg @bzuidgeest9 april 2026 16:53
Ik denk niet dat dit de juiste plek is om een discussie te hebben over of er "iets mis is" met het een of het ander, eerlijk gezegd. Daar heb ik ook wel mijn meningen over, maar dat gaat ongetwijfeld volledig uit de richting van het artikel-onderwerp schieten, en daar heeft niemand anders wat aan denk ik.

Waar het mij om gaat is wat het is, en dan niet volgens een definitie van een enkele specifieke bron (want dan beland je al snel in het kersenplukken, om het maar even slecht te vertalen), maar op basis van de aanhang en hoe die ernaar kijken in de praktijk; uiteindelijk worden dingen toch gedefinieerd door de realiteit. Dat is dan ook iets waar ik me al jarenlang sterk in verdiep, en aan een WIkipedia-overzichtje heb ik dus niet echt iets.
Reageer
bzuidgeest
@svenslootweg9 april 2026 16:55
Dat is prima, laten we het toch hierbij. Fijne avond.
Reageer
svenslootweg @bzuidgeest9 april 2026 17:07
Jij ook :)
Reageer
Petje_Kroketje @Snow_King8 april 2026 14:44
Dit is dus GEEN kapitalisme, aangezien er hier sprake is van een (bijna) monopolist.
Reageer
useruser @jantjegroen007 april 2026 22:19
Dankjewel, dit vroeg ik mijzelf ook al af. Waarom adviseren aan iedereen om de verbinding met jouw netwerk te verbreken en niet zelf dichtzetten?
Reageer
Ruben279 @useruser7 april 2026 22:24
In principe kan je de gehele IT omgeving van Chipsoft niet meer vertrouwen. Dus misschien is hun VPN concentrator ook wel gecompromitteerd. Als de beheerders aan de Chipsoft kant dan de tunnels op disabled zetten zou dit weer aangezet kunnen worden.

Als de klant de tunnel dichtzet weet je zeker dat het niet meer gaat werken.
Reageer
tp2 @useruser8 april 2026 00:01
Ik gok dat ze ook niet meer bij de beheersystemen kunnen.

En tegenwoordig is alles gevirtualiseerd in Amerikaanse datacenters, dus even een stekker fysiek uit een appliance trekken zoals vroeger kan ook niet meer.
Reageer
Korvaag @jantjegroen007 april 2026 21:56
Dan moeten ze er nog wel bij kunnen. Als je geen toegang meer tot je systemen hebt OM het uit te zetten dan wordt het vrij lastig.
Reageer
bytemaster460 @jantjegroen007 april 2026 22:51
Ik denk dat dat een principieel verzoek is. Ze zullen zeker zelf ook actie ondernemen, maar hun systemen zijn onbetrouwbaar geworden. Dan is het niet verkeerd om je klanten te vragen om van hun kant actief de verbindingen te verbreken.
Reageer
Sebastian1313 @jantjegroen008 april 2026 05:30
De kans is inderdaad groot dat wij veel informatie missen. We hebben totaal geen informatie en overzicht voor een juiste analyse.
Reageer
CH4OS @jantjegroen008 april 2026 08:20
Een zorginstelling heeft als er niks mis is, controle over de eigen kant van de VPN, wellicht is dat niet zo bij ChipSoft nu dit gaande is, het kan in elk geval niet vertrouwd worden momenteel. De cyberaanval is immers gebaad bij een zo groot mogelijk olieveld. Men is en blijft, mag ik hopen althans, bewaker van eigen fort. ;)

[Reactie gewijzigd door CH4OS op 8 april 2026 08:32]

Reageer
hhoekstra 7 april 2026 20:38
Totaal geen communicatie vanuit Chipsoft. Z-cert heeft de berichtgeving pas laat in middag de deur uit gestuurd.

Vaak hebben ziekenhuizen een site to site vpn waarbij deze ook mogelijke toegang kunnen hebben richting de database.

Communicatie had prio 1 in deze moeten zijn.
Reageer
Koffie @hhoekstra7 april 2026 20:39
Om 21:00 zou er communicatie komen
Reageer
fopspeen @Koffie8 april 2026 07:36
@Cilph Deze communicatie is gisteravond nog gekomen:

Geachte heer/mevrouw,

Zeer recentelijk zijn wij op de hoogte geraakt van een mogelijk data-incident binnen onze organisatie, ChipSoft B.V. (“ChipSoft”). Persoonsgegevens die wij voor u als klant verwerken zijn waarschijnlijk niet betrokken bij dit data-incident.

Ondanks dat de persoonsgegevens die wij voor u als klant verwerken niet bij het data-incident zijn betrokken, streven ernaar u zo goed mogelijk op de hoogte te houden van het verloop van het incident en wat dit eventueel betekent voor uw bedrijfsvoering. Op dit moment lijkt het data-incident geen effect te hebben op het aanbieden van de zorg.

**Welke maatregelen hebben wij genomen? **
ChipSoft heeft na ontdekking van het data-incident direct stappen uitgevoerd om eventuele (verdere) toegang tot onze systemen te blokkeren. Op dit moment zet ChipSoft alle redelijke middelen in die technisch en organisatorisch mogelijk zijn om enige nadelige gevolgen te beperken. Het data-incident wordt nauwgezet gemonitord.

*Assistentie en medewerking door ChipSoft*
Ondanks dat de persoonsgegevens die wij voor u als klant verwerken waarschijnlijk niet betrokken zijn bij het onderhavige data-incident, wijzen wij op het volgende. Onder de Algemene verordening gegevensbescherming (AVG) heeft ChipSoft de positie van verwerker en heeft u, als klant, de positie van verwerkingsverantwoordelijke. Dit houdt in dat de verantwoordelijkheid voor een eventuele melding, zoals bij de Autoriteit Persoonsgegevens, bij u ligt. ChipSoft staat volledig tot uw beschikking om alle assistentie en medewerking te verlenen om u hierbij te ondersteunen. Eventuele vragen kunt u dan ook richten tot communicatie@chipsoft.com.

