ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down

Het Nederlandse ChipSoft meldt een week na de ontdekking van een ransomwareaanval dat het 'een nieuwe webpagina' opzet met 'de laatste informatie'. Dit omvat ook 'een uitgebreide lijst met vragen en antwoorden'. De website van de gehackte zorgsoftwaremaker is nog altijd offline.

ChipSoft belooft in een update op LinkedIn alles op alles te zetten om de situatie 'tot een zo goed mogelijk einde te brengen'. Het bedrijf wil 'iedereen zo goed mogelijk informeren' en zet daarom 'een nieuwe webpagina' op, waar gebruikers 'de laatste informatie' kunnen vinden. Dat is inclusief 'een uitgebreide lijst met vragen en antwoorden'. De website van ChipSoft is dinsdag offline gehaald en nu nog altijd niet bereikbaar. Zodra de beloofde informatiepagina online staat, deelt ChipSoft dat op LinkedIn.

Het bedrijf erkent 'de impact op patiënten en zorgprofessionals die dagelijks op onze systemen vertrouwen'. De leverancier van software voor de zorg vindt het 'ongelofelijk spijtig dat deze situatie is ontstaan'.

In het bericht geeft ChipSoft aan dat de patiëntenzorg doorloopt en dat gebruikers met zijn epd-systeem HiX kunnen werken. "Echter, de patiëntenportalen die door ChipSoft worden gehost, zijn tijdelijk niet beschikbaar. Ook kunnen gegevens niet uitgewisseld worden via Zorgplatform." Sommige ziekenhuizen hebben zelf maatregelen genomen, zoals het verbreken van alle verbindingen met ChipSoft.

Kost tijd

Het gehackte softwarebedrijf voert nu samen met een extern team van cybersecurityexperts forensisch onderzoek uit 'om de oorzaak, omvang en bron van het incident vast te stellen'. ChipSoft vraagt begrip voor de tijd die dit kost. Naast dat onderzoekswerk is het bedrijf bezig de beveiliging te verbeteren en zijn systemen te stabiliseren. "Ook werken we aan een veilige ingebruikname van de systemen in samenwerking met Z-CERT." Het is niet bekend op welke termijn het bedrijf dit herstel verwacht.

ChipSoft HiX. Bron: ChipSoft

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 13-04-2026 13:11
77 • submitter: Ewoudb

13-04-2026 • 13:11

Submitter: Ewoudb

Lees meer

9 apr 2026

Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

ChipSoft zegt dat alle door hackers gestolen data is vernietigd

ChipSoft zegt dat alle door hackers gestolen data is vernietigd Nieuws van 28 april 2026

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens Nieuws van 23 april 2026

ChipSoft verliest rechtszaak tegen ziekenhuizen die gezamenlijk epd opzetten

ChipSoft verliest rechtszaak tegen ziekenhuizen die gezamenlijk epd opzetten Nieuws van 21 april 2026

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026

ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval

ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026

Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware

Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026

Meer producten en artikelen

Netwerk en systeembeheer Bedrijfsnieuws Websites en community's Politiek en recht Privacy Beveiliging ChipSoft Cybercrime Cybersecurity Hack Ransomware Restore

IT-banen

Meer vacatures

Reacties (77)

77

75

44

4

0

29

Wijzig sortering

Bedrijfsnieuws

13 april 2026 13:19

Odido, Booking, Basic Fit, ChipSoft... het zijn bedrijven die pijnlijk laten zien dat er geen voldoende maatregelen getroffen worden om schade te beperken als een hacker binnen is. Bij Odido kon je kennelijk miljoenen data stelen, bij Basic Fit kon je ook aanzienlijk in een korte tijd bij heel veel gebruikersdata.

En nu bij ChipSoft kan je kennelijk hun hele keten infecteren, omdat het zo nauw verbonden is met elkaar en niet geïsoleerd waardoor je de zorg in Nederland raakt.

Hier moeten toch veel slimmere ontwerpkeuzes gemaakt kunnen gaan worden? Zonder dat de gevolgen meteen zo groot zijn als je een aanval hebt gehad?

Orangelights23 @Pasteis • 13 april 2026 13:40

Als iemand die meerdere grote securityklussen als CISO en project manager heeft gedraaid in Europa, is het heel simpel: het bestuur begrijpt niet wat de risico's zijn.

Dan kijk je natuurlijk al snel naar jezelf - moet ik beter communiceren? Moeten de afdelingen hun risico's kwantificeren? Moeten we taxonomiemodellen gebruiken om data te aggregeren? Maar het is snel helder, want organisaties willen niet investeren omdat zij de risico's accepteren. Ik voer vanuit mijn eigen organisatie meerdere pentesten per jaar uit waaruit blijkt dat het digitale huis in de fik staat, maar ons toch wordt gevraagd om de bevindingen weg te halen uit het rapport. Idem voor ISO 27001 en SOC 2/ISAE audits wordt mij vaak gevraagd om goed nieuws te spelen voor de auditor.

Het is een inherent probleem binnen het bedrijfsleven dat er niets wordt gedaan zonder push. We hebben mooie wetgeving zoals de NIS2 richtlijnen waar zelfs een board training onderdeel van is, maar alles gaat om een checkbox compliance.

