ChipSoft verliest rechtszaak tegen ziekenhuizen die gezamenlijk EPD opzetten

ChipSoft is in het ongelijk gesteld in zijn rechtszaak tegen ziekenhuizen die een concurrerend systeem voor elektronische patiëntendossiers willen gebruiken. De Nederlandse leverancier van epd-software won zijn kort geding begin dit jaar, maar verliest nu in hoger beroep.

Drie ziekenhuizen in Noord-Nederland willen een gezamenlijk epd-systeem gebruiken. Daarvoor sluiten twee van hen aan op het systeem dat de derde al gebruikt. Het gaat om de epd-software van ChipSoft-concurrent Epic. Volgens de Nederlandse leverancier, die nu te maken heeft met een verstrekkende hackaanval, mogen de ziekenhuizen niet overgaan op het systeem dat een van hen al gebruikt. Een nieuwe, Europese aanbesteding zou verplicht zijn, aldus het bedrijf in zijn kort geding.

Het Universitair Medisch Centrum Groningen gebruikt het Epic-systeem, waar zorgorganisatie Treant en het Ommelander Ziekenhuis Groningen op willen aansluiten. Terwijl ChipSoft in februari dit jaar zijn zaak tegen deze drie zorginstellingen won, lijdt het nu verlies in het hoger beroep dat het UMCG, Treant en OZG instelden.

De rechter oordeelt dat er geen aanbesteding nodig is, omdat de twee aansluitende zorginstellingen geen zogeheten aanbestedende diensten zijn. OZG is het streekziekenhuis van Noord- en Oost-Groningen en valt sinds december 2015 volledig onder het UMCG. Dochterorganisatie OZG fungeert wel als volledig zelfstandig ziekenhuis. Treant was door de voorzieningenrechter in het kort geding al gedefinieerd als geen aanbestedende dienst.

Patiëntengegevens gestolen

ChipSoft werd eerder deze maand getroffen door een ransomwareaanval. Daarbij blijken toch ook gegevens van patiënten buitgemaakt. De leverancier en hoster van epd-software stelde eerst dat klantdata 'waarschijnlijk' niet getroffen was. Daar is het nu op teruggekomen. Cybercriminelen hebben naar verluidt gegevens in handen van huisartsen, revalidatieklinieken en oogziekenhuizen.

ChipSoft fpa
ChipSoft, datadiefstal. Bron: Tweakers

Door Jasper Bakker

Nieuwsredacteur

Feedback • 21-04-2026 14:25
29 • submitter: Sabes

21-04-2026 • 14:25

29

Submitter: Sabes

Lees meer

9 apr 2026

Als HiX faalt, faalt de zorg: de ChipSoft‑hack onderstreept dominantie

120
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026
ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down
ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down Nieuws van 13 april 2026
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval
ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware
Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026
Meer producten en artikelen
Marktontwikkelingen Politiek en recht ChipSoft Epd Rechtspraak Rechtszaak Zorgstelsel

Reacties (29)

-Moderatie-faq
29
29
23
0
0
3
Wijzig sortering

Sorteer op:

Weergave:
air2 21 april 2026 14:30
Wat ik in het artikel erg mis is WAAROM chipsoft nu wel verliest.
edit:
Na een AI samenvatting te hebben gescaned is de reden dat:
Het hof verwerpt de uitspraak van de (lagere) rechtbank, oordeelt dat de aanbesteding uit 2015 al voorzag in regionale uitbreiding.

edit 2:

@Hammetje heeft gelijk
Die twee andere organisaties zijn niet aanbestedingsplichtig EN de aanbesteding voorzag in uitbreiding, dus ook het ziekenhuis hoeft geen nieuwe aanbesteding te doen.

[Reactie gewijzigd door air2 op 21 april 2026 14:43]

Reageer
Hammetje @air221 april 2026 14:35
Dat staat inderdaad niet in het artikel. Uit de uitspraak haal ik dit: "Aanbestedingswet. Kort geding. Algemeen ziekenhuis is geen aanbestedende dienst. Vrijwillige transparantie vooraf (artikel 4.16 Aw). Wezenlijke wijziging. Hof oordeelt dat algemeen ziekenhuis kan aansluiten op EPD UMCG zonder dat nieuwe aanbesteding van het EPD van UMCG nodig is."

