'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'

Mogelijk hebben hackers toch gegevens van ziekenhuispatiënten gestolen bij de aanval op ChipSoft. Eerder zeiden NOS-bronnen dat dit niet het geval was, maar nu is dit volgens bronnen van het medium toch niet uit te sluiten. ChipSoft zelf zei eerder dat het niet 'waarschijnlijk' is dat er patiëntendata is gestolen.

Het gaat volgens de NOS-bronnen om ziekenhuizen die servers van ChipSoft gebruiken voor patiëntportalen. Mogelijk konden aanvallers meelezen met het verkeer dat via ChipSofts servers liep, zo luidt volgens de NOS nu de vrees.

Circa vijftien ziekenhuizen in Nederland gebruiken volgens de NOS deze dienst van ChipSoft, waaronder het Franciscus Gasthuis in Rotterdam, het Albert Schweitzer Ziekenhuis in Dordrecht en het Meander Medisch Centrum in Amersfoort. Die ziekenhuizen zouden het advies hebben gekregen om het mogelijke datalek bij de Autoriteit Persoonsgegevens te melden. De AP zegt dat meerdere ziekenhuizen dit hebben gedaan, maar noemt geen namen of cijfers.

Het is niet duidelijk waarom er nu vrees is voor het uitlekken van patiëntendata. Vorige week zeiden bronnen van de NOS nog dat de impact voor ziekenhuizen 'beperkt' leek. De bronnen zeiden toen wel dat er mogelijk bij een relatief klein aantal huisartsenpraktijken en apotheken patiëntendata is gestolen.

ChipSoft wilde tegenover de NOS niet inhoudelijk reageren op de zaak en zegt dat het onderzoek nog loopt. De patiëntenportalen zijn nog steeds offline. Patiënten kunnen daardoor hun dossiers niet bekijken en mogelijk zijn de wachtrijen in ziekenhuizen langer.

Update, 8.39 uur – In het artikel werd aanvankelijk gesproken over HiX365, maar die vermeldingen zijn uit het NOS-artikel gehaald. Om die reden wordt in dit artikel ook niet langer over HiX365 gesproken.

Voorbeeld Chipsoft HiX
Een voorbeeld van ChipSoft HiX

Door Hayte Hugo

Redacteur

Feedback • 15-04-2026 08:09
76 • submitter: protected22

15-04-2026 • 08:09

76

Submitter: protected22

Lees meer

9 apr 2026

Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

120
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
Ict-bedrijven kunnen rekenen op preventieve controles rond beveiliging
Ict-bedrijven kunnen rekenen op preventieve controles rond beveiliging Nieuws van 16 april 2026
HEMA verwisselt klantfoto's, slachtoffers zoeken via Reddit naar eigenaars
HEMA verwisselt klantfoto's, slachtoffers zoeken via Reddit naar eigenaars Nieuws van 15 april 2026
ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down
ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down Nieuws van 13 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026
Meer producten en artikelen
Beveiliging en antivirus ChipSoft Datalek Hack Hackers Ransomware

Reacties (76)

-Moderatie-faq
76
74
44
4
0
24
Wijzig sortering

Sorteer op:

Weergave:
mark777 15 april 2026 10:21
Ja hoor weer een hack. Weer de closs? Wat een elende al die digitale dossiers
Reageer
gpon 15 april 2026 12:33
Komen ze aardig laat mee.
Reageer
gpon 15 april 2026 12:35
Ik hoor dat de software van ChipSoft aardig slecht is ontworpen. Zelf ben ik geen developer en kan ik daar niet over oordelen maar als dat klopt dan hebben ze bewust risico genomen.
Reageer
friket 15 april 2026 12:56
Iedereen die denkt dat dit te voorkomen is leeft echt in een fabeltjes wereld. Grote partijen als Microsoft enzo lukt het niet eens hun eigen boel dicht te krijgen en die hebben wel de expertise en geld beschikbaar. Hoge geplaatste, zwaar beveiligde politici is ook al in het nieuws geweest dat die gehackt zijn. Data die puur intern staat en niet aan internet hangt wordt ook gewoon bij bedrijven als ASML naar buiten gesmokkeld (al paar keer in het nieuws geweest). Sluit natuurlijk niet uit dat dingen altijd beter kunnen en dat bedrijven niet nalatig moeten zijn m.b.t. security of aangepakt kunnen mogen worden als ze erg nalatig zijn geweest.
Reageer
PhRiXoS 15 april 2026 14:59
Natuurlijk is er in het begin niet direct duidelijk wat er aan de hand is. Onderzoek kost tijd. Je kijkt naar de oorzaak en impact en te nemen maatregelen en mondjesmaat komt de informatie binnen. Niet alle info kan of mag gedeeld worden.
Ga er maar aanstaan. Ben geen fan van het bedrijf, maar ik wens niemand dit toe.