We begrijpen dat de bereikbaarheid en support van ChipSoft op dit moment niet is wat u van ons gewend bent. ChipSoft doet er alles aan om de dienstverlening zo snel mogelijk te herstellen en u weer de service te bieden die u van ons mag verwachten.

*Belang ChipSoft*
Het privacybelang van onze klanten en hun data weegt zwaar. Zoals gezegd, heeft het onderzoek en beperken van enige nadelige gevolgen van het onderhavige data-incident onze absolute prioriteit.

Met vriendelijke groet,
ChipSoft
Reageer
Koffie @fopspeen8 april 2026 08:17
Ja die krijgen we gisteravond ook, wat een wanstaltig stukje communicatie. Zelfs Odido deed het nog beter.
Reageer
fopspeen @Koffie8 april 2026 08:41
Je hebt helemaal gelijk. De gehele communicatie met ChipSoft is belabberd. Wij krijgen als ziekenhuis het gevoel dat ze de kaken stijf op elkaar houden. Erg veel communicatie en duidelijkheid komt er totaal niet. Qua vertrouwen heeft dat een flinke deuk opgelopen in ieder geval.
Reageer
mexmen2 @fopspeen8 april 2026 10:53
Nu ik de 2DOC documentaire die @edwinjm deelde in deze comments verbaast mij de communicatie helemaal niks. Maar de arrogantie en het verschuiven van verantwoordelijkheid blijft verbijsterend op persoonlijk niveau. 🤯
Reageer
HDoc @fopspeen8 april 2026 10:42
Dit is een tekst die heel duidelijk door een advocaat is opgesteld danwel geredigeerd.
Reageer
CPM @fopspeen8 april 2026 15:47
Onder de Algemene verordening gegevensbescherming (AVG) heeft ChipSoft de positie van verwerker en heeft u, als klant, de positie van verwerkingsverantwoordelijke. Dit houdt in dat de verantwoordelijkheid voor een eventuele melding, zoals bij de Autoriteit Persoonsgegevens, bij u ligt.

Ik zou er meteen een advocaat op zetten en alle verantwoordelijkheden uit het contract met ChipSoft laten destilleren. Als je op deze wijze naar je klanten gaat communiceren (Goh ChipSoft) ben je echt een hork. Dit had zoveel klantvriendelijker kunnen zijn.

Daarnaast, wat moet de klant melden dan als ze niet weten wat het incident behelst.

[Reactie gewijzigd door CPM op 8 april 2026 15:48]

Reageer
Cyberpuppy @CPM8 april 2026 16:33
In de 2e alinea zijn er geen gegevens gelekt. In alinea 4 zijn ze magisch opeens, waarschijnlijk niet gelekt.

Meldplicht is voor mij ook niet heel erg duidelijk, Kijk in principe weet je niet altijd of er een hacker in je systeem zit. Dus in principe zou je iedere dag een datalek kunnen melden, want er is een theoretische mogelijkheid dat er iemand in je systeem zit die nog niet is gedetecteerd.

Meer praktisch is het wellicht een goed idee om die melding in ieder geval alvast te doen. Mag je daarna Chipsoft onder druk zetten om duideijkheid te leveren.
Reageer
Cilph @Koffie7 april 2026 20:58
Waar kan ik deze communicatie vinden, als je dat weet?
Reageer
Koffie @Cilph7 april 2026 21:01
per mail, naar het schijnt.
Reageer
Phrenesis @Koffie7 april 2026 20:47
Veel te laat. Voor de lunch waren er al geruchten en daarop hebben wij de VPN en chipsoft accounts dichtgezet.
Reageer
Robbierut4 @Phrenesis7 april 2026 21:06
Waar heb je die geruchten vandaan dan?
Reageer
Cilph @Robbierut47 april 2026 21:08
Roddelend personeel? Ik had zelf vandaag ook rare dingen opgemerkt (onbereikbare acceptatie), maar was nog niet tot die conclusie gekomen.
Reageer
keverjeroen @Cilph7 april 2026 21:37
Belangrijke systemen uitschakelen door roddelend personeel?
Reageer
Cilph @keverjeroen7 april 2026 21:40
...roddelend personeel dat externen hint dat er iets aan de hand is?
Reageer
increddibelly @Cilph8 april 2026 08:00
hoewel niet netjes om te roddelen, wel netjes dat er IETS gecommuniceerd wordt en dat er nog IEMAND zich druk maakt over de echte klanten achter de klanten.
Reageer
Pasteis @hhoekstra7 april 2026 20:47
Als een bedrijf niet communiceert is dat vaak een teken dat ze het totaal niet onder de controle hebben en intern in paniek zijn.

Alhoewel ik het eens bent…. Je had per direct moeten communiceren.
Reageer
Majhool @Pasteis7 april 2026 20:54
Of NCSC (oid) heeft gevraagd te wachten tot na het 20h00 journaal, om onrust bij patiënten te voorkomen en de nacht te kunnen gebruiken om in-control te komen.
Reageer
fschuurman68 @Majhool8 april 2026 04:51
Dat is niet het type advies dat het NCSC geeft.
Reageer
Majhool @fschuurman688 april 2026 13:01
oid wel. Maar als de openbare orde of vitale belangen in het geding zijn, dan kan ik met voorstellen dat er een ongevraagd advies wordt uitgebracht vanuit Den Haag naar de directie van een bedrijf.
Reageer
CPM @Pasteis7 april 2026 21:55
Dus zodra een SoC een melding krijgt moeten ze dat meteen publiekelijk maken? Geen directe communicatie is vaak een teken van rust bewaren, onderzoeken, impact bepalen, plan maken, actie ondernemen en communicatie opstellen.

Daarmee wil ik niet de actie van ChipSoft beoordelen, voor mij is het te vroeg om hier iets zinnigs over te zeggen. En volgens mij presenteer jij een mening (paniek) als een feit. Je zit immers niet bij ChipSoft binnen.