Kortom; Ommelander en Treant (algemene ziekenhuizen) zijn niet aanbestedingsplichtig en mogen aansluiten op EPD UMCG (Epic) zonder nieuwe aanbesteding.
Reageer
DropjesLover @Hammetje21 april 2026 15:16
Betekent dat dan ook dat elk algemeen ziekenhuis dus zonder Europese aanbesteding van dienstverlener kan wisselen?
Reageer
The Third Man @DropjesLover21 april 2026 15:22
De privaat ingerichte wel, maar bijvoorbeeld niet de UMC's.
Reageer
etrans @air221 april 2026 14:33
https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:GHARL:2026:2351
Reageer
AuteurJaspB Nieuwsredacteur @air221 april 2026 14:36
Je hebt gelijk dat het waarom ontbrak. Dat heb ik zojuist kort toegevoegd.
Reageer
headout @air221 april 2026 14:36
Eens.

Uit de uitspraak valt het eenvoudig af te leiden:
Het hof is van oordeel dat de aanbesteding uit 2015 ook de optie van een regionaal EPD omvatte en komt tot een ander oordeel dan de voorzieningenrechter, ook op het punt of OZG als aanbestedende dienst moet worden aangemerkt. Daarmee kan het vonnis van de voorzieningenrechter niet in stand blijven.
En uit de aanbesteding:
Deze aanbesteding bevatte enkele wensen die zagen op samenwerking met andere instellingen.

Wens 77 luidde:

"Het UMCG streeft naar intensievere regionale samenwerking. Dit zal tot gevolg hebben dat activiteiten binnen een behandelingstraject over verschillende instellingen uitgevoerd worden; het UMCG voert slechts een gedeelte van de behandeling uit. Het EPD zal mogelijk in een later stadium in een ander regionaal ziekenhuis uitgerold worden. Hoe kan het EPD met betrekking tot zorg die over meerdere zorginstellingen verdeeld is, omgaan met medische facturatie? Ga bij de beantwoording in op: (. . .)

c. op welke wijze kunnen meerdere zelfstandige entiteiten gebruik maken van het EPD, waarbij de medische informatie van beide entiteiten binnen de vigerende regelgeving zichtbaar is [in, hof] de andere entiteiten, maar sprake is van een zelfstandig Registreren-Samenvatten-Afleiden Declareren proces. (. . .)

g. bovenstaande vragen bezien vanuit de situatie dat de andere entiteit geen gebruik maakt van hetzelfde EPD als het UMCG én de situatie dat de andere entiteit wel gebruik maakt van hetzelfde EPD als het UMCG:

h. indien gebruik gemaakt wordt van eenzelfde EPD over meerdere entiteiten; de mogelijkheden bij één installatie voor meerdere instellingen dan wel één installatie per instelling (. . .)"

en wens 87:

"Welke architectuur adviseert Inschrijver rekening houdend met een eventueel

doorgroeiscenario dat aansluit bij de wens om de regionale samenwerking te intensiveren?

Ga bij de beantwoording in op:

a. na implementatie in UMCG uitrol in de andere instelling.

b. het naderhand samenvoegen van 2 installaties dan wel ontvlechten van 1 installatie

c. tools ter ondersteuning van voorgaande twee punten

d. overig."
Reageer
jip_86 @air221 april 2026 14:40
Vooralsnog is alleen de dwangsom niet voldoende gespecificeerd, de vraag of er een nieuwe aanbesteding moet komen niet perse: https://x.com/i/grok/share/61dcaf81c07748f4b04559da02b8fe39
Reageer
Question Mark Moderator SWS WOS @air221 april 2026 14:42
Dat lijkt een niet volledige conclusie. Als je het stuk leest spelen er twee zaken mee:
  1. De aanbesteding uit 2015 voorzag idd. al in regionale uitbreiding
  2. De kosten die gemoeid zijn met het aansluiten van beide ziekennhuizen op het EPIC systeem van het UMCG vallen onder de aanbestedingsgrens en is daarom niet aanbestedingsplichtig. De discussie van de eerste rechtszaak of de beide ziekenhuizen wel of niet een "aanbestedingspartij" zijn, zijn daardoor niet meer relevant.
Reageer
wjn @air221 april 2026 14:35
Kort samengevat omdat Chipsoft geen partij in deze is en al helemaal geen recht heeft 100.000€ per dag als dwangsom op te (laten) leggen.