publieke info vanuit Chipsoft:

https://informatie.chipsoft.com/chip-soft-informatiepagina-ransomware-incident/
Reageer
BlackMage 15 april 2026 15:58
Opzich is het niet 'nieuws'. Dat patientenpoortaal/huisartsportaal wat door Chipsoft wordt gehost, bezit zelf geen brondata, maar haalt realtime dat op uit het ziekenhuis die (grotendeels) on-premise HiX heeft draaien met api servers voor deze dienst.

Maar alle data van patienten die het portaal gebruiken passeert wel de servers van Chipsoft waar het portaal draait. Zelfs als ze helemaal geen herleidbare gegevens zouden loggen (dat weten we niet), dan zouden de 'inbrekers' wel iets op deze servers geinstalleerd kunnen hebben om het af te vangen. Ik betwijfel het, maar het kan.

Daarom is het niet uitgesloten dat de inbrekers geen patientgegevens hebben kunnen bemachtigen. En dat is ook het hele bericht. Er zijn geen aanwijzingen dat het is gebeurd, maar dus ook (nog) geen uitsluiting.
Reageer
Bkim 16 april 2026 07:44
Odido ach...we zijn allang vergeten dat er gegevens van een derde NL op straat ligt. Gewoon voorzichtig zijn met phishing wordt er dan geadviseerd. En nu Chipsoft...die gasten gaan echt niet vertellen dat van een derde NL medische gegevens op straat liggen. Misschien hebben ze inmiddels grof geld betaald aan de criminelen. Misschien wel op advies van de regering. Maar ook dat zijn we snel vergeten....op naar de volgende hack...next!
Reageer
bommen @subby_nl15 april 2026 08:24
Als je als journalist signalen krijgt uit bronnen dat iets niet pluis is bij een bedrijf, dat vervolgens gaat checken bij het betreffende bedrijf en zij willen daar niet inhoudelijk op reageren, moet je dan altijd kiezen voor niet publiceren? Het lijkt me dat de geruchten, als het uit meerdere bronnen komt, al reden genoeg zijn om te publiceren. Als het niet klopt, is zo'n reactie vanuit Chipsoft geen sterk signaal. In een casus als deze vind ik het zwijgen van Chipsoft boekdelen spreken.
Reageer
BiLLY_daKid @bommen15 april 2026 08:32
Ik heb twee gdpr implementaties ondersteund en vreet mijzelf op over de laatste leaks (zoals Odido waarin data zat dat er niet meer had mogen zijn).

Vanwege maatschappelijk belang zou Chipsoft gedwongen moeten kunnen worden om openheid te geven. Of ze hebben echt geen metrics en logging (en dan wanbeleid) of ze weten wel wat de omvang is.
Reageer
Skywalker27 @BiLLY_daKid15 april 2026 08:40
Als ISO heb ik dat ook, maar ik vreet me ook op hoe laconiek bedrijven maar ook het publiek denkt over data. Men heeft totaal geen idee.
Reageer
TRS-3 @Skywalker2715 april 2026 09:52
Als IT'er weet je dat als je bedrijf maar interessant genoeg is (of als je toevallig wordt meegenomen in een grotere hack), je vroeg of laat te maken krijgt met inbraak. Dan is de enige remedie dus compartimentering en privacy by design.

Dat gebeurt in mijn ogen veel te weinig, blijkbaar is het goedkoper om alles maar op te slaan. Daar moeten we vanaf, anders blijft dit zich herhalen. Het wordt in mijn ogen tijd dat er fundamenteel anders gekeken wordt naar de opslag van persoonsgegevens. De methode waarmee bijvoorbeeld Yivi (voorheen IRMA) dat doet zou de standaard moeten zijn: geef alleen vrij wat er écht noodzakelijk is. Dus als je moet aantonen of iemand 16+ is, is het antwoord alleen: 16+ ja of nee, en niet je geboortedatum.

En vervolgens waarde toekennen aan gegevens die wel lokaal worden opgeslagen. Als Odido een miljoenenboete krijgt voor de combinatie van slechte beveiliging en het bewaren van gegevens die al lang gewist hadden moeten worden, vindt de Raad van Toezicht of de accountant bij een ander bedrijf vanzelf iets van het risico van slechte opslag.