[Reactie gewijzigd door CPM op 7 april 2026 22:01]

Reageer
DaanR. @CPM8 april 2026 15:26
Publiekelijk maken of je klanten direct inlichten is een groot verschil
Reageer
CPM @DaanR.8 april 2026 15:40
Nee dat is het niet. Als je een beetje goed zoekt (Reddit) dan zie je dat het juist de klanten zijn die het publiek maken.

Maar ik begrijp je opmerking. Ik reageerde op een andere post waar iemand stelt dat geen communicatie gelijk staat aan interne paniek. Dat kan die persoon niet beoordelen aangezien hij niet intern betrokken is bij ChipSoft. Dus hij roept maar wat.

[Reactie gewijzigd door CPM op 8 april 2026 15:41]

Reageer
Sircuri @hhoekstra7 april 2026 21:53
Maar hopen dat het zich niet kan verspreiden via het E-Zorg netwerk.
Reageer
Ruben279 @Sircuri7 april 2026 22:00
Dat is een Goed Beheerd Zorgnetwerk, totdat 1 partij een foutje maakt ;)
Reageer
Lu-Tze @hhoekstra7 april 2026 20:40
Mee eens, VPN al rond de lunch uitgezet bij totaal geen info vanuit CS - ook gewoon niet te bereiken.
Reageer
mutsje @hhoekstra7 april 2026 21:14
Heb al enorm veel lopen communiceren naar andere collega's en die hebben via NCSC gelijk advies gekregen vpn verbindingen dicht te zetten. Waar ik werk was het al afgesloten, word spannende tijd want wat is er binnen gehaald en hoe verder? Je kan niet even 123 migreren naar iets anders wat ook paniekvoetbal zou zijn.
Reageer
-Colossalman- @hhoekstra7 april 2026 21:26
Communicatie is al wel eerder geweest, 18.00uur stonden de vpn'*s hier dicht. Anders ziekenhuis had zelfs al eerder de vpn down.
Reageer
Pasteis 7 april 2026 20:50
Dit wordt de nieuwe realiteit in IT. Aanvallen zullen de komende jaren intensiveren. Dat gaat heel wat vragen in het ontwerp van je landschap. Er altijd van uit gaan dat het mis kan gaan en daar op acteren. Dan moet je daarnaast nog een balans zoeken tussen wat werkbaar blijft en veilig is.
Reageer
tp2 @Pasteis8 april 2026 00:20
100% eens.

Recent nog een discussie met een leverancier van boekhoudsoftware. Dat gaat ook allemaal naar de cloud. Als die door ransomware getroffen worden kan geen van hun klanten nog bij de financiële administratie.

Met on-premise oplossingen voorkom je zo'n enorme impact, klanten kunnen dan nog bij hun eigen financiële administratie.

Hier zou ook wel wat meer wetgeving op mogen komen. Leveranciers van boekhoudsoftware zijn onder de NIS2/Cbw niet als vitaal aangemerkt. En dat zou terecht zijn als hun klanten on-premise werken. Maar als er tienduizenden klanten gelijktijdig hun BTW-aangiste niet kunnen doen, is er toch een serieus probleem.

[Reactie gewijzigd door tp2 op 8 april 2026 00:23]

Reageer
GMJansen @tp28 april 2026 01:20
Dat is maar zeer de vraag of je bij een onprem oplossing nog verder kan.

Vaak zijn er automatische updates met de fabrikant. Tja.

En ook al is die er niet en moet je zelf op die knop drukken. Wie zegt dat er bij die vorige update niks meegekomen is?
Reageer
bzuidgeest
@tp28 april 2026 10:52
on-premise komt met zijn eigen nadelen. Zoals elke oplossing. Uiteindelijk gaan de kosten naar de klanten.
Reageer
Maardiweb @tp28 april 2026 10:53
In het nieuwsbericht staat dat de instanties die Hix on premise draaien ook getroffen zijn. Hoe werkt zoiets dan? Ik heb er beperkt verstand van, maar dacht juist dat oplossingen die je zelf host minder vatbaar zouden zijn voor dit soort grootschalige hacks. Jij lijkt dit ook te bevestigen in je bericht door te stellen dat on-premise oplossingen zo'n impact voorkomen, maar kennelijk hebben de ziekenhuizen die on-premise draaien hier wel last van?
Reageer
RoestVrijStaal @Pasteis7 april 2026 20:53
Misschien ook nog de vraag of alle procedures wel digitaal moeten.
Reageer
Sissors @RoestVrijStaal7 april 2026 22:00
Dat is dus ook de keuze tussen werkbaar en veilig. Alles handgeschreven doen is veilig tegen digitale aanvallen. Of het werkbaar is, en hoeveel extra fouten dat weer gaat introduceren, dat is wel de vraag.
Reageer
William_H @Sissors7 april 2026 22:35
We hadden ooit ook de digitale typemachine. Niet bij iedereen bekend blijkbaar, maar dat zou een tussenvorm kunnen zijn.
Reageer
Sissors @William_H7 april 2026 22:41
Daarmee los je het handschrift probleem op, maar alsnog, hoe verschrikkelijk veel productiviteit gaan we verliezen en hoeveel meer fouten worden er gemaakt als je op die manier gaat werken? Ik vind het verrekte handig dat een arts gewoon alle informatie over mij bij de hand heeft, en niet dat eerst iemand de archieven in moet gaan.
Reageer
William_H @Sissors7 april 2026 22:46
Dat ben ik met je eens. Productiviteit gaat inderdaad verloren. Maar de tweakers-neiging die wij vaak hebben is te denken dat voor de computer er geen wereld bestond die functioneerde. Ook toen gingen zaken goed, ook toen werden patiënten gered in noodsituaties. Ook toen werden er fouten gemaakt, maar die worden vandaag de dag met alle digitale dossiers die er zijn nog steeds gemaakt.
Het enige wat tegenwoordig niet meer kan is dat ze je dossier kwijt zijn..... Oh wacht, hopelijk is de backup goed, kan hij teruggezet worden, en vanaf wanneer zaten de criminelen in de systemen?? 8)7
Reageer
_Eend_ @William_H8 april 2026 10:36
Het is wel meer dan 'alleen' dossiers kwijtraken. Aanvragen duren ineens veel langer. Een simpele bloedtest aanvragen kost je dan al snwl een half uur: arts moet het aanvraagformulier invullen, een verpleegkundige/assistent moet het formulier naar het lab brengen, labmedewerker moet dan met karretje naar de afdeling rijden, bloed afnemen, buisje naar het lab brengen, en dan moet de uitslag telefonisch en op papier naar de aanvragende arts gestuurd worden.

