ChipSoft zegt dat alle door hackers gestolen data is vernietigd

De gegevens die zijn gestolen bij de ransomwareaanval op ChipSoft zijn vernietigd, beweert de softwareleverancier via zijn website. De cybersecurityexperts van het bedrijf hebben bevestigd dat de vernietiging op 'technisch juiste wijze' is gebeurd. Wat dat precies inhoudt, is niet duidelijk.

ChipSoft zegt niet expliciet of het ook losgeld heeft betaald. Eerder bleek dat de softwaremaker daarover wel in onderhandeling was. "De bescherming van de gegevens van onze klanten heeft voor ons altijd de hoogste prioriteit. In deze uitzonderlijke situatie heeft dat belang zeer zwaar gewogen", laat het bedrijf nu weten.

ChipSoft is de grootste leverancier van software voor elektronische patiëntendossiers in Nederland, veelal onder de naam HiX. Het bedrijf heeft een marktaandeel van meer dan 70 procent onder ziekenhuizen. Bij huisartsenpraktijken is dat marktaandeel lager.

De getroffen software is in elk geval HiX on-premises, HiX SaaS en het SaaS-patiëntenportaal gehost via ChipSoft, aldus Z-Cert, het expertisecentrum voor cybersecurity in de zorg. Het bedrijf meldt dat het herstelproces 'voorspoedig' verloopt, maar dat dit 'zorgvuldigheid en tijd' vraagt.

ChipSoft

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 28-04-2026 19:55
145 • submitter: Webgnome

28-04-2026 • 19:55

Submitter: Webgnome

Lees meer

Ziekenhuizen verwachten dat deze week bijna alle ChipSoft-functies weer werken

Ziekenhuizen verwachten dat deze week bijna alle ChipSoft-functies weer werken Nieuws van 18 mei 2026

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens Nieuws van 23 april 2026

ChipSoft verliest rechtszaak tegen ziekenhuizen die gezamenlijk epd opzetten

ChipSoft verliest rechtszaak tegen ziekenhuizen die gezamenlijk epd opzetten Nieuws van 21 april 2026

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026

ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down

ChipSoft belooft week na hack nieuwe webpagina met informatie, maar site is down Nieuws van 13 april 2026

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026

ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval

ChipSoft: klantdata 'waarschijnlijk' niet betrokken bij aanval Nieuws van 8 april 2026

Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware

Nederlandse maker van software patiëntendossiers ChipSoft kampt met ransomware Nieuws van 7 april 2026

Meer producten en artikelen

Internet Privacy ChipSoft Epd Ransomware Security

IT-banen

Meer vacatures

Reacties (145)

145

143

94

5

0

37

Wijzig sortering

Mathijs1 28 april 2026 20:41

Ben erg benieuwd naar de manier waarop deze experts hebben vastgesteld dat de gegevens vernietigd zijn, hoe zou je dat moeten doen als een kwaadwillende er toegang tot heeft gehad? Wat bedoelen ze uberhaupt met dit bericht?

Optie 1: De 'hackers' hebben gezegd dat het verwijderd is en hebben hier misschien een screenshotje oid van gestuurd. Niet geloofwaardig natuurlijk en ook niet te verifieren want ze kunnen er prima kopieen van maken voodat ze iets verwijderen.

Optie 2: ChipSoft heeft zelf de data verwijderd, dat kun je als organisatie prima regelen met bedrijven die daar certificaten voor geven etc, maar wat is daar het nut van? Dan ben je gehackt en ben je daarna ook je data kwijt? En de hackers hebben alsnog die gegevens en hebben het ook nog gewoon ergens opgeslagen staan?

Zoveel vragen...

locke960 @Mathijs1 • 28 april 2026 21:51

Ik heb heel andere vragen.

Hoe betrouwbaar is ChipSoft dat ze denken met deze uitspraak weg komen?

Zijn ze zo dom dat ze dit zelf geloven?

Of is hun primaire zorg de beeldvorming bij het grote publiek i.p.v. open en eerlijk communiceren?

En geloven ze daarmee weg te komen? Zo dom is het grote publiek tegenwoordig ook niet meer.

Of schrijft de verkeerde persoon deze persberichten?

Ik kan het zo niet draaien, of ChipSoft komt er heel slecht uit... Ik kan werkelijk geen positieve niet-negatieve invalshoek bedenken.

GameNympho @locke960 • 28 april 2026 22:42

Sarcasm on;

Dank voor het betalen, gegevens zijn verwijderd/vernietigd.

Maare we hebben vandaag je server weer even snel gecheckt of je alles al op orde had en we hebben nu ...gb/tb aan data. Wat spreken we af, zelfde bedrag?

Enige logica?

@GameNympho • 29 april 2026 08:29

Ze hebben idd gewoon betaald en zijn afhankelijk van de "ethiek" van hackers of de gegevens daadwerkelijk gewist zijn.

Maar dit gaat toch meestal goed omdat anders niemand meer zou betalen. Er is een sterke "peer pressure" in de hacker community hiervoor.

[Reactie gewijzigd door Geekomatic op 29 april 2026 08:31]

logisch @Geekomatic • 29 april 2026 08:35

Het gaat inderdaad meestal goed, en dit soort groepen zijn afhankelijk van hun reputatie dus ze hebben er belang bij dat de data niet alsnog ergens opduikt. Aan de andere kant: ransomware is een relatief nieuw fenomeen en we moeten nog maar zien wat dit op de lange termijn gaat brengen. Hackersgroepen kunnen ook ruzie krijgen, opsplitsten etc. en dan is het als individu wel lekker als je nog ergens een kopietje hebt dat je te gelde kunt maken.

jochemd @Geekomatic • 29 april 2026 11:32

Maar dit gaat toch meestal goed omdat anders niemand meer zou betalen.

Dat weet je helemaal niet. Het enige wat je weet is dat de gegevens meestal niet openbaar gemaakt worden. Dat is iets heel anders dan dat de gegevens verwijderd worden.