Correct if I am wrong.
Reageer
Z80 @wjn21 april 2026 14:52
Chipsoft is wel een partij in deze. De eis is om andere redenen afgewezen. Namelijk niet aanbestedingsplichtig.
Reageer
willieverhoef @air221 april 2026 14:59
Al een klant wil gaan, gaat hij, dus waarom die rechtzaak. Het nu zal het opnieuw aanbesteed worden, maar worden geschreven dat je het afgelopen jaar niet gehacked mag zijn. En Chipsoft heeft geen kans.
Reageer
wildhagen
21 april 2026 14:34
Drie ziekenhuizen in Noord-Nederland willen een gezamenlijk epd-systeem gebruiken. Daarvoor sluiten twee van hen aan op het systeem dat de derde al gebruikt. Het gaat om de epd-software van ChipSoft-concurrent Epic.
Ik vind dit persoonlijk toch een lastige. Samenwerking is uiteraard altijd goed, dat vooropgesteld. Eveneens vooropgesteld het feit dat ChipSoft nogal omstreden is vanwege hun nogal excessief hoge kosten, vervelende praktijken etc (en dat was al zo voor het geblunder met de hele hack op dit moment), kan je je afvragen of Epic dan wel weer een goed alternatief is.

Over Epic hoor je namelijk her en der ook diverse klachten over problemen met uitwisselen van data etc tussen diverse (externe) zorgverleners. Data die niet aankomt, slechts deels aankomt, vertraagd aankomt of allerlei rare meldingen etc.

En dan heb ik ook persoonlijke ervaringen met Epic vanuit het patientenportaal (van het ETZ ziekenhuis), waarbij ik de interface echt outdated en complex vind, maar ik weet niet of dat ETZ-specifiek is qua inrichting, of een Epic-probleem in het algemeen.

Een beetje meer concurrentie dan Epic en ChipSoft zou wel fijn zijn, want zo wordt de spoeling wel heel dun. Er is nog Nexus, maar die heeft maar een heel klein marktaandeel zover ik weet (in NL iig).

Anders is overstappen (als dat al kan) ook niet echt een optie meer, en wat heeft dan die aanbesteding nog voor nut? Dan staat de uitslag daarvan bijna op voorhand al vast?



Immers, Epic is een Amerikaans bedrijf, en ze hosten dus ook de patientdata als ik het artikel goed begrijp:

[quote]
In addition, Epic Systems hosts the Cosmos data warehouse, which contains de-identified data from multiple organizations, with a total of 296 million patients
[/quote]

Waar ze dit hosten (VS, EU etc) weet ik niet, maar als Amerikaans bedrijf vallen ze sowieso onder de Patriot Act, Freedom Act of opvolgers ervan etc. Met alle mogelijke gevolgen van dien.

Is die patientdata bij Epic dan veiliger dan bij een ChipSoft? Willen we dat soort potentieel toch erg gevoelige gegevnes hebben bij een Amerikaanse (of iig, non-EU) organisatie?

Edit: Ok dat tweede bezwaar is dus niet van toepassing, Cosmos is kennelijk een andere dienst dan het EPD zellf. Het eerste bezwaar van weinig tot geen concurrentie blijft imho staan.

[Reactie gewijzigd door wildhagen op 21 april 2026 15:02]

Reageer
Bitfreakie @wildhagen21 april 2026 14:44
Immers, Epic is een Amerikaans bedrijf, en ze hosten dus ook de patientdata als ik het artikel goed begrijp:
Nee, Epic draait bij het UMCG on premises.

[Reactie gewijzigd door Bitfreakie op 21 april 2026 14:45]