Dossiers zijn nog veel lastiger. En vaak nog veel erger dan het verlies aan productiviteit, want wat als die ene uitslag van het lab nog niet in het dossier zit van een patient op het moment dat de arts een bepaald medicijn voorschrijft? Dat kan levensgevaarlijk zijn.

Wij houden elk jaar een grote oefening waarbij (een deel van) de IT 'uitvalt'. Ik noem dit ook wel IT Appreciation Day, want vrijwel iedereen in een wit pak heeft veel meer gelopen dan normaal, maar ook veel minder werk gedaan.
Reageer
William_H @_Eend_9 april 2026 13:02
Daar was "vroeger" een mooi systeem voor, genaamd buizenpost ;)
Reageer
_Eend_ @William_H10 april 2026 06:13
Klopt, en buizenpost hebben we nog steeds. Maar dat lost het probleem niet op. Je zit nog steeds met papier te werken. Of dat nou per medewerker, per buizenpost of per postduif gaat maakt in het hele proces niet eens zo heel veel uit qua tijd. Het is allemaal handmatig werk, dat is gewoon veel langzamer en foutgevoeliger.
Reageer
coolkil @RoestVrijStaal7 april 2026 21:23
mij best hoor met mijn hanenpoten handschrift gaat het invullen van formulieren vast veel efficiënter en foutloos als het op papier is…

Over afhankelijk zijn van techniek is een probleem maar of het analoog zoveel beter is vraag ik me af.
Reageer
Pasteis @coolkil8 april 2026 06:57
mij best hoor met mijn hanenpoten handschrift gaat het invullen van formulieren vast veel efficiënter en foutloos als het op papier is…

Over afhankelijk zijn van techniek is een probleem maar of het analoog zoveel beter is vraag ik me af.
Nee, dat geloof ik niet, maar op sommige vlakken vind ik dat we wel heel snel elektrificeren en automatiseren en daarmee afhankelijk zijn van IT en technologie... soort van "omdat het kan". Alleen we leven nu in een tijdperk dat we een vertragende factor in het spel hebben.... elektriciteit! Wat als we elektriciteitsuitval krijgen? Ik vrees dat er dan al aardig snel wat paniek ontstaat in ons land, omdat we het niet gewend zijn en van scherm naar scherm hobbelen.

Met hacken is het niet anders. Waar je voorheen fysiek moest inbreken is dat nu alleen nog maar digitaal mogelijk. Maar ook als we wat dichter op de EPD bekijken is de fysieke interactie met de patiënt afgenomen en zit er van de 10 minuten spreekuur minstens de helft van de tijd achter de laptop.

De komende jaren lijkt het me goed dat we wat meer aandacht besteden aan betrouwbaarheid, stabiliteit en veiligheid dan allerlei nieuwe functies, oplossingen etc.. introduceren. Want ik denk dat er met name nu wat meer behoefte zal gaan zijn aan het eerste.
Reageer
RoestVrijStaal @coolkil7 april 2026 22:54
Jong geleerd is oud gedaan. Op mijn school kreeg je voor onleesbaarheid per slecht te lezen antwoord een half punt aftrek. Dus dan leerde je wel rap om netjes te schrijven.

Het voordeel van analoog is dat die gegevens niet gelekt kunnen worden door een enigzins knullige fout van een digibeet of fouten in de (inrichting van de) software. Of door ransomware gestolen kan worden.

Achteraf bekeken zijn kaartenbakken in een kluis zo gek niet.
Reageer
coolkil @RoestVrijStaal8 april 2026 06:47
Jeugd trauma’s… die schrijf schriftjes.
Reageer
RoestVrijStaal 7 april 2026 20:39
ChipSoft is marktleider op het gebied van epd-software met een geschat marktaandeel boven 70 procent. Het bedrijf was dinsdag ondanks herhaalde pogingen niet bereikbaar voor commentaar. Sinds de site onbereikbaar werd, is het bedrijf ook telefonisch niet langer bereikbaar.
Een bedrijf met zo'n groot marktaandeel en dan onbereikbaar blijven. Amateurisme ten top.

De concurrentie kan zich geen beter droomscenario te veroorloven om marktaandeel af te snoepen.
Reageer
JCD29 @RoestVrijStaal7 april 2026 20:49
Helaas is er maar één serieuze concurrent genaamd Epic Systems en dat is een Amerikaanse leverancier. Die staan inmiddels dus 1-0 achter vanwege de geopolitieke situatie. Ziekenhuizen die overstappen zullen dat namelijk goed moeten onderbouwen om geen lastige vragen te krijgen.
Reageer
willieverhoef @JCD298 april 2026 11:18
En laat Epic nu net zo erg zijn betreffende winsten en houding
Reageer
DataMan @JCD297 april 2026 21:44
Als Epic nog klanten in Nederland zou aannemen. En "even" wisselen van leveranciers is een soort open hart operatie, gebeurt niet snel.
Reageer
RoestVrijStaal @DataMan7 april 2026 23:00
En "even" wisselen van leveranciers is een soort open hart operatie, gebeurt niet snel.
En daarvoor zou nou eens wetgeving moeten komen. Dat in ieder geval makkelijk uitwisselbare export- en import-functies moeten zijn. Niemand die voordeel heeft van marktwerking staat daar op te wachten. Maar de burger, ziekenhuizen en overheid wel.
Reageer
GMJansen @RoestVrijStaal8 april 2026 01:15
Houd wel rekening dat een ziekenhuis 1 tot 2 jaar voorbereiding nodig heeft om überhaupt te kunnen overstappen. En heel veel geld.
Reageer
Bartjoo71 @RoestVrijStaal8 april 2026 08:38
We gaan binnenkort over van versie 6.x naar 6.x+1 van die mooie Chipsoft software en denk je dat er een export functie is? nope. we hebben de afgelopen maanden een hoop handmatig zitten inkloppen. Onbegrijpelijke houding van deze leverancier. Als er een export/import functie is dan moet CS aan het werk en dat doen ze niet zo graag, werken.
Reageer
Bitfreakie @Bartjoo718 april 2026 08:41
Ze sturen wel graag facturen :+