Er zijn meer dan genoeg aanwijzingen dat in sommige landen de veiligheidsdiensten nauwe relaties hebben met hackersgroepen. Het valt dus absoluut niet uit te sluiten dat er bijvoorbeeld een modus operandi is waarbij de hackersgroep gegevens deelt en de veiligheidsdienst niet te veel moeite doet om de groep te vinden in ruil voor alle nuttige Kompromat.

kwakzalver @Mathijs1 • 28 april 2026 21:32

Mede met ondersteuning van cybersecurity-experts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn. Tevens zijn die ontvreemde gegevens vernietigd. Onze cybersecurity-experts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden.

Letterlijk gelezen staat hier dat „die ontvreemde“=„de 1ste set met gestolen“ vernietigd is.
Juridische tekst. Over kopieën wordt hier niet gesproken.

Mathijs1 @kwakzalver • 28 april 2026 23:47

Maar dat is toch een bizar statement, als we het even fysiek maken; er wordt ergens een dossierkast met inhoud gestolen (of gekopieerd en de kopieen worden meegenomen), en daarna zegt het bedrijf waar de dossierkast staat "Wees gerust, we hebben de dossiers door de shredder gehaald".

jbhc @Mathijs1 • 29 april 2026 00:58

Nee, dat zeggen ze niet. Ze zeggen "wees gerust, de dossiers zijn door de schredder gehaald"

koelpasta @jbhc • 29 april 2026 08:24

Erger nog, ze zeggen: "Wees gerust! De gegevens zijn technisch correct door de shredder gehaald!"

CPM 28 april 2026 22:22

Ik begrijp ChipSoft heel goed ondanks dat je bijna met zekerheid kunt zeggen dat je nul garanties hebt als je met dit soort groepen in zee gaat.

En waarom dan wel betalen? Simpel, dan kan ze (ChipSoft) niet verweten worden dat ze niet bereid waren om er "alles" aan te doen om gestolen data niet te laten publiceren. Getroffen patiënten zullen minder snel boos worden om het feit dat ze wel betaald hebben dan dat ze dat niet hebben gedaan.

Maarja, garantie tot aan de voordeur/firewall.

Ik ben benieuwd of Z-Cert de details over deze hack nog gaan delen met de rest van de aangesloten instellingen. Want dat willen ze namelijk wel graag, echter moet ChipSoft daar wel akkoord voor geven. Maar ik betwijfel of ChipSoft Z-Cert er echt bij betrokken heeft.

[Reactie gewijzigd door CPM op 28 april 2026 22:25]

Triblade_8472 @CPM • 29 april 2026 00:18

Het is jammer dat betalen voor ransomware niet bij wet verboden is.

Dan kan je ze ook nog aansprakelijk stellen voor schade aan bedrijven na hen. Want betalen = het verdienmodel in stand houden.

Ik snap natuurlijk dat het niet zo werkt, zelfs niet met een verbod. Maar het is wèl waar dat het verdienmodel zo in stand gehouden wordt. En pakken doe je ze nooit, dus het is risicoloos hacken...

Dan zijn er twee opties:
1) ervoor zorgen dat je geen spannende data hebt en de rest netjes op offline storage (niet immutable, want die servers kan je alsnog verwijderen)

2) verdienmodel weghalen, zoals eerder geschreven.

Bij optie 1 hoort een sterke controle bij bedrijven. Wellicht een verplichte certificeringen alle bedrijven die persoonsgegevens verwerken (alle?) en een juridische verantwoordelijkheid bij certificeringsinstanties waar ook daadwerkelijk onafhankelijk onderzoek naar gedaan wordt bij cyber incidenten.

Robbaman @Triblade_8472 • 29 april 2026 08:38

Maar ze betalen toch ook helemaal niet voor de ransomware, die was alleen maar om te bewijzen dat ze een lek hebben.

Waar ze voor betalen is voor de informatie over het lek en hoe je die kunt dichten.

Daar ga je dan met je verbod.

Triblade_8472 @Robbaman • 29 april 2026 12:45

Er is nu een meldplicht waar ze aan moeten voldoen. Dit is inclusief wat men weet dat er gestolen is. Als je vervolgens betaald dan is dat dus aan de criminelen.

Dus het verbod blijft werken.

fenrirs @Triblade_8472 • 29 april 2026 09:24

of chipsoft of nou betaald heeft of niet, je kan ze altijd aansprakelijk stellen. Alleen geld in Nederland gelijk hebben is zeker niet altijd gelijk krijgen. Je zult ook nog moeten aantonen wat de schade voor jou dan precies is.

Moet je ook nog aan kunnen tonen dat de schade is ontstaan door exact de gegevens van chipsoft en niet voor afkomstig is uit de Odido hack

Je kan er op wachten dat advocaten van de lekkende partijen naar elkaar gaan wijzen voor aansprakelijkheid en daar vind je dan als particulier weer tussen.

Triblade_8472 @fenrirs • 29 april 2026 12:56

Dat is nou nét de taak van een wetgever. Dit soort zaken dichttimmeren middels het wetboek. Wel jammer dat ze (2e kamer\politiek) hier 0 interesse in lijken te hebben.

Ik ben van mening dat je namelijk altijd in dit soort gevallen uit moet gaan van schade, tenzij dit bewezen niet zo is (=onmogelijk). Dan hoort er een vastgesteld bedrag per persoonlijk gegeven te komen als schadevergoeding. Bijvoorbeeld € 2,- voor een voor- en achternaam, € 3,50 euro voor een e-mail adres, € 5 euro voor een huisadres, volledig gedekte kosten voor een nieuw ID/paspoort bij een kopie hiervan of een BSN. (dus niet documentnr.) enz enz. Als mijn voorbeeld echt zou zijn, dan zou hen dat zomaar 15 euro pp * 6 miljoen = € 90.000.000,- kunnen kosten. Voor een bedrijf met zoveel gevoelige gegevens is dit een goed signaal naar andere bedrijven hun zaakjes eindelijk eens op orde te brengen. Stop de datahonger!

Dan is het wel héél belangrijk dat het verwijtbaar is. Dus dat een helpdeskmedewerker gephished wordt, dat is niet verwijtbaar naar mijn idee. In het geval van Odido is het wél verwijtbaar dat dit account bij miljoenen gegevens kon komen (geen limieten). Ook is data te lang bewaard verwijtbaar.

