'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'

Mogelijk hebben hackers toch gegevens van ziekenhuispatiënten gestolen bij de aanval op ChipSoft. Eerder zeiden NOS-bronnen dat dit niet het geval was, maar nu is dit volgens bronnen van het medium toch niet uit te sluiten. ChipSoft zelf zei eerder dat het niet 'waarschijnlijk' is dat er patiëntendata is gestolen.

Het gaat volgens de NOS-bronnen om ziekenhuizen die servers van ChipSoft gebruiken voor patiëntportalen. Mogelijk konden aanvallers meelezen met het verkeer dat via ChipSofts servers liep, zo luidt volgens de NOS nu de vrees.

Circa vijftien ziekenhuizen in Nederland gebruiken volgens de NOS deze dienst van ChipSoft, waaronder het Franciscus Gasthuis in Rotterdam, het Albert Schweitzer Ziekenhuis in Dordrecht en het Meander Medisch Centrum in Amersfoort. Die ziekenhuizen zouden het advies hebben gekregen om het mogelijke datalek bij de Autoriteit Persoonsgegevens te melden. De AP zegt dat meerdere ziekenhuizen dit hebben gedaan, maar noemt geen namen of cijfers.

Het is niet duidelijk waarom er nu vrees is voor het uitlekken van patiëntendata. Vorige week zeiden bronnen van de NOS nog dat de impact voor ziekenhuizen 'beperkt' leek. De bronnen zeiden toen wel dat er mogelijk bij een relatief klein aantal huisartsenpraktijken en apotheken patiëntendata is gestolen.

ChipSoft wilde tegenover de NOS niet inhoudelijk reageren op de zaak en zegt dat het onderzoek nog loopt. De patiëntenportalen zijn nog steeds offline. Patiënten kunnen daardoor hun dossiers niet bekijken en mogelijk zijn de wachtrijen in ziekenhuizen langer.

Update, 8.39 uur – In het artikel werd aanvankelijk gesproken over HiX365, maar die vermeldingen zijn uit het NOS-artikel gehaald. Om die reden wordt in dit artikel ook niet langer over HiX365 gesproken.

Voorbeeld Chipsoft HiX
Een voorbeeld van ChipSoft HiX

Door Hayte Hugo

Redacteur

Feedback • 15-04-2026 08:09
36 • submitter: protected22

15-04-2026 • 08:09

36

Submitter: protected22

Lees meer

9 apr 2026

Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

119
ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down
ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down Nieuws van 13 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026
Meer producten en artikelen
Beveiliging en antivirus ChipSoft Datalek Hack Hackers Ransomware

Reacties (36)

-Moderatie-faq
36
34
18
2
0
16
Wijzig sortering

Sorteer op:

Weergave:
roelboel 15 april 2026 08:23
Weet iemand waarom er steeds enkel over ziekenhuizen gesproken wordt? In oa. GGZ’s gebruikt men ook chipsoft. En dat zijn misschien nog wel gevoeligere dossiers. Ik heb van dichtbij meegemaakt in een eerder datalek hoe het voor iemand is als de de dingen die ze na vele jaren voor het eerst durft te bespreken op straat komen te liggen.

[Reactie gewijzigd door roelboel op 15 april 2026 08:28]

Reageer
Majhool @roelboel15 april 2026 08:29
In voorgaande berichtgeving gaf de NOS weer dat alleen huisartsen geraakt zouden zijn en ziekenhuizen niet. Daar komen ze nu op terug.

Een belangrijk inzicht is dat bepaalde zorginstellingen de chipsoft software zelf hosten (of bij een derde) en niet bij chipsoft zelf. Maar er zijn ook huizen die alles bij chipsoft hebben staan. Deze huizen hebben last van het niet beschikbaar zijn van de software en mogelijk is er dus ook data van hen buitgemaakt. Dit is nog in onderzoek.