Helaas hebben wij maar enkele klanten die security echt als driver zien en het over de gehele linie inzetten. Security awareness, tooling, netwerksegmentatie, patching, goede governance, enzovoorts is helaas zeldzaam als je echt kijkt naar de effectiviteit.

naaitsab @Orangelights23 • 13 april 2026 14:08

Helaas hebben wij maar enkele klanten die security echt als driver zien

Waarbij ik meestal zie dat deze drive er pas is als er al een keer iets (flink) mis gegaan is, bij hunzelf of partners. Helaas acteren veel besturen/bestuurders nog met een 'het gaat mij niet gebeuren' mentaliteit. Of de andere dooddoener: "maar IT kost al zo veel geld". Je zou zeggen dat na de vele grote bedrijven die recent in het nieuws zijn geweest, er wel een stuk meer awareness is. Ik merk er verbijsterend weinig van in de praktijk. Ook bij klanten in de kritieke sector en semi-overheid. "Voorkomen is utopie, mitigeren kan je leren."

Een van de punten van NIS2 die enigszins onderbelicht is dat de bestuurder persoonlijk (gedeeltelijk) aansprakelijk gehouden kan worden. Hoe dit in de praktijk wettelijk gaat uitpakken is nog de vraag. Echter lijkt me dit wel een goeie stap in de richting. Zeker bij aantoonbaar falen, zoals waarschuwingen negeren en al helemaal onderzoeksresultaten wegmoffelen. Dat zou wat mij betreft gelijk staan aan fraude.

Ik denk ook dat vanuit de overheid er een goed systeem moet komen voor dingen als PEN-testen en vulnerability scanners. Er zijn veel cowboys actief, zeker rondom NIS2. Je moet wel weten wat voor bedrijf/ZZP je in huis haalt. Of het is, vooral voor kleinere bedrijven erg duur. Z-Cert welke recent in het nieuws is gekomen bij het Chipsoft incident is hierin wat mij betreft een interessant voorbeeld voor andere sectoren.

Cyberpuppy @naaitsab • 13 april 2026 15:15

Er moet nog een boel gebeuren. Net als voor electro zal er bijv. een NEN norm moeten komen met regels hoe een netwerk aan te leggen. Dan is het voor ICT bedrijven gemakkelijker om dit bij de klant uit te leggen en ook op die manier te installeren.

Daarnaast moeten we eens nadenken in hoeverre de overheid kan (/moet) gaan helpen. Als burger moet je ook een fatsoenlijk slot op je deur zetten, maar boeven opsporen is toch echt een taak van de overheid. IT security is te complex om voor het MKB nog enigszins betaalbaar te zijn.

resma @Cyberpuppy • 14 april 2026 14:04

ChipSoft voldoet niet aan de criteria van MKB. Juist dit soort grote bedrijven verwerken data van honderdduizenden en verdienen daar flink aan; de impact van deze hack is dan ook fors. Beveiliging van data en systemen zou hier al bovengemiddeld goed geregeld moeten zijn.

Er zijn ook diverse normen (specifiek voor de zorg) waaraan ook marktpartijen zich kunnen (vaak moeten) conformeren, zoals de NEN 7510, een norm specifiek betreffende informatiebeveiliging in de zorg. Chipsoft voldeed volledig aan deze NEN 7510 norm evenals ISO 27001 waarvan de NEN 7510 is afgeleid.

Ik ben het overigens volledig met je eens dat normering en regulering vooral het MKB zal treffen, terwijl hier de impact van een eventuele hack veelal alleen de bedrijfsvoering raakt. Eigenlijk zou je kunnen concluderen dat dit soort normen vooral protectionistisch werken richting de grote spelers. Deze hack toont bovendien aan dat voldoen aan de norm geenszins een garantie biedt op een veilige IT omgeving.

Cyberpuppy @resma • 14 april 2026 14:23

Er zit een fundamenteel verschil tussen een norm als NEN1010 en NEN 7510. Bij de eerste staan er heel veel concrete zaken in. Zoals bijv. een stroomleiding die om de x cm. gebeugeld moet zijn. In de NEN 7510 en ISO 27001 is er gewoon heel veel ruimte om je eigen verhaal te schrijven. Als je daar vervolgens aan voldoet dan krijg je het stempeltje "gecertificeerd".

Ik werk voor 2 klanten onder de ISO 27001. En wat bij de ene absoluut niet mag is bij de andere wel toegestaan. In de praktijk zie je dan ook een flink aantal partijen die wel een heel magere versie gebruiken, enkel om het certificaat te halen.

Er moeten gewoon concretere normen komen. Zoals bij sloten het SKG keurmerk. Koop jij een firewall dan moet die voor jouw bedrijf minimaal voldoen aan X sterren of iets dergelijks

Vaevictis_ @naaitsab • 13 april 2026 20:21

Je moet de worst case scenario als uitgangspunt voor je security budget aanhouden. Bedrijf kan 7 dagen niet meer werken? Dat is dan X euro. En kun je alles in werking stellen die risico's te mitigeren.

Dix0r @Orangelights23 • 13 april 2026 14:08

En hoe is de business case te maken als ondernemer? Informatiebeveiliging kost namelijk aanzienlijk veel geld hierdoor komen dus ook marges onder druk.

Informatiebeveiliging is nog altijd risicomanagement, wat je aangeeft, klopt misschien wel. Er zullen alleen voldoende ondernemers zijn die het risico 'bewust' accepteren. Of het minimale doen om niet aansprakelijk gesteld te worden.

Orangelights23 @Dix0r • 13 april 2026 14:21

Wat je zegt klopt perfect: informatiebeveiliging is risicomanagement. Daarom moet alles een risicogebaseerde aanpak zijn om keuzes te verantwoorden.

Als je kijkt naar bedrijven uit de Verenigde Staten, waar cybersecurity hoog in het vaandel staat, zie je dat bedrijven van 100 personen al met een SOC werken. Nodig? Mwa. Risico's? Gemitigeerd!

Het probleem is dat veel ondernemers de risico's niet inschatten. Ik heb met genoeg ondernemers om de tafel gezeten die denken dat zij nooit geraakt zullen worden door ransomware en minimaal investeren, om vervolgens een paar ton en soms zelfs failliet te gaan wanneer zij geraakt worden door ransomware.