OruBLMsFrl @Triblade_8472 • 29 april 2026 10:57

Met GDPR/AVG en recenter NIS2 gaat het al voor steeds meer grote bedrijven een ding worden. Je moet ergens een balans vinden natuurlijk:

"Wellicht een verplichte certificeringen alle bedrijven die persoonsgegevens verwerken"

Elk bedrijf heeft persoonsgegevens te verwerken, namelijk minimaal al de persoonsgegevens van de oprichter zelf, of bij een bedrijf dat wordt opgericht door rechtspersonen de UBO's daarvan. Ik denk dat we allemaal hetzelfde willen met wat nuance rond de exacte getallen, dat je bedrijven verplicht die iets verwerken van het onderstaande:
- Personeelsadministraties van meer dan duizend personen
- Consumentengegevens type NAW of andere persoonsgegevens van meer dan duizend personen
- Bijzondere persoonsgegevens van personen buiten de bedrijfsstructuur, ook bij een kleiner aantal personen

Dan zou je al een heel grote slag slaan om de maatschappelijke impact hiervan in grote mate te verkleinen. En zelfs dan ga je nog heel grote sportclubs en zo meer tegenkomen die op vrijwilligers draaien en de vraag krijgen wat daar dan proportioneel voor is. Daarom zie je nu rond NIS2 ook aanvullend nog omzetgrenzen in de miljoenen euro's gelden vanaf waar je pas moet voldoen. Voor normale bedrijven prima natuurlijk, maar niet elke grote pot persoonsgegevens hoeft van een financieel groot bedrijf te zijn. Daar zit nu een groot risico nog in, dat bedrijven de bedoel zo zouden structureren dat zogenoemde 'risicoactiviteiten' dan zouden vallen bij losse spin-outs (niet spin-off).

Triblade_8472 @OruBLMsFrl • 29 april 2026 13:00

Elk bedrijf heeft persoonsgegevens te verwerken, namelijk minimaal al de persoonsgegevens van de oprichter zelf,

Je snapt hoop ik wel wat ik bedoel he? Ik ben geen jurist die juridisch kloppende taal schrijft. Het gaat om je klanten.

En van mij moet er geen minimum komen. Alle software moet gewoon voldoen aan hedendaagse veiligheid. En dat bereik je alleen door goede wetten/verplichtingen. Een klein bedrijf moet mijn gegevens net zo goed veilig houden als een groot bedrijf. Het is niet mijn probleem hoe ze dat doen.

Persoonsgegevens kunnen ook gewoon in een kaartenbak. Dat kan je beter beveiligen en ben je ook klaar. Het is minder handig ja, maar gaan we serieus 'de club' boven onze eigen privacy stellen...? Nee, ook zij moeten verantwoord met gegevens omgaan! Als ze hierom omvallen, dan hebben ze dat verdiend mijns inziens.

BleghBlarg @CPM • 29 april 2026 13:26

Het enige wat ik me kan bedenken wat wel een positief einde heeft en waarom de verwoording zo vaag is, is omdat ze het over een andere boeg hebben gegooid.

White hackers betaald om de originele hackers op te sporen en terug te hacken en de dataset te verwijderen. Tegen een betaling en ethische vrijstelling van schuld omdat het gaat om zeer persoonlijke data die al gestolen was.
Niets iets waar je de vlag mee kan zwaaien omdat het natuurlijk nog steeds illegaal is.

Dit is natuurlijk groot dromen en zeer onwaarschijnlijk maar ik ben wel eens door meer verrast, ondanks hoe de situatie eruit ziet.

Chrismaclinux 28 april 2026 20:37

Ik lees dat het om 100GB gaat aan gegevens en dat is heeel veel....er zal dan ook wel veel fotomateriaal tussen zitten van patiënten.

kevinvs @Chrismaclinux • 28 april 2026 20:58

100GB is zeer weinig voor een HiX Database. Verhaal verteld alleen niet of het compressed data is, maar een gemiddeld ziekenhuis groeit zo’n 5GB per dag. Dat is wel voornamelijk inzage en mutatie ligging maar ook tabellen met metingen die elke sec/minuut worden weggeschreven door PDMS Apparatuur gaat heel hard.

Multimedia wordt vaak minimaal gebruikt, alleen voor pasfoto’s en worden standaard in een aparte blob database opgeslagen. Andere medische beelden zitten vrijwel altijd in een Sectra/Agfa/JiveX Enterprise PACS (beelden opslag en laboranten werklijst systeem)

Wat dat betreft heb je naast Patient_Patient tabel met NAW gegevens best nog wel wat inhoudelijke kennis nodig om wat nuttige informatie eruit te halen binnen 100GB. Tenminste als je iets van alle patiënten wil hebben.

Bitfreakie @kevinvs • 29 april 2026 08:31

Multimedia kan ook gescande documenten bevatten. Zoals verwijsinformatie die binnenkomt.

Mitsuko 28 april 2026 20:09

Heel logisch om sceptisch te zijn, maar op een gekke manier zijn ransomware groepen wel afhankelijk van hun reputatie. Als je het losgeld betaalt en de gegevens komen daarna alsnog op straat te liggen, dan gaat de volgende partij die gehackt wordt natuurlijk nooit betalen.

Echt vertrouwen kan je er natuurlijk nooit in hebben, en misschien hebben ze ergens nog een dead man's switch ingebouwd, maar als de aanvaller zich niet geschoffeerd voelt en niet gepakt wordt dan vermoed ik dat deze data inderdaad verborgen zal blijven.

The Realone @Mitsuko • 28 april 2026 20:12

Je vergeet even dat die ransomwaregroepen meestal volledig anoniem opereren en wanneer ze echt een goeie slag slaan, wat hier zomaar het geval zou kunnen zijn, ze die "reputatieschade" voor lief nemen, de hackersgroep opdoeken en onder een nieuwe naam verder gaan.

Zoop @The Realone • 28 april 2026 20:23

Dit, plus dat deze groepen uit individuen bestaan die ook nog wel eens bonje onderling hebben, no honour amongst thieves. Hoe precies garandeer je dat elk individu die er mee te maken heeft 100% zijn woord houd? Juist ja, niet.