Voor alle huizen geldt dat de landelijke voorzieningen voor met name het verwijzen van patiënten down zijn. Want dat zorgplatform stond bij chipsoft en wordt nu opnieuw opgebouwd.
Reageer
roelboel @Majhool15 april 2026 08:31
Check, dank je. Ik vind de hele situatie erg zorgwekkend, de gebrekkige communicatie van ChipSoft helpt hier niet bij.
Reageer
Senaxx @roelboel15 april 2026 09:30
Dat is een terugkomend iets. Bij een datahack altijd bagatelliseren wat er is gelekt. Dat zien we zo'n beetje bij alle hacks die hier op de FP voorbij komen. En als je er echt niet omheen kan dan pas toegeven dat toch ook nog iets extra's is gelekt.

Er wordt altijd meteen geschreven dat er geen financiële gegeven buit zijn gemaakt, maar blijkbaar wordt er minder waarde gehecht aan mijn naam, adres, telefoonnummer.
Reageer
Uhuruburu @roelboel15 april 2026 10:05
Chipsoft heeft in de EPD-markt een aandeel van 70% in de (algemene) ziekenhuizen. De academische ziekenhuizen zitten meer bij Epic en Nexus.. In de GGZ-markt zijn andere partijen actief: SDB Groep, Nedap, PinkRoccadeGGZ en Medicore.
Reageer
Botmeister 15 april 2026 08:32
Ontkennen dat er data is buitgemaakt, of vertellen dat er slechts geringe data is buitgemaakt, om dan later in stapjes de werkelijke schade mee te delen, is de nieuwe trend. Crisis-PR handboeken worden herschreven.
Reageer
Monday @Botmeister15 april 2026 08:41
Goed onderzoek kost tijd, men liet weten wat men toen op dat moment wist. Nader intern onderzoek over hoe ze zijn binnen gekomen, waar ze bij konden, waar ze mogelijk zijn geweest (als ze de logs niet hebben/kunnen wissen omdat die op een worm disk worden weggeschreven)
Reageer
Daoka @Monday15 april 2026 08:52
ChipSoft zelf zei eerder dat het niet 'waarschijnlijk' is dat er patiëntendata is gestolen.
Ik mag er van uit gaan dat voordat men zo iets zegt dus al goede onderzoek is gedaan. Als men meer tijd nodig heeft om te onderzoeken kan dit ook gezegd worden of het anders verwoorden zoals "bij de eerste onderzoeken zien we geen bewijs dat er patiëntendata is gestolen maar verdere onderzoeken lopen nog". Dan hoeft men tenminste niet te liegen (nou ja technisch gezien is het geen leugen vanwege het woordje waarschijnlijk).
Reageer
MischaBoender @Daoka15 april 2026 09:29
In alle nieuwsberichten is altijd gezegd dat het onderzoek nog in volle gang is. In de eerste berichten over de hack werd juist gezegd dat Chipsoft niet kan "uitsluiten dat persoonsgegevens zijn ingezien of gestolen".
Reageer
JJ Le Funk @Botmeister15 april 2026 08:46
vlak na de breach wisten ze niet wat hackers precies hadden uitgevroten maar willen toch graag geruststellende berichten communiceren. dan krijg je die met slagen om de arm zoals 'waarschijnlijk dit' en 'vermoedelijk dat'. tja, wat koop je ervoor.
Reageer
Skywalker27 @Botmeister15 april 2026 08:39
Hmm ze gebruiken de PPP niet meer ;)
Reageer
BytePhantomX @Botmeister15 april 2026 09:48
In het begin van het oderzoek naar zo'n incident tast je echt in het duister wat er is gebeurd en vanwege de AP moeten ze wel snel iets melden. Naarmate het onderzoek vordert wordt er dan meer duidelijk en kunnen ze preciezer melden.

Helaas wordt daar wel echt verschillend en verkeerd mee omgegaan. Zo vind ik de reactie van Odido echt super slecht. Zelfs toen al volledig duidelijk was wat er aan de hand was communiceerden ze vrijwel niet meer en gaven ze geen openheid.