Reageer
headout @Bitfreakie21 april 2026 14:58
Epic draait overal on prem. En Cosmos wordt niet gebruikt in NL; alleen AmsterdamUMC heeft ooit de mogelijkheid van het gebruik onderzocht.
Reageer
5pë©ïàál_Tèkén @wildhagen21 april 2026 14:38
Zoals in de docu Dodelijke Zorg naar voren komt is deze kwestie urgenter dan de vraag 'waar liggen de erg gevoelige gegevens'. Er gaan mensen dood omdat de systemen binnen HiX niet goed aangesloten kunnen worden. Artsen en ziekenhuizen moeten kiezen tussen de minst kwade, en landelijk is wel duidelijk dat HiX draconisch is maar vooral ook zal blijven. Privacy is belangrijk, maar mensenlevens zijn belangrijker.
[edit]
Een beetje meer concurrentie dan Epic en ChipSoft zou wel fijn zijn, want zo wordt de spoeling wel heel dun. Er is nog Nexus, maar die heeft maar een heel klein marktaandeel zover ik weet (in NL iig).
En dat is dus niet te doen.
  1. De markt is al verdeeld (alle ziekenhuizen hebben al jarenlange contracten lopen).
  2. Overstappen naar een ander systeem is een proces dat makkelijk 3 tot 5 jaar duurt. Al die tijd is men kwijt aan systemen, minder handen aan het bed.
  3. Het bouwen van zo'n systeem kost op z'n minst €500 miljoen (zeggen artsen in de docu) met een bouwtijd van heb ik jou daar. Dan zul je een systeem moeten hebben dat aantoonbaar beter is, maar dat kun je niet aantonen omdat er nog geen klanten zijn die het gebruiken.
  4. De wetgeving veranderd snel (er komst steeds meer jurisprudentie m.b.t. de GDPR) waardoor niet duidelijk is wat het systeem wel of niet moet kunnen of niet mag kunnen. Features waar honderden uren in worden gestoken en dan later niet wettelijk zijn toegestaan is lastig te verkopen bij een start up project.
  5. De sector is onderling verdeeld, als in ze trekken niet gezamenlijk op. Het ene ziekenhuis wil X, het andere wil Y. Hier komt ook bij kijken dat er tussen de ziekenhuizen zelf en de betrokken maatschappen (bijna alle artsen werken in een maatschap, dus niet bij het ziekenhuis in dienst) ook spanningsvelden en verschillende belangen zijn. De artsen/maatschappen zijn niet verantwoordelijk voor de IT, het ziekenhuis is dat. Maar Chipsoft kan de maatschappen wel rechtstreeks benaderen.
  6. De markt is te klein. Voor een bevolking van 17 miljoen is het niet heel interessant om een heel ziekenhuis IT project op te zetten. Dat blijkt ook uit de geschiedenis van Chipsoft - dat begon als een factureringsprogramma en 'blufte' zichzelf langs de artsen en politici tot er geen andere partijen meer waren. Chipsoft is nooit opgezet om dit systeem aan te bieden - er waren gewoon geen andere partijen meer die dit als core business deden.
  7. De toekomst is onduidelijk. Komt er vanuit Brussel een richtlijn/wetgeving die stelt waar IT systemen voor ziekenhuizen aan moeten voldoen? De huidige situatie is bedroevend, dus de redding zal wel weer eens uit Brussel moeten komen. Ik zou me als ITer niet branden aan een project waarvan ik niet weet of het over 10 jaar nog voldoen aan Europese normen (ISO).

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 21 april 2026 15:36]

Reageer
ZinloosGeweldig @wildhagen21 april 2026 14:46
Immers, Epic is een Amerikaans bedrijf, en ze hosten dus ook de patientdata als ik het artikel goed begrijp:

In addition, Epic Systems hosts the Cosmos data warehouse, which contains de-identified data from multiple organizations, with a total of 296 million patients
Dit begrijp je niet goed. Cosmos data warehouse is gewoon een andere dienst. Het is niet zo dat als je het EPD van Epic gebruikt, er automatisch patientdata van je zorginstelling door Epic gehost wordt of je data dat data warehouse in gaat.

[Reactie gewijzigd door ZinloosGeweldig op 21 april 2026 14:47]

Reageer
Johan9711 @wildhagen21 april 2026 14:57
Bij Chipsoft lijkt het mij aantoonbaar onveilig momenteel, en inderdaad, bij een Amerikaanse partij is m.i. ook niet wenselijk.

Echter, dat is niet waar deze uitspraak over gaat. Dit gaat over of de ziekenhuizen mochten wisselen van EPD leverancier zonder dit opnieuw aan te besteden.
Uit de uitspraak:
UMCG heeft in 2015 haar elektronisch patiëntendossier (EPD) aanbesteed en gegund aan EPIC. OZG en Treant willen aansluiten bij dit systeem. Volgens Chipsoft kan dit niet zonder nieuwe aanbesteding door UMCG van het hele dan ontstane regionale EPD. De voorzieningenrechter heeft Chipsoft gevolgd en UMCG op straffe van een dwangsom van € 100.000 per dag verboden om op de ingeslagen weg voort te gaan.