Ik weet vrij zeker dat het het fabeltje "je kan die hackersgroepen wel vertrouwen omdat ze een reputatie hoog te houden hebben" door deze hackers zelf de wereld in is geholpen, en je ziet het steevast minstens een keer blindelings herhaald worden door iemand op dit soort nieuwsberichten, alsof die stelling een of ander welbekend feit is ofzo.

Nas T @Zoop • 28 april 2026 20:37

Ze zijn wel afhankelijk van hun reputatie.
Maar ja, met de pnderstaande vragen lijkt het me duidelijk wat die reputatie waard is.

"Geef me 5 bitcoins en je krijgt je data terug"
Hoe weet je zeker of dat waar is?
Hoe weet je zeker of 5 bitcoins niet een stap omhoog naar 10 bitcoins is?
Hoe weet je zeker of je data "echt" "vernietigd" is en niet rondzwerft op 10 harde schijven?
Hoe weet je zeker dat je data niet al verhandeld is op de zwarte markt?
Hoe weet je zeker dat je data niet alsnog verhandeld wordt? Of "oeps", nu zijn wij gehackt?

Dat lijkt me wel een goede basis voor vertrouwen, zeker gecombineerd met de anonimiteit waarin gehandeld wordt.
Reputatie is zeker handig, maar extreem fragiel. Omdat er toch geen garantie gegeven kan worden, zou je ook kunnen zeggen: ik geef het dubbele. Aan degene die de tip geeft die leidt tot een arrestatie.

Zolang er geen reële garantie is, zou ik nooit betalen. En bij gegevens bestaat dat niet.

[Reactie gewijzigd door Nas T op 29 april 2026 06:30]

Accretion @Nas T • 28 april 2026 21:44

Persoonlijk vindt ik dat het bedrijf de keuze heeft, óf het geld overmaken naar de hackers, óf het geld verdelen onder de personen waarvan de data gelekt is.

Nu komen ze er lekker makkelijk mee weg, als ze iets zouden geven om jouw data, hadden ze het beter moeten beveiligen.

PWR. @Accretion • 28 april 2026 22:16

Als klant verwacht je da alles gedaan wordt om jouw data veilig te houden. Dus dat betek nd automatisch dat je betaald aan de ransom criminelen zolang deze geen slechte reputatie hebben. Punt. Period. Uit.

Al het andere is kwebbelkop gebrabbel. Dan had je je beveiliging maar op orde moeten hebben. De "Odido strategie" is te schandalig voor woorden en ondermijnt onze rechtsstaat.

latka @PWR. • 29 april 2026 00:58

Dus je wil dat ChipSoft de wet overtreedt? Want dat hebben ze gedaan:artikel 140 uit het wetboek van strafrecht:

1) Deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

...

5) Onder deelneming als omschreven in het eerste lid wordt mede begrepen het verlenen van geldelijke of andere stoffelijke steun aan alsmede het werven van gelden of personen ten behoeve van de daar omschreven organisatie.

Waarom zit er nog niemand in de gevangenis? Zit justitie te slapen?

PWR. @latka • 29 april 2026 16:47

Omdat wat je zegt niet klopt.

Buiten dat adviseert de politie om geen losgeld te betalen. Maar volgens mij zitten daar een paar knuppels die alleen voor eigen parochie praten. Het kwaad is al geschied ik en de politie was nergens en kan niks. Een bedrijf, zeker Odido die volgens de telecom wet heel gevoelige gegevens verzameld, zou keihard conform diezelfde wet gestraft moeten worden. De rechtsstaat lijkt 1 kant op te werken.

Even terugkomend op jouw reactie, dat is natuurlijk complete en volslagen 100% kul:

https://www.security.nl/posting/638415/Juridische+vraag:+Is+het+strafbaar+om+losgeld+te+betalen+bij+ransomware

latka @PWR. • 29 april 2026 16:54

Het stuk gaat over ransomware (waarbij je je spullen dus kwijt bent tenzij je betaald). Hier is sprake van afpersing en niet zozeer losgeld. Nog even doorgegoogled en het is dan afdreiging in juridische zin en geen afpersing. Weer wat geleerd, maar zolang bedrijven er mee weg komen (en de kosten door kunnen belasten naar hun klanten) gaat het model niet voorbij. M.a.w. de komende jaren blijft het een wapenwedloop waarbij steeds hacks plaatsvinden omdat het onmogelijk is om 100% waterdicht te zijn. Lijkt me dus tijd om een structurelere oplossing te verzinnen dan "betalen maar, want dat is het makkelijkste en de kosten belasten we wel door".

CPM @Zoop • 28 april 2026 22:12

Ik weet vrij zeker dat het het fabeltje "je kan die hackersgroepen wel vertrouwen omdat ze een reputatie hoog te houden hebben" door deze hackers zelf de wereld in is geholpen,

Interessant, kun je dit ook feitelijk onderbouwen? Of moet ik deze specifieke bewering zomaar voor waar aannemen? Ben benieuwd hoe je tot deze wetenschap komt en welke hackers groepen dit gepubliceerd hebben en waar.

[Reactie gewijzigd door CPM op 28 april 2026 22:12]

Zoop @CPM • 29 april 2026 13:04

Evengoed dat het feitelijk te onderbouwen zou zijn dat deze statement daadwerkelijk waar zou zijn. Laten we maar eens beginnen met de specifieke bewering waar ik het over heb zien te onderbouwen, dan praten we wel over het debunken ervan.

En dat is dus juist mijn punt, men herhaalt altijd maar klakkeloos "ja maar, je kan ze vertrouwen, want, reputatie", alsof dat een of ander algemeen bekend feit is dat iedereen weet. Maar dat wordt letterlijk _nooit_ onderbouwt, enkel klakkeloos herhaalt. En dus vandaar mijn sceptische mening erover.

CPM @Zoop • 29 april 2026 21:42

Je kunt een uno reverse proberen maar ik heb geen zin in een welles/nietus spelletje.

Jij zegt specifiek dat hackers groepen het fabeltje in de wereld hebben geholpen. Kom dan met feiten. En die heb je niet.

sparcle @The Realone • 28 april 2026 20:53

Daar denk Geert Boudewijns anders over in z'n boek "Onderhandelen in het duister".

Accretion @sparcle • 28 april 2026 21:45

Interessante reactie, wel de bron vermelden maar niet de informatie

sparcle @Accretion • 29 april 2026 08:53

Terecht punt.