Cyberpuppy @Orangelights23 • 13 april 2026 15:10

In Amerika wordt er veel gewerkt met Cyberinsurance. En die stellen wel behoorlijke eisen aan de beveiliging.

Niet dat ik zit te wachten op een Scope verhaal voor de ICT, want dat werkt ook niet.

Orangelights23 @Cyberpuppy • 13 april 2026 15:21

Dat is ook flink opkomend in Europa. Meerdere van onze klanten hebben inmiddels een cyberverzekering afgesloten waar ook eisen neergelegd worden (bij dat stuk helpen wij). Maar men vergeet dat een cyberverzekering heel leuk is om een zak geld te krijgen, maar dat het in de praktijk niet zo soepel verloopt, twee voorbeelden:
- Een oud klant van ons heeft dankzij een datalek een enorm imagoprobleem opgelopen, wat ze enkele jaren heeft gekost inclusief een paar strategische heroverwegingen. Die paar ton van de cyberverzekering was een druppel op een gloeiende plaat.
- Cyberverzekeraars zijn niet gek: als een premiehouder aangeeft dat zij X controls geïmplementeerd hebben en uit een stukje due diligence voorafgaand aan de uitbetaling van het bedrag blijkt dat sommige controls niet effectief waren, dan gaan ze simpelweg niet over tot uitbetaling.

Politiek en recht
Bedrijfsnieuws
Privacy
Websites en community's

@Orangelights23 • 13 april 2026 15:57

Ik geloof niet dat Amerika veel anders is. Ook daar lekt genoeg weg, zijn genoeg hacks. En volgens mij minder verplichtingen om het te melden.

Loy @Orangelights23 • 13 april 2026 13:55

maar ons toch wordt gevraagd om de bevindingen weg te halen uit het rapport.

gebeurt dat dan ook? Of kun je zeggen: dit onwegevallige stuk blijft er in, anders, bijvoorbeeld, neem ik ontslag want dit kan echt niet?

(Dat is niet makkelijk, weet niet goed wat ik zou doen in zo'n geval)

Orangelights23 @Loy • 13 april 2026 13:58

Ik zet alleen maar ethische hackers in en als bedrijven dit vragen, plaatsen wij het alsnog in het rapport en worden wij simpelweg niet meer gevraagd om een nieuwe pentest uit te voeren

Dit is een inherent onderdeel aan ethisch hacken, wij zijn geen bedrijf dat onethisch te werk gaat op dit gebied. Helaas, maar liever een meewerkende klant.

hamsteg @Orangelights23 • 13 april 2026 14:19

Zolang IT als hulpmiddel wordt gezien en niet als life-line van de organisatie, zal er ook geen aandacht komen voor basic voorzieningen in de beveiliging. Dit gedrag is al decennia lang in bedrijven ingeslepen, kijk maar heel simpel hoe de IT in de boekhoudkundig wordt weggeboekt ... als kostenpost naast de koffie machine, vervoer etc.. Iets waar je makkelijk op kunt bezuinigen.

Orangelights23 @hamsteg • 13 april 2026 14:22

Vergeet niet dat informatiebeveiliging veel en veel meer is dan alleen IT. Het gaat om bedrijfsmiddelen, alles wat informatie verwerkt. Dat zijn ook je leveranciers, je kantoor, je medewerkers.

Politiek en recht
Bedrijfsnieuws
Privacy
Websites en community's

@Orangelights23 • 13 april 2026 16:02

En waar ligt de grens? Wanneer is het goed. Ik kan alles achter 6 mfa opzetjes en drie hardware tokens gooien en dat moet allemaal per opgevraagd datum.... Maar dan kunnen de mensen niet meer werken. Veilig misschien, maar niet gebruiksvriendelijk.

Er zit wat mij betreft op dit moment een heel groot spanningsveld tussen gebruiksvriendelijkheid en veiligheid. De meeste mensen zijn zo digibeet dat als je maatregels neemt ze het te ingewikkeld vinden en naar een makkelijker product gaan. En bulk dataverwerking kan je ook niet vermijden. De zwakste schakel blijft altijd de mens. Je pompt een vermogen in security en systeempjes etc. En aan het einde van de rit word je nog steeds gehacked via een zero day of iets dergelijk. Ik snap wel dat veel bedrijven een economische berekening maken.

RicardoForce @Orangelights23 • 13 april 2026 13:45

Zou hierin de overheid de oplossing kunnen zijn, door het kunnen opleggen van boetes die aanzienlijk hoger zijn dan wat een goede beveiliging kost? Aangezien het hier volgens jouw bericht toch echt om moedwillige nalatigheid gaat.

_NULL @RicardoForce • 13 april 2026 13:53

Boetes alleen werken niet. Bestuurders moeten persoonlijk aansprakelijk worden gehouden. Er ligt al iets van een basis in NIS2 wetgeving hiervoor.

Maar naast aansprakelijkheid moeten we ook de lat voor wat een pentest mag heten omhooggooien. Geen checklists afwerken, niet even een scanner draaien, maar echte diepgaande tests waarbij een hacker zelf een aanvalspad kiest, alle informatie en toegang krijgt en zoekt naar bevindingen die er werkelijk toe doen.

Politiek en recht
Bedrijfsnieuws
Privacy
Websites en community's

@_NULL • 13 april 2026 15:55

En als dan blijkt dat je pentester incompetent is, dan heb je alles goed gedaan en ben je nog de sjaak. Dat iemand zichzelf een "hacker" noemt maakt ze niet automatisch competent. In elk vak zitten betere en slechtere mensen. Het gaat nooit 100% zijn. Het is niet zo makkelijk als jij het stelt.