De major upgrades zijn inderdaad niet simpel en eigenlijk complete migraties :-(
Reageer
SunnieNL @RoestVrijStaal7 april 2026 23:38
Export functies zijn er ook vaak wel. Je bent dan alleen zelf verantwoordelijk om het weer te importeren op de juiste manier. Vaak wordt nu al in afspraken geregeld dat er een exit plan is, alleen kun je de vendor A van pakket A natuurlijk niet verantwoordelijk maken voor het importeren van de ge-exporteerde gegevens van pakket A naar pakket B van Vendor B. Vendor A kan alleen verantwoordelijk zijn voor een leesbare export van zijn pakket.

Overigens ben ik het niet eens dat er een wet zou moeten zijn hiervoor. Je moet als koper gewoon die eis stellen dat alle data exporteerbaar is in leesbaar (niet encrypted) formaat. Als je dat niet als eis zet voor de software of de software wel koopt terwijl je weet dat het er niet in zit, dan ben je als koper gewoon zelf verantwoordelijk.
Reageer
CAPSLOCK2000
@SunnieNL8 april 2026 11:08
Export functies zijn er ook vaak wel. Je bent dan alleen zelf verantwoordelijk om het weer te importeren op de juiste manier. Vaak wordt nu al in afspraken geregeld dat er een exit plan is, alleen kun je de vendor A van pakket A natuurlijk niet verantwoordelijk maken voor het importeren van de ge-exporteerde gegevens van pakket A naar pakket B van Vendor B. Vendor A kan alleen verantwoordelijk zijn voor een leesbare export van zijn pakket.
Het is misschien niet heel realistisch, maar op zich vind ik het wel een leuk idee om bij het sluiten van het contract al af te spreken dat de leverancier A ook moet zorgen voor een manier om data in pakket B te krijgen. Je kan leverancier A én B betalen om daar aan samen te werken. Het liefst kies je daarbij natuurlijk voor een (open & vrij) standaard formaat voor je data.
Overigens ben ik het niet eens dat er een wet zou moeten zijn hiervoor. Je moet als koper gewoon die eis stellen dat alle data exporteerbaar is in leesbaar (niet encrypted) formaat.
"gewoon" is het niet, dan hadden we dit probleem niet. Autogordels hebben we ook moeten verplichten omdat mensen ze niet "gewoon" kopen terwijl die dingen en ontzettend goede price/perfomance verhouding hebben.
Ik vind dat er best wat voor te zeggen is om het gebruik van open standaarden te verplichten voor bepaalde soorten data, applicaties of vakgebieden. De overheid legt zichzelf al zo iets op.

Daarnaast vind ik het ook wel een goed idee vanuit het economische oogpunt van bevorderen concurrentie en voorkomen van monocultuur en monopolies.
Als je dat niet als eis zet voor de software of de software wel koopt terwijl je weet dat het er niet in zit, dan ben je als koper gewoon zelf verantwoordelijk.
'Zelf verantwoordelijk' vind ik toch een beetje lastig voor dienstverleners, zeker in de zorg. Als data verloreren gaat dan zijn het de patienten/klanten die er onder lijden en dat is niet iets dat je makkelijk kan compenseren geld.
Reageer
InstantRamen95 @CAPSLOCK20008 april 2026 12:54
Ik zit met grote ogen deze hele discussie te volgen van over de grens en ik verbaas me erover dat Nederland zo ver achter staat.. Ik weet dat België redelijk de koploper is wat e-gezondheid betreft, maar wow.

Ik werk zelf bij een grote speler in de sector (huisartsen software zijn we marktleider, maar zijn actief over bijna hele lijn) en onze 'cloud' is effectief een cloud applicatie en alles is deftig encrypted, mfa inlog, storage in een datacenterbunker in België, geen vpn's nodig etc. etc. Dat er voor chipsoft een VPN nodig is naar een databank (bij chipsoft?) wtf? Hoe is dat idd zoals anderen al zeggen cf. de (europese) wetgeving? Nu bon, we kennen niet alle ins en outs van hun architectuur en dat is misschien maar goed ook...

In België bestaat er reeds een door de overheid (riziv) opgelegd universeel formaat voor de uitwisseling van dossiers. Al bijna 10 (!) jaar. Dus het is wel degelijk realistisch, maar een dergelijke struuctuur kan denk ik alleen vanuit de overheid worden opgelegd, want geld... Al is de bemoeizucht van de overheid hier soms wat te overdreven over het algemeen is die federale(re) aanpak niet slecht. Een groot deel van de ontwikkeling gaat naar wetswijzigingen en dergelijke aanpassingen. Voor kleinere ontwikkelaars is het daardoor bijna onmogelijk die markt binnen te stappen, dus de sterksten blijven over. Maar de andere kant is dat dat ook degenen zijn die kunnen blijven voldoen aan de vereisten. Dus ook het meest kwalitatief (in theorie). Maar dan nog, op je luie reet gaan zitten en cashen zal niet lang duren. Juist doordat er universele formaten zijn, is het in die zin makkelijker om te switchen, waardoor je concurrenten op heel korte tijd je klantenbase kunnen overpakken als je het verklooit. De federale aanpak hier in België zorgt (het grootste gedeelte van de tijd toch) voor betere software en betere integratie.