Het boek gaat over het punt dat ransomware groepen juist om hun reputatie geven en blijkbaar ook een ere-code hebben.
Dus bijvoorbeeld als ze bij een bedrijf de gegevens hebben versleuteld en middels onderhandeling betaald krijgen, dan vallen ze dat bedrijf niet weer aan en delen ze het niet met andere groepen. Dit zorgt ervoor dat ze 'betrouwbaar' blijven voor de volgende aanval en ook daar weer geld van krijgen.

Waar, misschien terecht wel, soms toch ook de gedachte opspeelt of een Ransomware-fluisteraar niet onderdeel uitmaakt van het spel. Immers krijgen zij betaald als de data weer hersteld is. Maar dat terzijde.

@The Realone • 28 april 2026 20:50

Laten we vooral ook niet vergeten dat zelfs die ransomwaregroepen zelf ook backups kunnen hebben van de buitgemaakte data. Als zij zeggen dat alles is verwijderd, is dat per definitie niet verifieerbaar.

Daarnaast is het helemaal niet ondenkbaar dat er mechanismen zijn ingebouwd die buiten hun directe controle vallen. Denk bijvoorbeeld aan een soort “tijdbom”: data die automatisch wordt vrijgegeven tenzij die periodiek handmatig wordt tegengehouden of gereset. (Zoals @Mitsuko reeds aanhaalt met de dead man’s switch) Op het moment dat zo’n groep wordt opgerold of simpelweg verdwijnt, kan zo’n mechanisme alsnog in werking treden.

Met andere woorden: zelfs als de intentie er zou zijn om data te vernietigen, is er geen enkele garantie dat die data niet alsnog ergens opduikt. Nu of in de toekomst.

[Reactie gewijzigd door InjecTioN op 28 april 2026 20:54]

DdeM @Mitsuko • 28 april 2026 20:31

Onzin. Is al meerdere keren door op dat moment "reputabele" groepen gewoon data gelekt na betalen van losgeld. https://www.infosecurity-...-groups-post-stolen-data/

roelst1 @DdeM • 28 april 2026 23:03

Dat er (8 jaar geleden!) meerdere groepen waren die alsnog de data publiceerden, betekent niet dat het dan direct geen zin meer heeft om losgeld te betalen. Zonder statistieken is dat gewoon een anekdotisch voorbeeld.

Stel een betreffende groep heeft al een redelijke trackrecord, dan kun je er in sommige gevallen misschien inderdaad beter voor kiezen om maar gewoon te betalen. In het geval van Odido vond ik het al een twijfelgeval, maar zodra het gaat over medische informatie is het wmb beter om het risico te nemen en dat losgeld te betalen. Al is de kans 50% dat de data alsnog wordt gepubliceerd, de andere optie heeft een 100% zekerheid.

@roelst1 • 29 april 2026 08:35

En hoe word het trackrecord bepaald?

Vrij recent voorbeeld waarbij de ransomwaregroep alphv een uitstekend trackrecord had: https://techcrunch.com/2024/04/15/change-healthcare-stolen-patient-data-ransomhub-leak/?hl=nl-NL

roelst1 @SunnieNL • 29 april 2026 16:23

En weer een anekdotisch voorbeeld. Ik zeg in mijn reactie ook nergens dat een hackersgroep met een goed trackrecord 100% betrouwbaar is, ik zeg alleen dat het betalen van het losgeld dan het risico wellicht waard is.

@roelst1 • 29 april 2026 17:04

Als je dit allemaal anekdotisch af doet, wat zijn dan de statistieken van de groepen die netjes niets doen met de data en die wipen? Want ban dan wel heel benieuwd naar waar de cijfers van je trackrecord precies vandaan komen. Of zijn dat alleen ongeverifieerde cijfers die ook nergens op zijn gebaseerd?

Het is nooit verstandig te betalen omdat het woord van een crimineel niets waard is en je als bedrijf dus ook totaal geen garanties kan geven na betaling, zoals ChipSoft nu doet. Er is never nooit niet een betrouwbare garantie dat criminelen zich aan hun afspraken houden.

Of om met jouw woorden te spreken: zonder betrouwbare statistieken blijft het een reeel en aantoonbaar risico dat de gegevens gewoon gelekt worden na betaling (de voorbeelden zijn er immers). De kans dat het gelekt wordt is ook niet 50%. Er is niet eens een kansberekening op los te laten, omdat er geen betrouwbare cijfers zijn of het wel of niet gebeurd. Het enige wat je kan zeggen is dat als je niet betaald het 99,9% zeker is dat de data op straat komt te liggen. Elke andere kans is onbekend.

Vooralsnog zou ik er gewoon vanuit gaan dat de data bij anderen terecht zal komen of al terecht is gekomen, ondanks dat er betaald is.

ChipSoft zou nooit zulke claims mogen maken en kan zich beter bezig houden met het communiceren van andere zaken: hoe zijn ze binnen gekomen, hoe konden ze op meerdere systemen komen van meerdere klanten (hebben we geen gescheiden tenants meer die zelfs voor de leverancier standaard niet toegankelijk zijn?), wat heeft ChipSoft gedaan om te voorkomen dat dit nog eens kan gebeuren. Van mij mag dit gewoon openbaar worden gemaakt, gezien dit bedrijf een vrijwel monopolie heeft op de nederlandse markt van een publieke dienstensector.

Het is jammer dat Nederland niet wat meer haast had gemaakt met de cbw, want dan had ChipSoft een veel groter probleem gehad omdat je die kan zien als kritieke dienst door hun bijna monopolie.

[Reactie gewijzigd door SunnieNL op 29 april 2026 17:18]

roelst1 @SunnieNL • 29 april 2026 18:46

Ik heb ook geen recente cijfers hierover en ik verwacht dat het ook lastig is om die te vinden. "Succesverhalen" waar bedrijven losgeld hebben betaald en de gegevens vervolgens nooit zijn gedeeld, worden namelijk vaak geheim gehouden. In NL is er een meldplicht, maar lang niet alle landen hebben dezelfde verplichting en zelfs dan is het nog maar de vraag of een bedrijf daaraan voldoet.