Zou wel leuk zijn als de overheid dan zelf ook het goede voorbeeld geeft trouwens - zie de datahonger van de Politie.
Reageer
pietvelleman @TRS-315 april 2026 10:38
Een miljoenenboete wordt simpelweg afgeschreven. Daar liggen bestuurders niet van wakker.

Je moet bestuurders persoonlijk aansprakelijk gaan stellen en verantwoordelijk houden...
Reageer
TRS-3 @pietvelleman15 april 2026 11:57
Zeker bij beursgenoteerde bedrijven zal die bestuurder toch verantwoording moeten afleggen voor de lagere rendementen. Het gaat erom dat je het risico vertaalt in een financieel risico, de enige taal die ze op C-level spreken.

Op dit moment is het alleen een imago-probleem en spelen ze met verve de rol van slachtoffer.
Reageer
tweaknico @pietvelleman16 april 2026 15:25
NIS2 dus.
Reageer
Pino Blauw @subby_nl15 april 2026 08:21
Er zijn meer informatie bronnen mogelijk en er is niks mis met gefundeerde aannames.
Reageer
djoelzz @subby_nl15 april 2026 08:48
Dit is toch heel vaak het geval? In de documentaire waar al vaker naar is verwezen wordt een heleboel over Chipsoft blootgelegd, maar het bedrijf reageert inhoudelijk niet. Moet je het dan maar niet uitzenden? Natuurlijk niet.
NOS Artikel is overigens geschreven door een (ex) Tweaker.
Reageer
bzuidgeest @subby_nl15 april 2026 10:12
Zolang je het meld als vermoedens en speculatie zie ik het probleem niet.
Reageer
Webgnome @TrafalgarLaw15 april 2026 09:06
want de directie is hier inderdaad 1 op 1 verantwoordelijk voor? 8)7
Reageer
Glashelder @Webgnome15 april 2026 09:49
In theorie wel inderdaad. Zo werkt het met politiek toch ook? Daar worden zelfs mensen weggestuurd om iets van een voorganger.. of van iets van 10 jaar geleden ;)

Die hoge beloningen mogen ook best komen met een hoge verantwoordelijkheid. Momenteel lijkt die verantwoordelijkheid te eindigen bij de jaarcijfers.
Reageer
BytePhantomX @Webgnome15 april 2026 09:51
Ja, de directie is hier inderdaad 1-op-1 verantwoordelijk en zelfs aansprakelijk voor als de nieuwe Cyberbeveiliginswet wordt aangenomen (NIS2)
Eén van de meest opvallende veranderingen is de expliciete NIS2 aansprakelijkheid die aan het management wordt opgelegd. Besturen van essentiële en belangrijke entiteiten zijn direct aansprakelijk voor naleving van de richtlijn.
bron: https://brandcompliance.com/docs/nis2-aansprakelijkheid/

In extreme gevallen kan een bestuurder zelfs uit zijn functie worden gezet.

Of het hier zo ernstig is dat dit het geval zou moeten zijn kun je vanaf de buitenkant niet beoordelen.

[Reactie gewijzigd door BytePhantomX op 15 april 2026 09:53]

Reageer
bzuidgeest @Webgnome15 april 2026 10:18
Het is een beetje grof gesteld, maar ja, waarom niet? Ze zijn eindverantwoordelijk en incompetentie op dat niveau en "ik wist het niet" vind ik geen excuus. Het word hoog tijd dat ook de directie van IT bedrijven enig verstand heeft van wat ze aan het doen zijn. Vaak is dat namelijk helemaal niet zo. En je ziet de gevolgen.

Er is nog wel eens personeel dat wel weet wat ze aan het doen zijn. Maar dan komen die directeuren en managers en andere penny-pinchers en die slopen het met een mooi verhaal en zo min mogelijk doen. Want doen kost geld, begrip kost geld. En zolang de klant je verhaal gelooft en nog minder weet, zien die figuren geen probleem.

Dus ja, een verantwoordelijk directie, met persoonlijke gevolgen bij dit soort gevallen (boetes, ontslag, geen gouden parachute, er zijn vele opties) zie ik niet als een probleem. Dat hoort bij de functie wat mij betreft. En let wel, veel directeuren zijn geen eigenaar. Het is gewoon personeel met een functie.

De bestuurder van een auto is ook altijd verantwoordelijk en kan niets op de bijrijders afschuiven. Dan had de bestuurder moeten stoppen als die een probleem waren. Een auto bestuurder heeft ook verplicht een rijbewijs. Directie leden helaas niet.

[Reactie gewijzigd door bzuidgeest op 15 april 2026 10:20]

Reageer

Om te kunnen reageren moet je ingelogd zijn