_NULL @bzuidgeest • 13 april 2026 16:25

Het gaat zeker nooit 100% zijn maar er zit een verschil tussen Zolderkamer IT B.V. Die een Nessus scan verkoopt als een penetratietest en een gerenommeerde partij waarbij het uitvoeren van penetratietests de primaire dagtaak is

Politiek en recht
Bedrijfsnieuws
Privacy
Websites en community's

@_NULL • 13 april 2026 16:27

soms vraag ik mij af of het niet andersom is. Grote namen betekend niet goed werk. Word je stiekem met de stagier of zo afgescheept. Kwaliteit is kwaliteit, of dat nou van een groot kantoor of zolderkamer komt.

bzzzt @_NULL • 13 april 2026 16:06

Boetes alleen werken niet. Bestuurders moeten persoonlijk aansprakelijk worden gehouden. Er ligt al iets van een basis in NIS2 wetgeving hiervoor.

Dat betekent alleen maar dat bestuurders meer loon gaan vragen omdat ze zich moeten verzekeren tegen de enorme financiële risico's die ze anders lopen. Of geen bestuurders baan meer willen.

Maar naast aansprakelijkheid moeten we ook de lat voor wat een pentest mag heten omhooggooien. Geen checklists afwerken, niet even een scanner draaien, maar echte diepgaande tests waarbij een hacker zelf een aanvalspad kiest, alle informatie en toegang krijgt en zoekt naar bevindingen die er werkelijk toe doen.

Ik heb ervaring met beiden, maar over het algemeen zijn de pentesters waarmee ik gewerkt heb best competent te noemen. Het regelen van de opvolging van de adviezen op een manier die ook echt alle punten recht doet daarentegen is een forse uitdaging binnen grote organisaties met verschillende afdelingen.

Orangelights23 @RicardoForce • 13 april 2026 13:57

Het gaat om een combinatie van nalatigheid en onkunde. Cybersecurity wordt gezien als iets technisch, terwijl ik als niet technisch persoon ervoor zorg dat alle techniek vertaald worden naar 'business speak'. Desondanks krijg ik het er bij nota bene beursgenoteerde bedrijven niet doorheen om minimaal jaarlijks een pentest uit te voeren. Directie is volledig op de hoogte van de risico's en dat het veel goedkoper is om 25K uit te geven dan tonnen aan damage control na een datalek.

Een boete kan best interessant zijn, maar vanuit mijn eigen persoon houd ik liever een wortel voor dan slaan met een stok.

nandervv @Orangelights23 • 13 april 2026 16:23

De pentest gaat dingen vinden, en die moet je dan oplossen, wat ook al snel tonnen kost.
Als je een pentest doet, en je vindt dingen, dan kun je daarna niet meer zeggen: "We hebben gedaan wat we konden, maar geen enkel systeem is perfect veilig".
Een in kaart gebracht risico betekent ook dat het niet-oplossen een groter probleem is.

Majhool @RicardoForce • 13 april 2026 16:35

De overheid heeft de zorg-bestuurders de pas afgesneden door niet te kiezen voor één landelijke EPD voorziening. Ik hoop dat het weer op de agenda komt.

Basje @Orangelights23 • 13 april 2026 13:53

Vanuit mijn werk in maatwerk software due diligence kan ik dit beeld bevestigen. Veel mensen aan wie ik rapporteer zijn niet technisch, maar zodra wij zeggen wat de security issues issues zijn wordt het risico gebagatelliseerd omdat de kans dat het zou gebeuren klein zou zijn, of omdat een intern iemand het afzwakt omdat ze wel andere maatregelen hebben genomen. Uiteraard is het nooit zwart/wit, maar op het gebied van security awareness valt zeker nog een hoop te winnen.

Overigens zijn er ook bedrijven die het wel heel goed regelen, actief hun teams trainen en jaarlijkse white box pentests laten uitvoeren. En ook bij veel investeerders zie ik bewustzijn omdat ze simpelweg het risico op (financële - of imago)schade willen beperken.

Wat ik nu overigens ook veel zie is dat met de introductie van augmented programming (dwz llm's, al dan niet met agents) het hele securityverhaal er eigenlijk alleen maar slechter op is geworden... Men snapt simpelweg nog niet goed genoeg de risico's, zowel code die niet secure is maar ook data die overal heen gestuurd wordt zonder na te denken of dat kan/mag van Europese regelgeving. (Soms mag dat wel, soms niet)

[Reactie gewijzigd door Basje op 13 april 2026 14:03]

@Basje • 13 april 2026 20:09

Op zo’n moment zou je moeten zeggen: ‘ ok, dus ik kan jouw naam neerzetten die beslist dat we deze beveiliging niet nodig hebben?’… dan wordt men toch wel wat ongemakkelijk…

DDX @Orangelights23 • 13 april 2026 13:54

Ik merk dit ook met NIS2, vooral veel checklists waarop je allemaal vinkjes zet.
En mooi taalgebruik waardoor het lijkt alsof je er over nadenkt en dan een vinkje dat je dat 'doet'.

svennd @Orangelights23 • 13 april 2026 13:55

Het is simpel: er is nauwelijks een risico. Het huis staat in de fik, maar de schade is niet voor de entititeit, maar voor de gebruikers. PR schade ? Sure, maar als je de enige echte speler bent maakt dat weinig uit.

Dinoxl @Orangelights23 • 13 april 2026 13:59

amen, ik heb zelf niet te nader noemen bedrijfstak. jaren geroepen, gemeld en zelfs laten zien.

echter wordt je niet serieus genomen. en ligt data op straat, of ligt het gewoon plat.

overheid is hier niet minder in en heeft de kennis niet.

het zou iig schelen als niet deskundigen niet als manager worden aangesteld.

maar ja wie ben ik.