Wat ik wel weet, is dat de adviesbureaus die in deze situaties worden ingeschakeld daar zeker data over zullen hebben. Dat zal dan ook gegarandeerd gebruikt worden in de afweging om wel/niet te betalen. Gezien het aantal bedrijven dat uiteindelijk toch kiest voor het betalen (zoals Chipsoft nu heeft gedaan), zal er waarschijnlijk een aanzienlijke kans zijn dat de data inderdaad de jaren daarna niet alsnog online verschijnt.

Ik vind het ook heel kort door de bocht om te stellen dat "het woord van een crimineel niets waard is", want juist in dit soort gevallen is het voor die criminele organisaties wel iets waard. Garanties heb je uiteraard nooit, maar voor een ransomgroep is hun reputatie goud waard. Hun doel is namelijk geld aftroggelen van een bedrijf, maar een nieuwe naam zal een stuk minder kans maken op die ransom dan een groep dat al jaren heeft aangetoond de data niet te publiceren als er wordt betaald. Een groep die wordt vertrouwt zal dan waarschijnlijk ook weg kunnen komen met hogere losgeld bedragen.

De ethische afwegingen over wel/niet betalen laat ik overigens bewust buiten beschouwing, want dat is veel complexer dan deze kansrekening en zeer specifiek voor de getroffen bedrijven en data. Vooral wanneer er persoonsgegevens mee gemoeid zijn.

[Reactie gewijzigd door roelst1 op 29 april 2026 18:47]

CPM @DdeM • 28 april 2026 22:15

Artikel is 8 jaar oud. Misschien hebben ze hun leven gebeterd.

jmb66 @Mitsuko • 28 april 2026 20:45

Het is een beetje als de zogenaamde ere code die je in maffia en crime films altijd tegenkomt. In het echt hebben criminelen geen ere codes, die ze met andere criminele concurrenten zouden afspreken. Criminelen doen criminele zaakjes alleen voor het geld, ze belazeren elkaar voor geld, het zijn opportunisten. Ook de ransomware groepen.

Henk1827 @Mitsuko • 28 april 2026 21:03

Het is misleidend om te zeggen dat de data is vernietigd, want dat is helemaal niet te bewijzen. De data kan op allerei manieren alsnog gelekt worden. Stiekem een kopie maken, misschien is de ransomware groep zelf wel gehackt, hebben ze de data niet goed opgeschoond, etc. Data die over de lijn is geweest is compromised en vereeuwigd. Je kan onmogelijk nog bewijzen dat de data echt weg is.

mphilipp @Mitsuko • 28 april 2026 21:49

Heel logisch om sceptisch te zijn, maar op een gekke manier zijn ransomware groepen wel afhankelijk van hun reputatie. Als je het losgeld betaalt en de gegevens komen daarna alsnog op straat te liggen, dan gaat de volgende partij die gehackt wordt natuurlijk nooit betalen.

Ik vind dat maar een oud verhaal. Er zijn ook wel een gijzelaars vermoord nadat er losgeld is betaald. En toch wordt er altijd onderhandeld. Ook met ransomware. Al zegt men van niet, er worden altijd pogingen gedaan. De consequentie van niet betalen is vaak groot. Je hebt geen keuze. Nouja...je hebt altijd een keuze, maar je data op straat wil je ook niet. Dus ja...effectief geen keuze.

Criminelen zijn nooit te vertrouwen. Erecodes betekenen helemaal niets bij criminelen. Wat ga je doen? Ze aanklagen? Boos naar ze kijken?

Scriptkid @Mitsuko • 28 april 2026 21:54

Ooit eens gekeken waar de term double extortion vandaan komt.

peize9 28 april 2026 20:08

Het is tijd dat we het betalen van losgeld strafbaar maken... Dit is letterlijk het in stand houden en bijdragen aan een criminele organisatie. Over een paar maanden/jaren zullen we al deze data vast en zeker ergens online kunnen vinden. Waardeloze situatie van een waardeloos bedrijf.

Pasteis @peize9 • 28 april 2026 20:21

Het is tijd dat we het betalen van losgeld strafbaar maken... Dit is letterlijk het in stand houden en bijdragen aan een criminele organisatie. Over een paar maanden/jaren zullen we al deze data vast en zeker ergens online kunnen vinden. Waardeloze situatie van een waardeloos bedrijf.

Internet is groter dan Nederland. Strafbaar stellen gaat het verdienmodel echt niet onderuit trekken, wel zorgen dat bedrijven nog minder transparanter zullen zijn in datalekken.

mvn23 @Pasteis • 28 april 2026 21:38

Maar als geen enkel land de eerste is die het verbiedt verandert er ook niks. En hoe kom je erbij dat bedrijven minder transparant zullen worden als het betalen van losgeld niet meer mag? Nu worden datalekken toch ook gewoon gemeld met alle reputatieschade die er bij komt kijken, ook in de gevallen waarin geen losgeld betaald wordt?

Het melden van datalekken is verplicht. Als een bedrijf dit niet doet en er verschijnt een dataset met hun data online dan hebben ze wat uit te leggen.

Internet
Privacy
Security

@mvn23 • 28 april 2026 22:49

Maar als geen enkel land de eerste is die het verbiedt verandert er ook niks

Op dat vlak: het VK heeft vergaande restricties voorgesteld op het mogen betalen van losgeld en maken daar nu serieus werk van, vooral voor overheidsinstanties én vitale infrastructuur. De VS (althans: een aantal staten) en Australië overwegen het ook.

mvn23 @WhatsappHack • 28 april 2026 22:55

Dit wist ik niet, goed om te horen. Ik ben oprecht benieuwd wat voor effect dit in de praktijk gaat hebben!

peize9 @Pasteis • 28 april 2026 23:26

Een aanvaller gaat de focus leggen op bedrijven met de grootste kans op betalen... Is dit illegaal dan is die kans aanzienlijk kleiner.

suske_2 @peize9 • 28 april 2026 20:57

Simpelweg crypto verbieden zal ook helpen.

s64 @suske_2 • 28 april 2026 21:34

Shovels verbieden bij plofkraken zal ook helpen

/s

mjtdevries @s64 • 30 april 2026 17:51

Als we shovels verbieden dan hebben we daar in het dagelijks leven heel veel last van.
Maar welke grote problemen zouden we nou daadwerkelijk krijgen als we crypto verbieden?

