ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down

Het Nederlandse ChipSoft meldt een week na de ontdekking van een ransomwareaanval dat het 'een nieuwe webpagina' opzet met 'de laatste informatie'. Dit omvat ook 'een uitgebreide lijst met vragen en antwoorden'. De website van de gehackte zorgsoftwaremaker is nog altijd offline.

ChipSoft belooft in een update op LinkedIn alles op alles te zetten om de situatie 'tot een zo goed mogelijk einde te brengen'. Het bedrijf wil 'iedereen zo goed mogelijk informeren' en zet daarom 'een nieuwe webpagina' op, waar gebruikers 'de laatste informatie' kunnen vinden. Dat is inclusief 'een uitgebreide lijst met vragen en antwoorden'. De website van ChipSoft is dinsdag offline gehaald en nu nog altijd niet bereikbaar. Zodra de beloofde informatiepagina online staat, deelt ChipSoft dat op LinkedIn.

Het bedrijf erkent 'de impact op patiënten en zorgprofessionals die dagelijks op onze systemen vertrouwen'. De leverancier van software voor de zorg vindt het 'ongelofelijk spijtig dat deze situatie is ontstaan'.

In het bericht geeft ChipSoft aan dat de patiëntenzorg doorloopt en dat gebruikers met zijn epd-systeem HiX kunnen werken. "Echter, de patiëntenportalen die door ChipSoft worden gehost, zijn tijdelijk niet beschikbaar. Ook kunnen gegevens niet uitgewisseld worden via Zorgplatform." Sommige ziekenhuizen hebben zelf maatregelen genomen, zoals het verbreken van alle verbindingen met ChipSoft.

Kost tijd

Het gehackte softwarebedrijf voert nu samen met een extern team van cybersecurityexperts forensisch onderzoek uit 'om de oorzaak, omvang en bron van het incident vast te stellen'. ChipSoft vraagt begrip voor de tijd die dit kost. Naast dat onderzoekswerk is het bedrijf bezig de beveiliging te verbeteren en zijn systemen te stabiliseren. "Ook werken we aan een veilige ingebruikname van de systemen in samenwerking met Z-CERT." Het is niet bekend op welke termijn het bedrijf dit herstel verwacht.

ChipSoft HiX. Bron: ChipSoft
ChipSoft HiX. Bron: ChipSoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 13-04-2026 13:11
36 • submitter: Ewoudb

13-04-2026 • 13:11

36

Submitter: Ewoudb

Lees meer

9 apr 2026

Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

117
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Websites en community's Politiek en recht Privacy Beveiliging ChipSoft Cybercrime Cybersecurity Hack Ransomware Restore

Reacties (36)

-Moderatie-faq
36
36
18
4
0
18
Wijzig sortering

Sorteer op:

Weergave:
Pasteis 13 april 2026 13:19
Odido, Booking, Basic Fit, ChipSoft... het zijn bedrijven die pijnlijk laten zien dat er geen voldoende maatregelen getroffen worden om schade te beperken als een hacker binnen is. Bij Odido kon je kennelijk miljoenen data stelen, bij Basic Fit kon je ook aanzienlijk in een korte tijd bij heel veel gebruikersdata.

En nu bij ChipSoft kan je kennelijk hun hele keten infecteren, omdat het zo nauw verbonden is met elkaar en niet geïsoleerd waardoor je de zorg in Nederland raakt.

Hier moeten toch veel slimmere ontwerpkeuzes gemaakt kunnen gaan worden? Zonder dat de gevolgen meteen zo groot zijn als je een aanval hebt gehad?
Reageer
Orangelights23 @Pasteis13 april 2026 13:40
Als iemand die meerdere grote securityklussen als CISO en project manager heeft gedraaid in Europa, is het heel simpel: het bestuur begrijpt niet wat de risico's zijn.