[Reactie gewijzigd door Dinoxl op 13 april 2026 14:01]

Privacy

@Orangelights23 • 13 april 2026 14:08

Ik voer vanuit mijn eigen organisatie meerdere pentesten per jaar uit waaruit blijkt dat het digitale huis in de fik staat, maar ons toch wordt gevraagd om de bevindingen weg te halen uit het rapport. Idem voor ISO 27001 en SOC 2/ISAE audits wordt mij vaak gevraagd om goed nieuws te spelen voor de auditor.

Dit is eigenlijk wel erg treurig om te constateren dat certificering eigenlijk het tegenovergestelde bereikt van het doel. Zou ook eigenlijk niet moeten: een auditor zou juist een hulpmiddel moeten zijn om de urgentie bij het hogere management duidelijk te krijgen. Jammer dat directieleden vaak slecht tegen slecht nieuws kunnen....

themadone @Orangelights23 • 13 april 2026 14:37

Dus je bent CISO en begraaft problemen bij een iso audit. Is het niet juist je rol om de board gewoon te vertellen hoe je het op gaat lossen?

Ontopic, je zou kunnen overwegen om een keer een pentest de boel even een shutdown te laten geven als ze admin rechten hebben. Dan breekt de paniek uit en komt het begrip vanzelf.

Ik moet helaas ook erkennen dat veel bedrijven die ik zie waar het wel goed geregeld is eerst een keer goed onderuit zijn gegaan.

Het wordt tijd om board members hoofdelijk aansprakelijk te gaan stellen voor dit soort dingen. Dan is het ook snel klaar met het wegwuiven.

Orangelights23 @themadone • 13 april 2026 14:55

Ik denk dat je mijn bericht niet goed gelezen hebt. Ik beschreef wat ik in de markt zie, niet wat ik bij mijn opdrachten meemaak.

Cyberpuppy @Orangelights23 • 13 april 2026 15:06

In al mijn jaren ook maar 1 keer gezien dat een bedrijf security serieus neemt. En dat is om de simpele reden dat hun bedrijfsgeheimen (R&D) te waardevol zijn. Dan is er dus een intrinsieke motivatie om het goed te doen.

Bij letterlijk alle andere bedrijven wordt het gezien als last en kostenpost.

B Tender @Orangelights23 • 13 april 2026 15:35

Als iemand die meerdere grote securityklussen als CISO en project manager heeft gedraaid in Europa, is het heel simpel: het bestuur begrijpt niet wat de risico's zijn.

Of... Ze begrijpen het wél, maar wegen de risico's simpelweg anders dan een CISO.

Bestuur: "OK beste CISO... dus als we het goed begrijpen... als we nu niet EUR 200k in beveiliging steken en jaarljiks EUR 100k in onderhoud van deze beveiliging dat lopen we een signifcant hogere kans op een omvangrijk datalek..."

Risico is [kans] * [impact]. Het zou kunnen dat bestuur en CISO hetzelfde kijken naar het element 'kans', maar dat 'impact' heel anders wordt gewogen / gepercipieerd. De CISO ligt 's nachts wakker van het datalek. Het bestuur kijkt misschien heel anders naar het risico. Met wat je nu leest zijn data-lekken aan de orde van de dag. Want laten we wel wezen: Over een week is iedereen het Basic-Fit-lek vergeten. Odido hoor je al bijna niemand meer over, hooguit straks weer even als de uitkomsten van het onderzoek van AP naar buiten komen.

Wellicht volgt (bij Basic Fit) nog een boete van de (zwaar overbelaste) AP van zeg 20k (worst case) maar dat is aanzienlijk goedkoper dan de 200k + jaarlijks 100k (bedragen geheel uit de lucht gegrepen door ondergetekende) om het beter dicht te krijgen.

TLDR: Vanuit perspectief van bestuur is de perceptie van impact (en daarmee van risico) van niet goed beveiligen en daarmee een datalek mede-veroorzaken misschien wel veel lager dan voor een CISO, en maken ze daarom andere afwegingen dan een CISO zou maken (die met de gebakken peren blijft zitten).

[Reactie gewijzigd door B Tender op 13 april 2026 15:37]

Orangelights23 @B Tender • 13 april 2026 15:49

Mooi stukje tekst, en dat zijn inderdaad de valkuilen waar beginnende CISO's in vallen. Gelukkig werkt het in de praktijk wel anders en is het de taak van de CISO om interpretatieverschillen volledig weg te nemen. De aannames die je maakt zijn volledig ingecalculeerd in de risico overwegingen en waar mogelijk gekwantificeerd op basis harde feiten/objectieve data.

PeterPluijms @B Tender • 13 april 2026 16:56

De kunst is om het in de lijn neer te leggen op het juiste niveau, ze het af te laten tekenen en daarbij nog een keer de controlevraag te stellen of ze het wel heel zeker weten / begrijpen. Antwoord ja? Door met je leven, informatiebeveiliging/CISO adviseren uiteindelijk maar besturen niet de tent. Als de bestuurder/CEO kiest om de gevolgschade of boetes te nemen: wie ben ik. Ze nemen hier de adviezen gelukkig serieus en accepteren niet alles blind, maar het hoort er wel bij.

Als je dit niet kunt hebt je geen leven in de informatiebeveiliging. Ik slaap graag rustig.

Politiek en recht
Bedrijfsnieuws
Privacy
Websites en community's

@Orangelights23 • 13 april 2026 15:53

De besturen zijn ICT digibeet, dus wat verwacht je nou? Ze snappen waarschijnlijk nog niet de helft van wat je zegt. Dan zien ze het bedrag dat er mee gemoeid is en is het helemaal over.