Het hof is van oordeel dat de aanbesteding uit 2015 ook de optie van een regionaal EPD omvatte en komt tot een ander oordeel dan de voorzieningenrechter, ook op het punt of OZG als aanbestedende dienst moet worden aangemerkt. Daarmee kan het vonnis van de voorzieningenrechter niet in stand blijven.
En ook een niet onbelangrijk iets dat word benoemd in de uitspraak:
Na het uittreden van Nexus en een andere leverancier zijn er voor IT-diensten betreffende het EPD nog twee spelers op de Nederlandse markt: Chipsoft met een marktaandeel van ruim meer dan 50 % van de ziekenhuizen en Epic (met een Amerikaans moederbedrijf) dat een aantal grotere ziekenhuizen onder contract heeft.
Er is dus letterlijk géén alternatief.
Reageer
r03n_d @Johan971121 april 2026 15:18
Dat is bijzonder, want bij mijn weten stopt Nexus helemaal niet?
Reageer
svideo @wildhagen21 april 2026 14:47
Ik snap sowieso niet dat een EPD onder aanbestedings verplichtingen valt.
De poltiek moet hier een plas overdoen en daarmee ligt het voor alle patienten in NL vast. Wat een ziekenhuis of huisarts wil is totaal irrelevant.
Op amerikaanse servers is nu met die orangoetang totaal onbestreekbaar en zou tot politieke actie moeten leiden. Wat een aanbesteding zou kunnen triggeren voor alle ziekenhuizen!
Reageer
CrazyBernie @svideo21 april 2026 15:18
Ik denk dat veel belangrijker is dat concurrenende systemen zich aan een aantal landelijke data standaarden moeten houden -> Deze specificaties moeten in de vorm van testen ook vast gelegd worden. Voor de opslag van patient data mag geen enkel epd van deze formats afwijken en er is ook een open specificatie voor de koppeling met een epd. En dan kan iedereeen een EPD ontwikkelen maar krijg je alleen maar toestemming om mee te doen op de markt als je aan die standaarden voldoet.

Zo'n model lijdt waarschijnlijk tot veel concurrentie omdat migratie relatief makkelijk wordt .
Reageer
Syzzer 21 april 2026 14:38
En weer meer Amerikaanse afhankelijkheid. We maken ons zorgen om DigiD en MijnOverheid, maar verhuizen ondertussen de patiëntendossiers naar de Amerikanen.

Niet dat ChipSoft zo'n fijne partij is, maar we moeten dit toch ook gewoon in Europa kunnen?
Reageer
Z80 @Syzzer21 april 2026 14:59
Nee de patiëntendossiers blijven in Nederland. Binnen de muren van het ziekenhuis. Alles draait lokaal. Niet in de grote wolk in de USA.
Reageer
Syzzer @Z8021 april 2026 15:47
Dat scheelt iets. Maar hoeveel consultants van die leverancier hebben toegang nodig tot de systemen om ze te onderhouden?

En de afhankelijkheid blijft: bij sancties moet de dienstverlening gestopt worden.
Reageer
PlasticPimple @Syzzer21 april 2026 14:49
Dat kan wel, maar vereist wel een enorme begininvestering.

Als buitenlands bedrijf ga je hier nu niet meer zo snel aan beginnen. De markt is verzadigd (er komen geen nieuwe ziekenhuizen bij) en een migratie kost een ziekenhuis ook een hoop geld met bijkomende onzekerheid over de uitkomst.

Als volledig nieuwe speler ben je tientallen miljoenen kwijt om iets op te starten dat ook de compliancy vinkjes krijgt.

Zo'n beetje de enige hoop is dat er een groep ziekenhuizen de handen ineen slaat en gezamenlijk iets gaat ontwikkelen.
Reageer
panchoh 21 april 2026 14:37
Blijft toch jammer voor de Nederlandse zorgaanbieders dat ze de keuze hebben tussen een Nederlandse geldwolf of een Amerikaans bedrijf.


Wat mij betreft is het geen goede zaak dat 90% van de Nederlandse markt voor epd's in handen is van twee machtige bedrijven.
Reageer
TheVivaldi @panchoh21 april 2026 14:40
Dat is zeker jammer. Er is een luide roep dat Europees beter is, maar in dit geval is het Europese alternatief níet beter. Hopelijk stapt er een betere Europese partij naar voren.
Reageer
tweaker2010 21 april 2026 14:36
Of het een Amerikaans bedrijf is of niet is toch een absolute nondiscussie als er geen goed Europees alternatief voorhanden is?
Reageer
Vaevictis_ 21 april 2026 15:43
Is wel typerend voor de cultuur van chipschoft als een zorgverlener kiest voor een concurrent klaag je ze aan. Als je zo zaken moet doen is er iets goed mis.
Reageer

Om te kunnen reageren moet je ingelogd zijn