Wat ik echter ook vaak zie is een quote als: "We zien geen aanwijzingen dat er gegevens zijn gelekt". Dit kun je het beste vaak lezen als, we hebben geen logs, kunnen het niet weten en gaan daarom ook niet speculeren. Altijd mooi verwoord, maar betekent niet wat de meeste mensen denken dat het betekent.

[Reactie gewijzigd door BytePhantomX op 15 april 2026 09:57]

Reageer
Lisadr @Botmeister15 april 2026 09:52
Heel Amerikaans aanpak qua Crisis-PR
  • Denial
  • Minimalize
  • Don’t accept blame
  • Shift blame
Komt neer op:
  • Ontken dat er iets is gebeurd
  • Als het naar buiten komt, geef aan dat het niet erg is
  • Als blijkt dat het erg is, geef dan aan dat het niet jouw schuld is
  • Als er iets fout gaat, dan is het de schuld van de dader (Persoon trapte zelf in phishing).
Reageer
signed 15 april 2026 08:29
Meander is verwijderd uit het NOS bericht, maakt geen gebruik van HIX365.
Reageer
DutchCommando @signed15 april 2026 08:45
Om 08:45 staat Meander Medisch Centrum in het NOS bericht.
Reageer
dixet @signed15 april 2026 08:51
Meander staat nog (of weer?) in het nos bericht.

Meander zelf noemt ook expliciet Hix op hun patiëntenportaal
Momenteel is er een storing in het netwerk van ons elektronisch patiëntendossier. Hierdoor heeft u GEEN toegang tot het patiëntenportaal MijnMeander. Onze excuses daarvoor.

==

In het patiëntenportaal MijnMeander of de HiX Patiënt app [...]
Reageer
[Roland] 15 april 2026 08:49
Mogelijk konden aanvallers meelezen met het verkeer dat via ChipSofts servers liep, zo luidt volgens de NOS nu de vrees.

Dit lees ik als data wat onversleuteld over het netwerk is gegaan en met een sniffer o.i.d. mee is gelezen, of kan er op een andere manier meegelezen worden? Als dit het is dan lijkt het risico me erg laag.

Hoe moet ik dit interpreteren?

edit: Nos spreekt over meelezen op servers wat dan weer impliceert dat men toegang had tot de servers. Dit is toch een ransomeware aanval (data versleutelen en losgeld vragen)?

Dit is echt allemaal wat vaag

[Reactie gewijzigd door [Roland] op 15 april 2026 08:53]

Reageer
singingbird @[Roland]15 april 2026 09:00
Het ene hoeft het andere niet uit te sluiten. Data stelen en data versleutelen + losgeld vragen kan allebei.
Reageer
Wouterie @[Roland]15 april 2026 09:26
De ransomware aanval kan een latere stap zijn in het geheel. Zodra de ransomware aan het werk gaat zal het worden gedetecteerd en zal het een stuk lastiger worden om ongemerkt op de systemen rond te neuzen. Er is vrij veel onduidelijk over de aanval, bijvoorbeeld hoe lang ze in de systemen aanwezig zijn geweest, hoeveel malware en andere tools er werden ingezet, waar ze wel en geen toegang toe hebben gehad...

Al met al zou je meer mogen verwachten van een bedrijf dat in deze sector en met deze data actief is.
Reageer
Nicesoft 15 april 2026 08:56
Wordt tijd dat een dergelijk bedrijf juridisch wordt aangepakt. Kan niet zo zijn dat zulke essentiële database zo makkelijk kan worden gehack, zeker dat al een lange tijd mis is Zie reportage . Het een dure les voor de zorg maar volgende keer een betere vooronderzoek en advies inwinnen.
Reageer
Pathogen 15 april 2026 08:58
Het is in mijn ogen heel simpel: Chipsoft heeft gewoon geen flauw idee. Geen logging, geen monitoring. Het enige dat wordt gecommuniceerd is "doe voor de zekerheid dit" of "we denken dat". Geen greintje zekerheid, niks concreets en vooral heel. Erg. Weinig. Communicatie.