Dan kijk je natuurlijk al snel naar jezelf - moet ik beter communiceren? Moeten de afdelingen hun risico's kwantificeren? Moeten we taxonomiemodellen gebruiken om data te aggregeren? Maar het is snel helder, want organisaties willen niet investeren omdat zij de risico's accepteren. Ik voer vanuit mijn eigen organisatie meerdere pentesten per jaar uit waaruit blijkt dat het digitale huis in de fik staat, maar ons toch wordt gevraagd om de bevindingen weg te halen uit het rapport. Idem voor ISO 27001 en SOC 2/ISAE audits wordt mij vaak gevraagd om goed nieuws te spelen voor de auditor.

Het is een inherent probleem binnen het bedrijfsleven dat er niets wordt gedaan zonder push. We hebben mooie wetgeving zoals de NIS2 richtlijnen waar zelfs een board training onderdeel van is, maar alles gaat om een checkbox compliance.

Helaas hebben wij maar enkele klanten die security echt als driver zien en het over de gehele linie inzetten. Security awareness, tooling, netwerksegmentatie, patching, goede governance, enzovoorts is helaas zeldzaam als je echt kijkt naar de effectiviteit.
Reageer
RicardoForce @Orangelights2313 april 2026 13:45
Zou hierin de overheid de oplossing kunnen zijn, door het kunnen opleggen van boetes die aanzienlijk hoger zijn dan wat een goede beveiliging kost? Aangezien het hier volgens jouw bericht toch echt om moedwillige nalatigheid gaat.
Reageer
Orangelights23 @RicardoForce13 april 2026 13:57
Het gaat om een combinatie van nalatigheid en onkunde. Cybersecurity wordt gezien als iets technisch, terwijl ik als niet technisch persoon ervoor zorg dat alle techniek vertaald worden naar 'business speak'. Desondanks krijg ik het er bij nota bene beursgenoteerde bedrijven niet doorheen om minimaal jaarlijks een pentest uit te voeren. Directie is volledig op de hoogte van de risico's en dat het veel goedkoper is om 25K uit te geven dan tonnen aan damage control na een datalek.

Een boete kan best interessant zijn, maar vanuit mijn eigen persoon houd ik liever een wortel voor dan slaan met een stok.
Reageer
_NULL @RicardoForce13 april 2026 13:53
Boetes alleen werken niet. Bestuurders moeten persoonlijk aansprakelijk worden gehouden. Er ligt al iets van een basis in NIS2 wetgeving hiervoor.

Maar naast aansprakelijkheid moeten we ook de lat voor wat een pentest mag heten omhooggooien. Geen checklists afwerken, niet even een scanner draaien, maar echte diepgaande tests waarbij een hacker zelf een aanvalspad kiest, alle informatie en toegang krijgt en zoekt naar bevindingen die er werkelijk toe doen.
Reageer
Loy @Orangelights2313 april 2026 13:55
maar ons toch wordt gevraagd om de bevindingen weg te halen uit het rapport.
gebeurt dat dan ook? Of kun je zeggen: dit onwegevallige stuk blijft er in, anders, bijvoorbeeld, neem ik ontslag want dit kan echt niet?

(Dat is niet makkelijk, weet niet goed wat ik zou doen in zo'n geval)
Reageer
Orangelights23 @Loy13 april 2026 13:58
Ik zet alleen maar ethische hackers in en als bedrijven dit vragen, plaatsen wij het alsnog in het rapport en worden wij simpelweg niet meer gevraagd om een nieuwe pentest uit te voeren :) Dit is een inherent onderdeel aan ethisch hacken, wij zijn geen bedrijf dat onethisch te werk gaat op dit gebied. Helaas, maar liever een meewerkende klant.
Reageer
Basje @Orangelights2313 april 2026 13:53
Vanuit mijn werk in maatwerk software due diligence kan ik dit beeld bevestigen. Veel mensen aan wie ik rapporteer zijn niet technisch, maar zodra wij zeggen wat de security issues issues zijn wordt het risico gebagatelliseerd omdat de kans dat het zou gebeuren klein zou zijn, of omdat een intern iemand het afzwakt omdat ze wel andere maatregelen hebben genomen. Uiteraard is het nooit zwart/wit, maar op het gebied van security awareness valt zeker nog een hoop te winnen.