Toch 1 iets dat de Belgische overheid beter kan dan Nederland. We gaan zwijgen over de rest want daar is het omgekeerd ;-) (de wegen om maar een voorbeeld te noemen).

"Wat je zelf doet doe je beter" argumenten zijn bullshit. Ja je zou local een servertje kunnen laten draaien met een DB op en dan komt er iemand voor de brandveiligheid of whatever the excuse en databreach. Secure storage is een vak apart, als lokale it in een ziekenhuis ga je je handen al vol hebben aan de endusers en hun stommiteiten. Dan heb ik het nog niet over de vaak legacy devices/software die een extra uitdaging bieden om zelfs intern enigszins veilig te kunnen laten draaien.

Daarbij; als koper eisen stellen aan een aanbieder is enkel mogelijk als je (een echte) keuze hebt ;-). Windows of mac is een keuze, maar dan nog kun je wel eisen maar gaan ze het dan doen? Dat apple een 'delete' knop voorziet, of dat microsoft een keer een patch uitbrengt dat de dag erachter niet alles in de fik staat? ;-)

In een ziekenhuis is er op software vlak ook vaak veel custom made, en legacy zoals gezegd wat een totale migratie niet evident maakt en dus veel voorbereiding en geld kost.
Reageer
SunnieNL @CAPSLOCK20008 april 2026 15:57
Een voorbeeld:

Wij bieden een export functie aan via de API. Deze geeft antwoord in standaard json formaat. Het is dan aan jouw als klant om die output weer te converteren naar iets wat je kan gebruiken voor de import. De open standaard is er. Een REST API die json output geeft en dat is een uitput standaard.

Wij krijgen ook stees vaker de vraag om mee te helpen in een exitstrategie en de rest api om de data uit ons systeem te krijgen is eigenlijk altijd geaccepteerd in deze.
Reageer
BCC @RoestVrijStaal8 april 2026 10:56
De EU werkt heel hard aan standaarden op medisch gebied en dat begint ook al z'n vruchten af te werpen - ook zijn er open source initatieven zoals https://nuts.nl/ die overstappen veel makkelijker moeten maken in de toekomst.
Reageer
j0eyv @DataMan7 april 2026 22:59
Een open hart operatie is nog relatief eenvoudig vergeleken met een EPD vervangen. Ben geen arts overigens…
Reageer
weazle @JCD297 april 2026 23:14
ChipSoft draait volledig op Microsoft, alles is Windows en HiX 365 en zorgportaal draaien in Azure. Je hebt in Nederland geen keuze die volledig Europees is.
Reageer
svenslootweg @JCD298 april 2026 12:37
Als chronisch patient heb ik met zowel Chipsoft HiX als Epic te maken gehad (voor patientenportalen) en Epic is echt een verschrikkelijk onding. Aan de kant van het ziekenhuis was het blijkbaar niet veel beter. Op papier zijn ze dan misschien een concurrent, maar ik denk dat je er een harde dobber aan gaat hebben om personeel te overtuigen over te schakelen.
Reageer
cryinson @RoestVrijStaal7 april 2026 21:01
Chipsoft is de facto monopolist, voor de meeste ziekenhuizen is Epic geen optie
Reageer
gielie @cryinson7 april 2026 21:08
Het UMC Amsterdam gebruikt epic, geen kleintje dus. Maar wat een draak van een pakket is dat zeg.
Reageer
Paul @gielie7 april 2026 22:26
Epic is zo goed als dat je het inricht. Ik heb redelijk dicht bij een implementatie gezeten, en de afdelingen die goed meehielpen en feedback gaven bij de implementatie zijn er helemaal lyrisch over, terwijl de afdelingen die het allemaal niet zo belangrijk vonden nu steen en been klagen.

Het kan altijd beter, maar in tegenstelling tot bij HiX ben je daar bij Epic ook zelf bij.
Reageer
Libido @Paul7 april 2026 23:07
Oké; zeker liever Epic dan Chipsoft/HIX. Maar wat wel of niet kan wordt niet alleen door de inrichting bepaald.

Je begint met de basisinrichting van de vorige grote uitrol. MUMC+ begon met de opzet van UMCG. Vaker gehoorde klacht: “toen ik eenmaal wist hoe het werkte en ik wist wat wij wilde konden we niet meer terug. Het proces was al te ver gevorderd.”

Er staan enorme boetes op het niet halen van de implementatie datum. Je moet als ziekenhuis dus springen. Deadline gehaald maar nog jaren nazorg nodig.

Heb je functionaliteit nodig wat Epic niet heeft, dan kan je jaren en jaren wachten. Als ze er al iets mee doen. Niets anders dan bij CS.
Reageer
gielie @Paul8 april 2026 07:38
“zijn er helemaal lyrisch over”

In het UMCA ken ik ze niet, ik ken niet iedereen natuurlijk maar ik heb nog nooit iemand iets positiefs horen zeggen, alleen maar geklaag wat er allemaal niet kan.
Reageer
typekill @Paul8 april 2026 10:29
Precies, ook ik zat heel dicht op de implementatie en ben nog steeds betrokken. Alles valt en/of staat met het goed betrekken van de eindgebruikers. Wanneer je ze vanaf het begin goed betrekt en ook echt eigenaar maakt zullen ze de bouw beter begrijpen en gebruiken (mijn ervaring). Wat je soms ziet is dat men nieuwe functionaliteit gewoon het ziekenhuis in hoekt en dan zegt 'zoek het maar uit...' zo werkt dat natuurlijk niet.