In elke andere bedrijfstak was Chipsoft allang gecrasht en failliet geweest. Wat een krakkemikkige bedrijfsvoering voor een IT bedrijf.
Reageer
Webgnome @Pathogen15 april 2026 09:05
Het is in mijn ogen heel simpel: Chipsoft heeft gewoon geen flauw idee. Geen logging, geen monitoring. Het enige dat wordt gecommuniceerd is "doe voor de zekerheid dit" of "we denken dat". Geen greintje zekerheid, niks concreets en vooral heel. Erg. Weinig. Communicatie.

In elke andere bedrijfstak was Chipsoft allang gecrasht en failliet geweest. Wat een krakkemikkige bedrijfsvoering voor een IT bedrijf.
waar baseer je dit op?
Reageer
StefandeGroot 15 april 2026 08:47
Ik moest gisteren naar een getroffen ziekenhuis toe voor een afspraak. Ik kan wel bevestigen dat de wachtrijen langer zijn dan normaal. Normaal kan je online al aanmelden of ter plekke bij aanmeldzuilen. Nu kon dat niet. Ook al krijg je nog steeds mails binnen dat je je vanaf 24 uur van te voren je al online kan aanmelden.
De aanmeldzuil bij het bloedprikken deed het dan wel, maar die zijn nu heel erg onduidelijk wat je moet aangeven. Dus als je daar ook nog langs moet dan kost je dat al snel een kwartier extra.
Reageer
Senaxx 15 april 2026 09:47
Het is ook een beetje lastig soms te zeggen welk ziekenhuis getroffen is. Ondanks dat HiX een standaard product is kunnen ziekenhuizen op verschillende manieren inzetten. Je hebt de standaard HiX 6.3 momenteel en die kan elk ziekenhuis zelf hosten binnen het ziekenhuis. Ziekenhuizen zijn zelf dan ook verantwoordelijk voor de uitrol van de hotfixes.

Daarnaast heb je tegenwoordig ook HIX365 en dan host Chipsoft allles voor je. En door de ransomware aanvallen zijn juist die ziekenhuizen meer getroffen en is "mogelijk" patiënt data gestolen.

En op zo'n HIX systeem zijn vele 3e systemen aangesloten. Onder andere zorgdomein om te koppelen met huisartsen en soms ook Chipsoft software voor patiënt portalen. Maar hier kunnen ziekenhuizen ook voor kiezen om niet de Chipsoft variant af te nemen maar een eigen versie te hosten.
Reageer
bommen @subby_nl15 april 2026 08:24
Als je als journalist signalen krijgt uit bronnen dat iets niet pluis is bij een bedrijf, dat vervolgens gaat checken bij het betreffende bedrijf en zij willen daar niet inhoudelijk op reageren, moet je dan altijd kiezen voor niet publiceren? Het lijkt me dat de geruchten, als het uit meerdere bronnen komt, al reden genoeg zijn om te publiceren. Als het niet klopt, is zo'n reactie vanuit Chipsoft geen sterk signaal. In een casus als deze vind ik het zwijgen van Chipsoft boekdelen spreken.
Reageer
BiLLY_daKid @bommen15 april 2026 08:32
Ik heb twee gdpr implementaties ondersteund en vreet mijzelf op over de laatste leaks (zoals Odido waarin data zat dat er niet meer had mogen zijn).