Overigens zijn er ook bedrijven die het wel heel goed regelen, actief hun teams trainen en jaarlijkse white box pentests laten uitvoeren. En ook bij veel investeerders zie ik bewustzijn omdat ze simpelweg het risico op (financële - of imago)schade willen beperken.

Wat ik nu overigens ook veel zie is dat met de introductie van augmented programming (dwz llm's, al dan niet met agents) het hele securityverhaal er eigenlijk alleen maar slechter op is geworden... Men snapt simpelweg nog niet goed genoeg de risico's, zowel code die niet secure is maar ook data die overal heen gestuurd wordt zonder na te denken of dat kan/mag van Europese regelgeving. (Soms mag dat wel, soms niet)

[Reactie gewijzigd door Basje op 13 april 2026 14:03]

Reageer
svennd @Orangelights2313 april 2026 13:55
Het is simpel: er is nauwelijks een risico. Het huis staat in de fik, maar de schade is niet voor de entititeit, maar voor de gebruikers. PR schade ? Sure, maar als je de enige echte speler bent maakt dat weinig uit.
Reageer
DDX @Orangelights2313 april 2026 13:54
Ik merk dit ook met NIS2, vooral veel checklists waarop je allemaal vinkjes zet.
En mooi taalgebruik waardoor het lijkt alsof je er over nadenkt en dan een vinkje dat je dat 'doet'.
Reageer
Dinoxl @Orangelights2313 april 2026 13:59
amen, ik heb zelf niet te nader noemen bedrijfstak. jaren geroepen, gemeld en zelfs laten zien.

echter wordt je niet serieus genomen. en ligt data op straat, of ligt het gewoon plat.

overheid is hier niet minder in en heeft de kennis niet.

het zou iig schelen als niet deskundigen niet als manager worden aangesteld.

maar ja wie ben ik.

[Reactie gewijzigd door Dinoxl op 13 april 2026 14:01]

Reageer
Dix0r @Orangelights2313 april 2026 14:08
En hoe is de business case te maken als ondernemer? Informatiebeveiliging kost namelijk aanzienlijk veel geld hierdoor komen dus ook marges onder druk.

Informatiebeveiliging is nog altijd risicomanagement, wat je aangeeft, klopt misschien wel. Er zullen alleen voldoende ondernemers zijn die het risico 'bewust' accepteren. Of het minimale doen om niet aansprakelijk gesteld te worden.
Reageer
Orangelights23 @Dix0r13 april 2026 14:21
Wat je zegt klopt perfect: informatiebeveiliging is risicomanagement. Daarom moet alles een risicogebaseerde aanpak zijn om keuzes te verantwoorden.

Als je kijkt naar bedrijven uit de Verenigde Staten, waar cybersecurity hoog in het vaandel staat, zie je dat bedrijven van 100 personen al met een SOC werken. Nodig? Mwa. Risico's? Gemitigeerd!