Bedrijfsnieuws

@Orangelights23 • 13 april 2026 16:11

Interessant om het eens vanuit de bril van een CISO te bekijken. Ik heb ooit met een CISO gesproken en die zei dat men hem al snel als "vervelend" zag". Het interesseerde hem gelukkig niet, maar hij vond het soms wel lastig en was daarom heel erg blij dat ik graag meer over zijn rol en kijk of beveiliging wilde delen.

Niet dat dit overal zo gaat, maar jouw reactie bevestigt wel het beeld dat beveiliging nog steeds te weinig gewaardeerd wordt. En het moment dat iets compleet fout gaat, diezelfde bestuurders niet als eerste zeggen: "Wij hebben het risico genomen, we zijn dom geweest en we moeten handelen naar de fout en zelf als eerste opstaan om toe te geven dat het een ingecalculeerd risico was dat fout is gegaan".

Bestuurders die eens hun verantwoordelijkheid nemen voor de fouten die het bedrijf maakt op basis van hoe ze het besturen... deze mensen zouden echt beloond moeten worden in plaats van afgestraft (wat vaak wel gebeurt).

nandervv @Orangelights23 • 13 april 2026 16:21

Of is het misschien zo dat het bestuur wel begrijpt wat de ricisos zijn, maar een Ford-Pinto-achtige kosten-baten-analyse gemaakt heeft en op basis daarvan bewust een risico genomen heeft?

Dat je verliest wil nog niet zeggen dat je zet niet "zakelijk juist" was..

Als bedrijven zich onvoldoende beveiligen, dan betekent dat dus dat de gevaren te klein zijn. Tijd voor hogere boetes en vaker innen dus.

[Reactie gewijzigd door nandervv op 13 april 2026 16:21]

Vaevictis_ @Orangelights23 • 13 april 2026 20:17

Helemaal mee eens, ik hoop dat nis2 ook snel bestuursaansprakelijk wordt uitgevoerd want blijkbaar moet er eerst een voorbeeld gesteld worden. Als een bestuurder aantoonbaar nalatig is geweest is deze ook niet meer verzekerd en dus hoofdelijk aansprakelijk. Laat iemand maar zijn huis verkopen want de schade is te groot.

magician2000 @Orangelights23 • 13 april 2026 23:05

Het grote probleem met zo goed als alle managers en besluitnemers in dit land (laat ik me daar even op richten), is dat ze geen vertrouwen hebben in hun mensen en liever aan minder uitgeven denken.

Hier blijf je tegenaan lopen. De enige oplossing: duidelijk schriftelijk communiceren over hoe of wat en als ze domme besluiten nemen het risico aangeven en je handen er vanaf trekken. Ik heb al lang geleerd dat dat de beste 'les' is voor dat soort mensen. Laat ze maar bloeden wanneer het dan fout gaat. Jij zegt dan gewoon: 'ik heb je gewaarschuwd' en start met puin ruimen (of je bent lang voor die tijd al weg).

Ik kan geen enkel medelijden hebben met dat soort wanbeleid. Laat bedrijven maar failliet gaan wanneer ze het niet willen leren. Vervelend voor het personeel dat wel zijn/haar best deed, maar voor de rest...

tp2 @Orangelights23 • 14 april 2026 00:46

En sommige bedrijven publiceren deze incompetentie ook nog online, zie dit voorbeeld: https://www.snelstart.nl/zeker-veilig (Dit slechts een voorbeeld, ik zie veel meer bedrijven dit doen)

De bekende nietszeggende dooddoeners zoals:

- We zijn ISO27001: Mooi dat je een ISMS hebt, maar dat zegt niet automatisch iets over de feitelijke veiligheid; ChipSoft wat ook ISO27001 gecertificeerd.

- We gebruiken het veiligste datacenter: Ten eerste zegt dat helemaal niets hoe veilig je software is gebouwd en geconfigureerd; ten tweede zijn de Microsoft datacenters helemaal niet zo veilig (zie: nieuws: Rapport VS: Microsoft had e-mailhack door Chinezen kunnen voorkomen); én... ChipSoft had hun software ook bij Microsoft (Azure)

Er moet nog heel wat water door de Rijn voordat organisaties écht aan de slag gaan met beveiliging van informatiesystemen en niet alleen groene vinkjes en ronkende marketingteksten najagen.

Skywalker27 @Orangelights23 • 14 april 2026 07:32

MT en managers oh wat vinden ze infosec belangrijk tot het hun in de weg zit of geld kost. Of tot ze er achterkomen dat het een cultuur dingetje is en laten we niet beginnen over developers.

linuxpro @Orangelights23 • 14 april 2026 18:31

Ik denk dat het een security afweging is, in CISSP wordt al aangegeven dat het nemen van veiligheidsrisico's een bedrijfspolicy kan zijn. Nemen we een bepaald risico (lees, wat het kost het per jaar om cyber secure te zijn) of nemen we het risico en zien we dan wat het kost en de impact is op de bedrijfswinst. Kennelijk is het goedkoper om eens in de zoveel tijd gehackt te worden dan een continu effort te doen op (cyber)security.

_NULL @Pasteis • 13 april 2026 13:44

Ontwerpkeuzes zijn een ding, maar het ligt veel dieper.