Uiteraard kom je er naderhand achter dat er bepaalde opties zijn om bouw te realiseren, voordeel van Epic is dat je zelf sneller kan schakelen. Het kan voorkomen dat bepaalde functionaliteit er niet is en dan moet je een enhancement request invullen. Bij Hix moet je voor elke poep en scheet weer terug maar Chipsoft.
Reageer
Cilph 7 april 2026 20:37
Hoe kan HiX on premise de sjaak zijn? Dat draait toch bij ziekenhuizen intern?
Reageer
Daco @Cilph7 april 2026 20:40
HIX is inderdaad on prem, maar wie weet hoe lang ze comprimised waren. voor het zelfde geld is er wat ingeslopen, dat zullen ze nu nog niet kunnen uitsluiten denk ik

er zijn ook de VPN connecties die vanuit het chipsoft netwerk kan gemaakt worden naar de ziekenhuizen die misbruikt kunnen zijn. hangt af van het ziekenhuis zijn vpn regels. sommige zijn rechtstreeks met het interne chipsoft netwerk verbonden en sommige moeten via iets als pulse secure of iets dergelijk.

source: developer die 6j met ziekenhuis software bezig geweest is ( in belgie )

[Reactie gewijzigd door Daco op 7 april 2026 21:26]

Reageer
Ruben279 @Daco7 april 2026 21:07
HiX is niet per definitie on-prem, ze bieden ook een volledige variant in "de cloud", genaamd HiX 365.

Maar in het kader van autonoom draaien bij een calamiteit (uitval internet door wat voor oorzaak dan ook) vermoed ik niet dat deze SaaS oplossing veel gebruikt wordt door ziekenhuizen. Huisartsen zou best kunnen, maar ik weet niet wat het marktaandeel van Chipsoft überhaupt is bij de huisartsen.
Reageer
Majhool @Cilph7 april 2026 20:38
Chipsoft heeft een beheer verbinding (VPN) met die huizen. Dus dat advies geldt juist voor hen.
Reageer
Pasteis @Majhool7 april 2026 20:45
Chipsoft heeft een beheer verbinding (VPN) met die huizen. Dus dat advies geldt juist voor hen.
Ik mag toch aannemen dat deze beveiligd is met extra 2fa en niet continue openstaat?
Reageer
Ruben279 @Pasteis7 april 2026 20:58
Het voordeel van een VPN is juist dat deze vaak 24/7 "open" staat zodat er bij storingen e.d. direct hulp geboden kan worden. Of dat bij Chipsoft ook zo is weet ik niet, maar het is in de wereld vrij normaal om z'n tunnel continu te laten leven.

Dat kon nu wel eens een flink probleem zijn, maar dat is afwachten... Zo lang ze helemaal niet communiceren weten we helemaal niks.

[Reactie gewijzigd door Ruben279 op 7 april 2026 20:59]

Reageer
Het.Draakje @Ruben2798 april 2026 06:35
Bij ons is het vrij normaal dat een leverancier geen toegang heeft, totdat wij vinden dat het nodig is dat hij mee kan kijken bij een probleem. En pas dan gaat die tunnel open. En alles wat een leverancier doet wordt automatisch vastgelegd.
Reageer
themadone @Het.Draakje8 april 2026 06:52
Ja dit dus. Moet wel zeggen dat bij ons leveranciers daar ook altijd over huilen. Een permanent open verbinding met welke leverancier dan ook is gewoon not done.

Je wilt erbij? Dan zetten we een verbinding open. Ja dat is aan onze kant meer werk en de leverancier moet zich even melden, maar het voorkomt een hoop ellende.
Reageer
Mrkoekie @themadone8 april 2026 09:09
Dat is helaas niet hoe CS werkt. Die gaan gewoon niet akkoord als er niet een 24/7 s2s vpn open staat en er een stuk of 8 'algemene' beheeraccounts zijn.
Je kan proberen om er named accounts van te maken, maar daar gaan ze simpelweg niet mee akkoord. En wat moet je dan als ziekenhuis? Er zijn gewoon geen alternatieven waar je even snel naar overstapt.

Je moet het nu zo zien dat de gijzelnemer is gegijzeld...
Reageer
themadone @Mrkoekie8 april 2026 22:57
Dat is best heftig en ik ben benieuwd hoe die aanbesteding achter de schermen is verlopen want het beste bedrijf heeft dit duidelijk niet gewonnen.....
Reageer
boshar @Het.Draakje8 april 2026 10:52
Het gaat bij HiX voornamelijk om accounts voor - ondersteuning van - Applicatie Beheer via een bak met daarop alleen een HiX client die naar je omgeving connect. Dat gaat in een ziekenhuis 24/7 door.

Het meekijken bij grote conversies, migraties en andere pure technical support in de on-prem omgeving gaat uiteraard anders.
Reageer
dasiro @Pasteis7 april 2026 21:01
als je wéét dat de andere kant van de tunnel gecompromiteerd is, why the hell zou je dan nog op 2fa vertrouwen om die toch nog te laten opbouwen zonder enige verdere uitleg ? |:(
Reageer
Majhool @Pasteis7 april 2026 20:47
Voorzorg... Als beheerder accounts zijn buitgemaakt, helpt een VPN ook niet meer. Zeker als 2FA uitstaat. Een hacker probeert natuurlijk om 'in de tunnel' te komen.