@peize9 • 28 april 2026 21:05

Strafbaar maken om losgeld te betalen is (helaas) niet de gouden oplossing. Zelfs al heb je alles goed beschermd nog steeds kan er een dag zijn dat gevoelige data wordt gestolen / systemen op slot zijn gezet en je echt klem bent gezet. Dan kun je jouw organisatie opdoeken. Het zal er in de praktijk toe leiden dat er schimmige constructies worden opgetuigd om dan toch de betaling uit te voeren. Of nog sterker de behoefte van een getroffen partij om te ontkennen dat ze gehackt zijn (en ondertussen via de achterdeur alsnog onderhandelen). Ik denk dat je beter kunt zoeken naar achteraf organisaties aan te pakken als ze mbt hun beveiliging nalatig zijn geweest. Ik weet het, slapper en achteraf..

peize9 @DeeDiWy • 29 april 2026 02:52

Het is zeker de oplossing. Gouden oplossingen zijn er niet, maar omdat geen oplossing perfect is maar bijna niets gaan doen helpt nog veel minder. Heb je data gelekt? Dan zal het AP onderzoek doen. Had je alles bovengemiddeld in orde dan zal er niet percé een boete moeten komen. Gevoelige gestolen data ligt op straat (punt). Daar is gaan ja maar aan. Garantie heb je niet, en dus moet je het behandelen als vol lek. Daarom geloof ik van dit artikel ook helemaal niets, al helemaal luisterende naar de gang van zaken binnen het bedrijf.

Een bedrijf en haar eigenaren mogen naar mijn mening failliet gaan wanneer ze grove nalatigheid tonen. Als je dit soort bestuurders die winst boven de klant zetten niet hard bestraft blijven ze het doen. Voor dit soort "white collar crime" werkt afschrikking beter. Bedrijven gaan meer besteden aan beveiliging, en daardoor is het moeilijker om aanvallen te doen. Dat plus de lagere kans dat iemand betaald en ineens is Nederland een slecht doelwit...

Schimmige constructies en weet ik wat is allemaal ja maar mogelijk en misschien. Iets om naar te kijken wanneer het daadwerkelijk gebeurd. We kunnen altijd blijven nadenken, maar dan gebeurd er niets.

latka @peize9 • 29 april 2026 00:59

Het is al strafbaar onder artikel 140 uit het wetboek van strafrecht. Alleen wordt er blijkbaar niet gehandhaafd.

Internet

@latka • 29 april 2026 07:20

Je doet erg zeker van je zaak, maar geld aan een boef geven, maakt je nog geen deelnemer aan een criminele organisatie.

Anders kan het OM iedereen die met een (letterlijk) mes op de keel zijn portemonnee overhandigd ook wel gaan vervolgen.

Het betalen gebeurt geenszins vrijwillig. Lijkt mijn toch wel een voorwaarde voor een artikel 140.

latka @Keypunchie • 29 april 2026 09:42

Volgens mij is er nog nooit een zaak aanhangig gemaakt. Maar er is geen sprake van dwang met een mes in deze. ChipSoft hoefde niet te betalen maar deed dat wel een belangrijk verschil.

Internet

@latka • 29 april 2026 09:47

Dat er nooit een zaak aanhangig is gemaakt, lijkt me in deze met goede reden. Het is een zeer marginale rechtsgrond, waar je zaak het niet op gaat redden en een slachtoffer vervolgen met als argument dat hij inde nasleep van de diefstal onderdeel van de organisatie is geworden die hem heeft gedupeerd is ook niet zo sympathiek.

Al met al telt het gewoon niet op. Een slachtoffer die een fout maakt (betalen) in nasleep van een dataroof is vrij slecht als crimineel aan te merken, zonder heel specifieke wetgeving.

Dat_Doen_We_FF @peize9 • 29 april 2026 08:56

Mooi man. Dan wordt alle info van Nederlanders altijd gehacked want dit soort criminelen gaan echt niet de wetten van alle landen doorlezen voordat ze een aanval doen.

Dit is weer een wet voor de buhne.

mjtdevries @Dat_Doen_We_FF • 30 april 2026 18:00

Criminelen houden wel degelijk rekening met dat soort zaken. Waarom zou je tijd steken om bedrijven te hacken als de kans groot is dat ze niet gaan betalen omdat het verboden is in het land waar ze zitten? Het is heel simpel voor een crimineel om zo'n land over te slaan en er zijn voldoende andere slachtoffers waar ze dan hun tijd in gaan steken.

Je ziet hetzelfde namelijk bij ontvoeringen. Er zijn landen waar buitenlanders veel ontvoerd worden. Maar ze richten zich niet op Amerikanen en als ze die toch per ongeluk ontvoeren dan laten ze die weer snel vrij. Want de VS betaald geen losgeld maar stuurt special forces. En daar hebben die criminelen geen zin in. Maar er zijn ook (europese) landen die vrijwel altijd losgeld betalen, dus richten de criminelen zich juist op inwoners van die landen.

virtualpimp 28 april 2026 20:00

Interessant dat dit via LinkedIn wordt gedeeld. Voor zo’n serieus incident verwacht je eigenlijk een wat concretere en transparantere toelichting.

Wat betekent “technisch juiste wijze vernietigd” precies? En is er wel of geen losgeld betaald?

Juist omdat het om patiëntgegevens gaat, lijkt me volledige duidelijkheid belangrijker dan een geruststellende formulering.

DJMaze @virtualpimp • 28 april 2026 23:10

Wat betekent “technisch juiste wijze vernietigd” precies?

Is gekopieerd uit het boek van Rian van Rijbroek

HakanX @DJMaze • 29 april 2026 00:22

"Prullenbak leegmaken" na verwijderen

Gosat @DJMaze • 29 april 2026 00:51

Misschien hebben ze haar ingehuurd als dataexpert en die heeft er persoonlijk op toegezien dat het verwijderd is (mapje werd naar de prullenbak gesleept).

naaitsab @virtualpimp • 28 april 2026 20:29

Volledige duidelijkheid kunnen ze niet geven. Dat dit soort criminelen zich altijd aan hun woord houden om hun naam in de scene hoog te houden is onderhand ook lang en breed ontkracht als een fabeltje. Het is dus een kwestie, vertrouwen we criminelen op hun blauwe ogen? Vind de statement, die inderdaad bijzonder amateurish wordt gedeeld dus wel erg stevig en gebaseerd op goed vertrouwen.