Als ethisch hacker zie ik dit: bedrijven laten een penetratietest uitvoeren met een minimale scope, geen toegang tot broncode, vaak met account, soms zelfs zonder. En beschouwen dat als een vrijbrief. En dat geeft dus een hoop schijnveiligheid. Het is echt schrikbarend wat wij soms nog aantreffen anno 2026

Dit blijft structureel gebeuren zolang wetgeving het toelaat. Want tsja zolang een penetratietest een checkbox blijft, houd het niet op en zullen we dit blijven zien

Orangelights23 @_NULL • 13 april 2026 14:04

Het enge is dat klanten van dat soort bedrijven vanuit hun due diligence steunen op dit soort rapportages. Daarom doe ik ook graag TPRM projecten om exact naar dit soort punten te kijken. Het cybersecurity wereldje is een enorme compliance checkbox geworden en ik prik daar graag doorheen, maar ook dit is weer iets wat gekoppeld is aan kosten. Welke bedrijven kent men nog die on-site audits uitvoert bij hun kritieke leveranciers?

_NULL @Orangelights23 • 13 april 2026 14:13

On-site audits heb ik in mijn carriere nog nooit gezien. Het is allemaal gewoon een grote papieren bende vol checklist-items. Heb je een ISO 27001? SOC2? ISAE 3402? Doe je pentests? Deel je de laatste rapportage ook even?

Oh.. Mooi geen bevindingen! Ziet er allemaal mooi uit, hier is onze data en een zak geld...

Quintiemero @_NULL • 13 april 2026 15:05

En als je doorvraagt ben je de organisatie die moeilijk doet en streng is, want die vraag hebben ze nog noooit gehoord. Ik zie dat als een compliment.

[Reactie gewijzigd door Quintiemero op 13 april 2026 15:05]

Thunderhawk 13 april 2026 14:03

https://npo.nl/start/afspelen/dodelijke-zorg

2Doc over Chipsoft. Moeten gewoon wat lui de bak in, heel simpel.

[Reactie gewijzigd door Thunderhawk op 13 april 2026 16:52]

Kroesss @Thunderhawk • 13 april 2026 14:19

Naar aanleiding van het nieuws de afgelopen week heb ik deze docu ook gekeken. Het is wel een extreem voorbeeld als je het allemaal zo voorbij ziet komen.

Ik dacht eerder nog hoe het kon dat er geen enkele start-up was die het geprobeerd had, maar die zijn er dus blijkbaar wel degelijk, echter worden de ziekenhuizen blijkbaar gewoon gechanteerd door ChipSoft. En soms nog erger blijkbaar. Dat verreweg de meeste mensen die je in de docu ziet acteurs zijn, omdat de echte personen bang zijn voor de consequenties op hun persoonlijke leven als ze kritiek uitten is echt bizar.

willieverhoef @Kroesss • 13 april 2026 16:24

Ja de docu klinkt zorgelijk, maar wat IK ook vind is dat als de ziekehuizen samen zouden werken in bijvoorbeeld een gebruikersclub, hun wensen verenigen, en bij een nieuwe versie deze dingen eisen (als er dus omzet vanuit chipsoft verwacht wordt) je de misschien iets verder over de brug kunt krijgen. De hele drijfveer is geld, als ze dat gaan missen en ze merken dat gebruikers eensgezind zijn, zou ik verwachten dat ze wel een stuk kunnen bijdraaien. Ze laten zich ook wel chanteren, en met goede contracten zou je misschien dit soort praktijken minder makkelijker maken.

RBE2016 @willieverhoef • 14 april 2026 21:37

Grappig dat je dat zegt. ChipSoft gebruikt sinds HiX standaard content gebruikersgroepen zoals IC PDMS, OK, paramedici, verpleegkundig dossier er cetera. Heb zelf in 1 van deze gezeten. Het is een enorm log systeem waarbij ChipSoft ontzettend vaak het antwoord 'het is niet mogelijk' gaf. Wat ben ik blij dat ik niet meer met ze samen hoef te werken.

marapuru @Thunderhawk • 13 april 2026 15:26

Deel dan even de NPO Start link: https://npo.nl/start/afspelen/dodelijke-zorg

3raser @Thunderhawk • 13 april 2026 15:52

Dus ze noemen het een X-change (HiX) maar uitwisselen daar doen ze niet aan. Jammer dat er zoveel ziekenhuizen met zo'n partij in zee zijn gegaan.

Warri @Thunderhawk • 13 april 2026 15:10

Dit is Nederland: Niemand neemt verantwoordelijkheid of wordt verantwoordelijk gehouden.

adje123 13 april 2026 13:13

Ik moest voor een afspraak in het ziekenhuis een vragenlijst invullen, maar helaas kan het niet.

Melding op de website van het ziekenhuis:

Belangrijke informatie voor patiënten

Op dit moment is er een veiligheidsincident bij leverancier ChipSoft. Uit voorzorg hebben wij Mijn.Tergooi.nl tijdelijk uitgezet. Meer informatie vindt u op deze pagina

debom @adje123 • 13 april 2026 13:15

Diak in utrecht ook. En dit is in mijn ogen ook de enige correcte werkwijze.

Bedrijfsnieuws
Hack
Cybercrime
Ransomware
Privacy

@debom • 13 april 2026 14:15

Aangezien het doel van zorginstellingen is om zorg te verlenen is het minder zorg verlenen dan gebruikelijk geen correcte werkwijze. Eerder onacceptabel, aangezien de online-zorg er niet slecht als gemak en vermaak is. Het offline halen is 'correct' omdat de zorginstellingen niet in kunnen staan voor de gevolgen. Ze bestaan echter niet om dan dus maar minder zorg te verlenen. Het feit dat chipsoft en dit soort zorginstellingen hun dienstverlening onderling niet op orde hebben lijken de bestuurders als excuus te gebruiken om patienten massaal te benadelen. Die moeten allemaal, naast de zorgen die ze al hebben, meer moeite doen om nog behoorlijke zorg te krijgen, terwijl het bestuur daar voor verantwoordelijk is.