[Reactie gewijzigd door Majhool op 8 april 2026 15:09]

Reageer
__fred__ @Cilph7 april 2026 20:40
Supply chain attack? Als de malware in de software zit. Bijvoorbeeld de axios attack…
Reageer
CPM @Cilph7 april 2026 22:18
Supply chain attack is ook iets wat tot de mogelijkheden behoort. Ook de HiX onprise omgeving moeten gepatcht worden. Dus die downloaden dat gewoon bij ChipSoft, en ook dat kan dus compromised zijn.
Reageer
K.Y 8 april 2026 00:57
Feit dat de afgelopen tijd veel Nederlandse bedrijven en systemen worden gehackt is geen goed teken. Hebben wij als land onze cybersecurity echt zo slecht geregeld? Zo straks kan iedereen alles lezen over elke burger op het internet
Reageer
stijnos1991 @K.Y8 april 2026 01:39
Nee het is nog relatief goed geregeld, met een stelsel waardoor de meeste bedrijven kunnen terugvallen op enige vorm van hulp als het echt nodig is. Zo is Z-CERT er voor de zorg, het NCSC voor de Rijksoverheid en vitale organisaties.
Dit soort hacks gebeuren overal ter wereld, en is niet nieuw natuurlijk in de computer geschiedenis.
Reageer
K.Y @stijnos19918 april 2026 01:45
Kan ook aan mij liggen hoor, maar lijkt toch echt op dat de laatste tijd vele grote Nederlandse bedrijven geraakt worden. En met grote bedoel ik dan bedrijven die veel klanten hebben (Odido) of bedrijven waarvan de software wordt gebruikt voor vele klanten (HiX)

Heb toevallig stage gelopen bij ChipSoft bijna 10 jaar terug - niets te maken gehad met HiX - en in die tijden hoorde je nooit van zulke grote hacks in Nederland (of ik leefde onder een steen)
Reageer
hans-martijn @K.Y8 april 2026 08:26
Twintig jaar geleden had bijna niemand een firewall. Cybercrime is vooral de laatste jaren aan het groeien doordat is gebleken hoe effectief je daarmee geld kunt verdienen, en hoe effectief je daarmee ‘vijandige regimes’ kunt destabiliseren. Dus dat cybercrime toeneemt, klopt helemaal.
Reageer
SuperDre @K.Y8 april 2026 10:21
Nee, maar cybersecurity wordt gewoon steeds moeilijker doordat de hacks ook steeds geavanceerder worden, en AI maakt het de hackers ook nog steeds makkelijker. Het is gewoon niet zo makkelijk om iets goed te beveiligen EN gebruikersvriendelijk te houden.
Reageer
useruser 7 april 2026 22:24
Waarom advies om de vpn te verbreken aan alle zorginstellingen geven? Waarom termineert ChipSoft dit zelf niet?
Reageer
William_H @useruser7 april 2026 22:42
Dat verraad misschien al waar het probleem zit? Een compromised VPN account of zelfs de software aan de kant van Chipsoft? Als daar verder geen dubbele authenticatie op zit, dan kan dat een probleem zijn/worden aan de kant van ziekenhuizen/zorginstellingen.
Reageer
Miepermans @useruser8 april 2026 08:59
Dit is al de tweede keer dat een dergelijke opmerking hier voorbij komt, het is eigenlijk heel eenvoudig;

Als ChipSoft de VPN zou verbreken, zou dat (behalve een contract/SLA breuk) ook een omkeerbare actie zijn, oftewel, als "de hackers" de VPN weer openzetten, hebben ze weer toegang.

Wanneer de (eind)klanten de VPN verbinding dichtzetten, kan deze niet zomaar meer opengezet worden.


Ondanks dat dit voor mij vrij logisch lijkt (ik zit in dit vakgebied) is, wordt inderdaad vaak gedacht dat de remediatie maar bij de initiator dient te liggen. In dit geval, is het een extra veiligheid en een garantie voor de klantzijde van de verbinding.
Reageer
WhateverSuitsU 8 april 2026 05:57
https://www.frisiusmc.nl/actueel/nieuws/cyberincident-bij-chipsoft-geen-gevolgen-voor-frisius-mc

Kan dit al zo snel gezegd worden?
Reageer
supermlt @WhateverSuitsU8 april 2026 07:09
Vermoedelijk in Heerenveen geen actieve VPN verbinding met ChipSoft?

Ziekenhuis Heerenveen zit ook in een migratie naar Epic, wat onderdeel is van de fusie tussen MCL Leeuwarden en Tjongerschans Heerenveen. Samen gaan ze door als Frisius MC.
Reageer
iAR 8 april 2026 07:12
Weet iemand een mooie bron om meer te weten te komen over “zorg” software? Mijn ziekenhuis gebruikt HiX en onlangs heb ik de iPhone app geïnstalleerd. Lijkt gewoon een web-wrapper maar dan slecht. Ik lees veel bijzondere verhalen hier over chipsoft. Voor mijn huisarts heb ik twee andere apps. Maar de kwaliteit is ook treurig dar. Hoe kan dat? Hoe is dit met andere software? Hoe zit deze wereld in elkaar?
Reageer
dutchgio @iAR8 april 2026 09:19
Deze is al een paar keer genoemd: YouTube: Documentaire - Dodelijke zorg. (2Doc)
Reageer
Exorcist @iAR8 april 2026 09:26
Pharmacom (AIS) en Medicom (HIS) zijn structureel veel beter. Leveren alleen nog geen ziekenhuispakket helaas.
Reageer
TheDutchChief @Exorcist8 april 2026 10:51
Bij allemaal moeten de labuitslagen nog via edifact worden verstuurd en met de hand door de assistente worden gekoppeld. Bij allebei heb ik wat mindere ervaringen. Ik ben blij dat ze geen ziekenhuispakket leveren, dat is echt wel wat anders dan een HIS.
Reageer
TheDutchChief @iAR8 april 2026 10:44
In de zorg nemen dokters beslissingen, huisartsen kiezen een systeem maar hebben nauwelijks een idee wat ze kopen. Chipsoft heeft 70% van de ziekenhuizen omdat ze een stuk goedkoper zijn dan hun directe concurrent (die ongeveer anderhalf keer zo duur is). Eenmaal een systeem gekozen blijf je daar minimaal tien jaar zitten omdat een nieuw systeem implementeren twee jaar duurt en behoorlijk wat geld kost en risico's meebrengt. Als softwareleverancier moet je de dokters aan je kant hebben, dan hebben ICT en inkoop eigenlijk weinig meer in te brengen.
Reageer

Om te kunnen reageren moet je ingelogd zijn