Het probleem is dat veel ondernemers de risico's niet inschatten. Ik heb met genoeg ondernemers om de tafel gezeten die denken dat zij nooit geraakt zullen worden door ransomware en minimaal investeren, om vervolgens een paar ton en soms zelfs failliet te gaan wanneer zij geraakt worden door ransomware.
Reageer
J_van_Ekris
@Orangelights2313 april 2026 14:08
Ik voer vanuit mijn eigen organisatie meerdere pentesten per jaar uit waaruit blijkt dat het digitale huis in de fik staat, maar ons toch wordt gevraagd om de bevindingen weg te halen uit het rapport. Idem voor ISO 27001 en SOC 2/ISAE audits wordt mij vaak gevraagd om goed nieuws te spelen voor de auditor.
Dit is eigenlijk wel erg treurig om te constateren dat certificering eigenlijk het tegenovergestelde bereikt van het doel. Zou ook eigenlijk niet moeten: een auditor zou juist een hulpmiddel moeten zijn om de urgentie bij het hogere management duidelijk te krijgen. Jammer dat directieleden vaak slecht tegen slecht nieuws kunnen....
Reageer
naaitsab @Orangelights2313 april 2026 14:08
Helaas hebben wij maar enkele klanten die security echt als driver zien
Waarbij ik meestal zie dat deze drive er pas is als er al een keer iets (flink) mis gegaan is, bij hunzelf of partners. Helaas acteren veel besturen/bestuurders nog met een 'het gaat mij niet gebeuren' mentaliteit. Of de andere dooddoener: "maar IT kost al zo veel geld". Je zou zeggen dat na de vele grote bedrijven die recent in het nieuws zijn geweest, er wel een stuk meer awareness is. Ik merk er verbijsterend weinig van in de praktijk. Ook bij klanten in de kritieke sector en semi-overheid. "Voorkomen is utopie, mitigeren kan je leren."

Een van de punten van NIS2 die enigszins onderbelicht is dat de bestuurder persoonlijk (gedeeltelijk) aansprakelijk gehouden kan worden. Hoe dit in de praktijk wettelijk gaat uitpakken is nog de vraag. Echter lijkt me dit wel een goeie stap in de richting. Zeker bij aantoonbaar falen, zoals waarschuwingen negeren en al helemaal onderzoeksresultaten wegmoffelen. Dat zou wat mij betreft gelijk staan aan fraude.

Ik denk ook dat vanuit de overheid er een goed systeem moet komen voor dingen als PEN-testen en vulnerability scanners. Er zijn veel cowboys actief, zeker rondom NIS2. Je moet wel weten wat voor bedrijf/ZZP je in huis haalt. Of het is, vooral voor kleinere bedrijven erg duur. Z-Cert welke recent in het nieuws is gekomen bij het Chipsoft incident is hierin wat mij betreft een interessant voorbeeld voor andere sectoren.
Reageer
hamsteg @Orangelights2313 april 2026 14:19
Zolang IT als hulpmiddel wordt gezien en niet als life-line van de organisatie, zal er ook geen aandacht komen voor basic voorzieningen in de beveiliging. Dit gedrag is al decennia lang in bedrijven ingeslepen, kijk maar heel simpel hoe de IT in de boekhoudkundig wordt weggeboekt ... als kostenpost naast de koffie machine, vervoer etc.. Iets waar je makkelijk op kunt bezuinigen.
Reageer
Orangelights23 @hamsteg13 april 2026 14:22
Vergeet niet dat informatiebeveiliging veel en veel meer is dan alleen IT. Het gaat om bedrijfsmiddelen, alles wat informatie verwerkt. Dat zijn ook je leveranciers, je kantoor, je medewerkers.
Reageer
themadone @Orangelights2313 april 2026 14:37
Dus je bent CISO en begraaft problemen bij een iso audit. Is het niet juist je rol om de board gewoon te vertellen hoe je het op gaat lossen?

Ontopic, je zou kunnen overwegen om een keer een pentest de boel even een shutdown te laten geven als ze admin rechten hebben. Dan breekt de paniek uit en komt het begrip vanzelf.

Ik moet helaas ook erkennen dat veel bedrijven die ik zie waar het wel goed geregeld is eerst een keer goed onderuit zijn gegaan.