Majhool @kodak • 13 april 2026 16:32

Dit is wel erg kort door de bocht. Ziekenhuizen (en zelfs de bestuurders daarvan) zetten de patient op de 1e plaats. De genoemde huizen hebben 'geluk' dat het alleen maar hun portaal betreft. Afspraken kunnen niet worden ingezien en vragenlijsten niet ingevuld, maar de zorg gaat gewoon door. Daar zorgen ze wel voor. De grootste impact van de hack is dat polibezoeken langer duren, doordat de vragenlijsten er niet zijn. Verder zijn er problemen met het verwijzen naar andere instellingen, maar daar merkt de patiënt niet zoveel van. Chipsoft is een belangrijke schakel in de zorg, en die is geraakt. De impact is tot nu toe beperkt.

Om te zeggen dat ziekenhuizen de boel niet op orde brengen, bestuurders excuses zoeken en dat de zorg onbehoorlijk is, vind ik echt ongepast en verwend gedrag.

TeddyB26 @Majhool • 13 april 2026 20:07

Inderdaad. Goed verwoord. Dank.

WaffelWaffe @debom • 13 april 2026 13:20

Precies, het beste wat ze kunnen doen is alles op alles zetten om eventuele risico's weg te houden bij de zorgvrager.

DJMaze @adje123 • 13 april 2026 13:21

Vroeger waren er geen vragenlijstjes en werd je gewoon geholpen.

Dit was daarom mijn eerste ergernis bij Diak Utrecht vorig jaar, toen ik er mee werd geconfronteerd.

De vragen hadden deels ook totaal geen betrekking/aansluiting op mij, en toch werd ik geopereerd 😃

Je afspraak komt daarom vast goed.

[Reactie gewijzigd door DJMaze op 13 april 2026 13:22]

AzzKickah @DJMaze • 13 april 2026 15:16

Deels ook totaal. Ja ja.

PalingDrone @adje123 • 13 april 2026 15:33

De persoon die ik vandaag sprak vertelde dat ze al 2200 calls gehad hebben door dit incident. Een belletje voor wat informatie over een afspraak werkte gelukkig nog wel.

Dr.Dragonfly 13 april 2026 13:33

Ik was net in het ziekenhuis en ving daar toevallig een gesprek op tussen twee baliemedewerkers dat de verwijzingen die via zorgdomein lopen ook niet binnen komen door de Chipsoft hack en dat ze daar a; bang zijn belangrijke doorverwijzingen niet op tijd te kunnen helpen en b; bang zijn dat ze straks overstroomd worden door verwijzingen als het systeem weer online is.

hplar123 @Dr.Dragonfly • 13 april 2026 13:57

Deze worden gewoon semi-handmatig doorgezet. Dus deze komen niet opeens in bulk door

tweebel @Dr.Dragonfly • 13 april 2026 13:56

Dat zou zeer zorgelijk zijn. Bij de meeste ziekenhuizen komt >90% vd verwijzingen en diagnostiekaanvragen van de huisarts via ZorgDomein binnen. Een week niet betekent al vrij snel lege plekken in agenda's en onbenutte capaciteit en dat is lastig in te lopen.

(dat zou dan betekenen dat ze de verbinding met de Comez plat hebben gelegd?)

robertpNL 13 april 2026 13:36

Het is eigenlijk niet te bevatten dat een publieke website een week lang offline is. Onvoorstelbaar. Juist zo’n site moet beschikbaar zijn om klanten van actuele informatie te voorzien. Dat hoort via je eigen website te gebeuren, niet via een kanaal als LinkedIn.

Bovendien is het technisch helemaal niet ingewikkeld om tijdelijk een statische website op te zetten bij een hostingpartij. Met een eenvoudige DNS-aanpassing voor het www-domein kun je je informatie direct publiceren.

Een simpel website met info is essentieel onderdeel voor je plan om weer online te gaan: communicatie!

[Reactie gewijzigd door robertpNL op 13 april 2026 13:37]

dutchgio @robertpNL • 13 april 2026 15:19

Klanten worden per mail op de hoogte gehouden, is al meermaals gebleken uit de eerdere nieuwsberichten hierover. Is nog beter ook dan zelf de site in de gaten houden.

Metal spoon 13 april 2026 13:55

Bizar dat dit zo lang moet duren.

Even een blogje opzetten en er een subdomein naar wijzen in je DNS is zo gedaan.

Kroesss @Metal spoon • 13 april 2026 14:23

Ik heb zo'n vermoeden dat het niet het technische stukje is wat het probleem is.

Het probleem zal zijn dat ze nog steeds aan het kauwen zijn op de teksten. Om die dusdanig te formuleren dat ze juridisch geen aansprakelijkheid hoeven te nemen.

jip_86 @Metal spoon • 13 april 2026 14:38

Als je een beetje nadenkt zal een blogje voor betweterige Tweakers niet perse de hoogste prioriteit hebben op dit moment. De klanten zullen ze ongetwijfeld op andere manieren kunnen bereiken mocht dat nodig zijn.

14 april 2026 10:50

Ik vind het eigenlijk onvoorstelbaar dat een getroffen bedrijf niet even tijdelijk een noodwebsite in de lucht slingert. Met AI genereer je in no time even een tijdelijke statistische website met informatie. En voor een IT-er is het opzetten van een webserver met Lighttpd, Litespeed, of Nginx een appeltje en een eitje wat je in verloren half uurtje even uitvoert.

En tadaah: Er is weer informatie van jouw voor je klanten! Op naar het volledig herstel!

Om te kunnen reageren moet je ingelogd zijn