Vanwege maatschappelijk belang zou Chipsoft gedwongen moeten kunnen worden om openheid te geven. Of ze hebben echt geen metrics en logging (en dan wanbeleid) of ze weten wel wat de omvang is.
Reageer
Skywalker27 @BiLLY_daKid15 april 2026 08:40
Als ISO heb ik dat ook, maar ik vreet me ook op hoe laconiek bedrijven maar ook het publiek denkt over data. Men heeft totaal geen idee.
Reageer
TRS-3 @Skywalker2715 april 2026 09:52
Als IT'er weet je dat als je bedrijf maar interessant genoeg is (of als je toevallig wordt meegenomen in een grotere hack), je vroeg of laat te maken krijgt met inbraak. Dan is de enige remedie dus compartimentering en privacy by design.

Dat gebeurt in mijn ogen veel te weinig, blijkbaar is het goedkoper om alles maar op te slaan. Daar moeten we vanaf, anders blijft dit zich herhalen. Het wordt in mijn ogen tijd dat er fundamenteel anders gekeken wordt naar de opslag van persoonsgegevens. De methode waarmee bijvoorbeeld Yivi (voorheen IRMA) dat doet zou de standaard moeten zijn: geef alleen vrij wat er écht noodzakelijk is. Dus als je moet aantonen of iemand 16+ is, is het antwoord alleen: 16+ ja of nee, en niet je geboortedatum.

En vervolgens waarde toekennen aan gegevens die wel lokaal worden opgeslagen. Als Odido een miljoenenboete krijgt voor de combinatie van slechte beveiliging en het bewaren van gegevens die al lang gewist hadden moeten worden, vindt de Raad van Toezicht of de accountant bij een ander bedrijf vanzelf iets van het risico van slechte opslag.

Zou wel leuk zijn als de overheid dan zelf ook het goede voorbeeld geeft trouwens - zie de datahonger van de Politie.
Reageer
Pino Blauw @subby_nl15 april 2026 08:21
Er zijn meer informatie bronnen mogelijk en er is niks mis met gefundeerde aannames.
Reageer
djoelzz @subby_nl15 april 2026 08:48
Dit is toch heel vaak het geval? In de documentaire waar al vaker naar is verwezen wordt een heleboel over Chipsoft blootgelegd, maar het bedrijf reageert inhoudelijk niet. Moet je het dan maar niet uitzenden? Natuurlijk niet.
NOS Artikel is overigens geschreven door een (ex) Tweaker.
Reageer
bzuidgeest @subby_nl15 april 2026 10:12
Zolang je het meld als vermoedens en speculatie zie ik het probleem niet.
Reageer
Webgnome @TrafalgarLaw15 april 2026 09:06
want de directie is hier inderdaad 1 op 1 verantwoordelijk voor? 8)7
Reageer
Glashelder @Webgnome15 april 2026 09:49
In theorie wel inderdaad. Zo werkt het met politiek toch ook? Daar worden zelfs mensen weggestuurd om iets van een voorganger.. of van iets van 10 jaar geleden ;)

Die hoge beloningen mogen ook best komen met een hoge verantwoordelijkheid. Momenteel lijkt die verantwoordelijkheid te eindigen bij de jaarcijfers.
Reageer
BytePhantomX @Webgnome15 april 2026 09:51
Ja, de directie is hier inderdaad 1-op-1 verantwoordelijk en zelfs aansprakelijk voor als de nieuwe Cyberbeveiliginswet wordt aangenomen (NIS2)
Eén van de meest opvallende veranderingen is de expliciete NIS2 aansprakelijkheid die aan het management wordt opgelegd. Besturen van essentiële en belangrijke entiteiten zijn direct aansprakelijk voor naleving van de richtlijn.
bron: https://brandcompliance.com/docs/nis2-aansprakelijkheid/

In extreme gevallen kan een bestuurder zelfs uit zijn functie worden gezet.

Of het hier zo ernstig is dat dit het geval zou moeten zijn kun je vanaf de buitenkant niet beoordelen.

[Reactie gewijzigd door BytePhantomX op 15 april 2026 09:53]

Reageer

Om te kunnen reageren moet je ingelogd zijn