Het wordt tijd om board members hoofdelijk aansprakelijk te gaan stellen voor dit soort dingen. Dan is het ook snel klaar met het wegwuiven.
Reageer
Orangelights23 @themadone13 april 2026 14:55
Ik denk dat je mijn bericht niet goed gelezen hebt. Ik beschreef wat ik in de markt zie, niet wat ik bij mijn opdrachten meemaak.
Reageer
_NULL @Pasteis13 april 2026 13:44
Ontwerpkeuzes zijn een ding, maar het ligt veel dieper.

Als ethisch hacker zie ik dit: bedrijven laten een penetratietest uitvoeren met een minimale scope, geen toegang tot broncode, vaak met account, soms zelfs zonder. En beschouwen dat als een vrijbrief. En dat geeft dus een hoop schijnveiligheid. Het is echt schrikbarend wat wij soms nog aantreffen anno 2026

Dit blijft structureel gebeuren zolang wetgeving het toelaat. Want tsja zolang een penetratietest een checkbox blijft, houd het niet op en zullen we dit blijven zien ;)
Reageer
Orangelights23 @_NULL13 april 2026 14:04
Het enge is dat klanten van dat soort bedrijven vanuit hun due diligence steunen op dit soort rapportages. Daarom doe ik ook graag TPRM projecten om exact naar dit soort punten te kijken. Het cybersecurity wereldje is een enorme compliance checkbox geworden en ik prik daar graag doorheen, maar ook dit is weer iets wat gekoppeld is aan kosten. Welke bedrijven kent men nog die on-site audits uitvoert bij hun kritieke leveranciers?
Reageer
_NULL @Orangelights2313 april 2026 14:13
On-site audits heb ik in mijn carriere nog nooit gezien. Het is allemaal gewoon een grote papieren bende vol checklist-items. Heb je een ISO 27001? SOC2? ISAE 3402? Doe je pentests? Deel je de laatste rapportage ook even?

Oh.. Mooi geen bevindingen! Ziet er allemaal mooi uit, hier is onze data en een zak geld...
Reageer
Thunderhawk 13 april 2026 14:03
YouTube: Documentaire - Dodelijke zorg. (2Doc)

2Doc over Chipsoft. Moeten gewoon wat lui de bak in, heel simpel.
Reageer
Kroesss @Thunderhawk13 april 2026 14:19
Naar aanleiding van het nieuws de afgelopen week heb ik deze docu ook gekeken. Het is wel een extreem voorbeeld als je het allemaal zo voorbij ziet komen.

Ik dacht eerder nog hoe het kon dat er geen enkele start-up was die het geprobeerd had, maar die zijn er dus blijkbaar wel degelijk, echter worden de ziekenhuizen blijkbaar gewoon gechanteerd door ChipSoft. En soms nog erger blijkbaar. Dat verreweg de meeste mensen die je in de docu ziet acteurs zijn, omdat de echte personen bang zijn voor de consequenties op hun persoonlijke leven als ze kritiek uitten is echt bizar.
Reageer
adje123 13 april 2026 13:13
Ik moest voor een afspraak in het ziekenhuis een vragenlijst invullen, maar helaas kan het niet.

Melding op de website van het ziekenhuis:
Belangrijke informatie voor patiënten

Op dit moment is er een veiligheidsincident bij leverancier ChipSoft. Uit voorzorg hebben wij Mijn.Tergooi.nl tijdelijk uitgezet. Meer informatie vindt u op deze pagina
Reageer
debom @adje12313 april 2026 13:15
Diak in utrecht ook. En dit is in mijn ogen ook de enige correcte werkwijze.
Reageer
WaffelWaffe @debom13 april 2026 13:20
Precies, het beste wat ze kunnen doen is alles op alles zetten om eventuele risico's weg te houden bij de zorgvrager.
Reageer
kodak
@debom13 april 2026 14:15
Aangezien het doel van zorginstellingen is om zorg te verlenen is het minder zorg verlenen dan gebruikelijk geen correcte werkwijze. Eerder onacceptabel, aangezien de online-zorg er niet slecht als gemak en vermaak is. Het offline halen is 'correct' omdat de zorginstellingen niet in kunnen staan voor de gevolgen. Ze bestaan echter niet om dan dus maar minder zorg te verlenen. Het feit dat chipsoft en dit soort zorginstellingen hun dienstverlening onderling niet op orde hebben lijken de bestuurders als excuus te gebruiken om patienten massaal te benadelen. Die moeten allemaal, naast de zorgen die ze al hebben, meer moeite doen om nog behoorlijke zorg te krijgen, terwijl het bestuur daar voor verantwoordelijk is.
Reageer
DJMaze @adje12313 april 2026 13:21
Vroeger waren er geen vragenlijstjes en werd je gewoon geholpen.

Dit was daarom mijn eerste ergernis bij Diak Utrecht vorig jaar, toen ik er mee werd geconfronteerd.

De vragen hadden deels ook totaal geen betrekking/aansluiting op mij, en toch werd ik geopereerd 😃


Je afspraak komt daarom vast goed.

[Reactie gewijzigd door DJMaze op 13 april 2026 13:22]

Reageer
robertpNL 13 april 2026 13:36
Het is eigenlijk niet te bevatten dat een publieke website een week lang offline is. Onvoorstelbaar. Juist zo’n site moet beschikbaar zijn om klanten van actuele informatie te voorzien. Dat hoort via je eigen website te gebeuren, niet via een kanaal als LinkedIn.

Bovendien is het technisch helemaal niet ingewikkeld om tijdelijk een statische website op te zetten bij een hostingpartij. Met een eenvoudige DNS-aanpassing voor het www-domein kun je je informatie direct publiceren.

Een simpel website met info is essentieel onderdeel voor je plan om weer online te gaan: communicatie!

[Reactie gewijzigd door robertpNL op 13 april 2026 13:37]

Reageer
Dr.Dragonfly 13 april 2026 13:33
Ik was net in het ziekenhuis en ving daar toevallig een gesprek op tussen twee baliemedewerkers dat de verwijzingen die via zorgdomein lopen ook niet binnen komen door de Chipsoft hack en dat ze daar a; bang zijn belangrijke doorverwijzingen niet op tijd te kunnen helpen en b; bang zijn dat ze straks overstroomd worden door verwijzingen als het systeem weer online is.
Reageer
tweebel @Dr.Dragonfly13 april 2026 13:56
Dat zou zeer zorgelijk zijn. Bij de meeste ziekenhuizen komt >90% vd verwijzingen en diagnostiekaanvragen van de huisarts via ZorgDomein binnen. Een week niet betekent al vrij snel lege plekken in agenda's en onbenutte capaciteit en dat is lastig in te lopen.

(dat zou dan betekenen dat ze de verbinding met de Comez plat hebben gelegd?)
Reageer
hplar123 @Dr.Dragonfly13 april 2026 13:57
Deze worden gewoon semi-handmatig doorgezet. Dus deze komen niet opeens in bulk door
Reageer
Metal spoon 13 april 2026 13:55
Bizar dat dit zo lang moet duren.

Even een blogje opzetten en er een subdomein naar wijzen in je DNS is zo gedaan.
Reageer
Kroesss @Metal spoon13 april 2026 14:23
Ik heb zo'n vermoeden dat het niet het technische stukje is wat het probleem is.

Het probleem zal zijn dat ze nog steeds aan het kauwen zijn op de teksten. Om die dusdanig te formuleren dat ze juridisch geen aansprakelijkheid hoeven te nemen.
Reageer
jip_86 @Metal spoon13 april 2026 14:38
Als je een beetje nadenkt zal een blogje voor betweterige Tweakers niet perse de hoogste prioriteit hebben op dit moment. De klanten zullen ze ongetwijfeld op andere manieren kunnen bereiken mocht dat nodig zijn.
Reageer

Om te kunnen reageren moet je ingelogd zijn