Ook lijkt me het vrij evident dat ze hebben betaald, of ze hebben deze criminelen via andere manieren onder druk gezet maar die kans acht ik bijzonder klein. Als ze wel een succesvolle contra-hack hebben uitgevoerd en deze club juist losgeld geëist, geeft het verhaal dat de data echt vernietigd is wel meer body.

Riekt meer naar een 'marketing proof' verhaal dan de waarheid.

lDDQD @virtualpimp • 28 april 2026 20:58

Ze hebben het ook op hun eigen site gepubliceerd: https://informatie.chipsoft.com/chip-soft-informatiepagina-ransomware-incident/

DennusB @virtualpimp • 28 april 2026 20:02

Is gewoon een poging hun naam te redden …

biteMark @DennusB • 28 april 2026 20:20

Of een poging om het beste te maken van een rot situatie.

virtualpimp @DennusB • 28 april 2026 20:23

Gezien de context (zorgdata, ransomware, marktdominantie) is het logisch om kritisch te zijn op communicatiekeuzes. Ik zou het op de eigen website plaatsen waar ze ook andere berichten hierover plaatsen. Transparantie hoort hier eigenlijk hoger te liggen dan gemiddeld. Maar ik vermoed hier dat linkedin gekozen is zodat het niet in wayback machine komt en ze het later kunnen verwijderen als de storm gedaald is.

3raser @virtualpimp • 29 april 2026 08:31

Maar ik vermoed hier dat linkedin gekozen is zodat het niet in wayback machine komt en ze het later kunnen verwijderen als de storm gedaald is.

Of dat ze het later kunnen ontkennen door te zeggen dat dit door iemand geplaatst was die er helemaal geen verstand van had. Mocht dat nodig zijn uiteraard. Want kun je een bericht op social media als officieel statement beschouwen? Het zal niet de eerste keer zijn dat iemand roept dat hij gehackt is en dat het bericht niet van hem kwam.

robertpNL @virtualpimp • 29 april 2026 09:10

Ze hebben die informatie ook staan op hun een eigen webpagina.

virtualpimp @R_Zwart • 28 april 2026 20:41

Ik heb jarenlang ervaring met chipsoft

Aristo @R_Zwart • 28 april 2026 23:45

ChipSoft heeft nou niet bepaald een goede reputatie, op verschillende vlakken.

In de reacties bij een eerder artikel hier op Tweakers over ChipSoft deelde iemand een link naar een docu over dit bedrijf. Het bedrijf maakt o.a. enorm misbruik van hun machts- en monopoliepositie. Dit is een van de bedrijven die door hun praktijken de zorgkosten van iedereen zo onnodig hoger maken.

Hier de link naar de interessante docu: https://npo.nl/start/video/dodelijke-zorg/meer-informatie

smartsys @Aristo • 29 april 2026 13:22

Ik zit met open mond naar die documentaire te kijken. Wat een ongelofelijk verhaal. Triest dat dit gebeurd in Nederland waar zorg duurder en duurder wordt en die twee paardenlullen dus nu goed zijn voor 780miljoen euro. Verdiend met ONS zorggeld. Dat er er drie senatoren in de 1e kamer BEWUST verbetering tegenwerken is ook ernstig. De zorg om privacy is vooral bij de Linker partijen groter dan het welzijn van mensen.

De huidige macht van commerciële EPD-leveranciers moet worden gebroken door de zorginfrastructuur als een publieke nutsvoorziening te behandelen. De overheid hoeft zelf geen software te bouwen, maar moet wel de eigenaar zijn van een universele Europese zorgkluis. In dit model is medische data altijd eigendom van de burger en wordt deze opgeslagen in een centrale, beveiligde laag. Softwarebedrijven mogen alleen applicaties aanbieden als ze aan een strikt kwaliteitskeurmerk voldoen en naadloos 'pluggen' op deze universele standaard. Hiermee stoppen we de gijzeling van zorggeld door commerciële partijen en maken we de weg vrij voor echte innovatie en transparante prijsstelling.

Daarnaast moet de zorg transformeren door de inzet van een onafhankelijke, medisch getrainde AI en biometrische thuistriage. Door een gecertificeerd basisstation voor thuisgebruik (voor o.a. basis medische gegevens (temperatuur, bloeddruk, hartslag), maar ook oog- en speekselanalyse) kunnen we objectieve data verzamelen die de werkdruk bij huisartsen drastisch verlaagt. Een emotieloze AI, getraind op wereldwijde feitenkennis, fungeert daarbij als een onmisbaar vangnet dat diagnoses en behandelplannen toetst. Dit voorkomt menselijke fouten door tunnelvisie of financiële targets en geeft de patiënt de zekerheid dat beslissingen altijd gebaseerd zijn op de meest actuele medische wetenschap in plaats van op commerciële belangen.

biteMark @smartsys • 29 april 2026 14:42

Je voorstellen zijn natuurlijk compleet onrealistisch, nog los van het geloof in de onfeilbaarheid van overheden. Een Europese zorgkluis? Nee, dank je! Als er één groep volledig incapabel is op IT-gebied dan zijn het wel overheden. En we hebben de laatste jaren geloof ik teveel voorbeelden gezien van landen die in korte tijd zijn vervallen in systemen die geen moer om de burger geven. Dat zijn wel de laatste instituten die ik zou willen vertrouwen met mijn medische gegevens!

Een onafhankelijke zorg-AI zou ik nooit willen hebben. Zou je letterlijk je gezondheid in de schoot van een dure chatbot willen leggen? Lekker laten hallucineren: “Nee hoor, af en toe bloed ophoesten is heel normaal. Niks om je zorgen over te maken.” Top idee.

Daarnaast zijn andere EPD-systemen veel duurder voor minder functionaliteit dus volgens mij zijn we nog niet zo gek af met ChipSoft, hoewel voorop moet worden gesteld dat niks natuurlijk perfect is.

smartsys @biteMark • 30 april 2026 11:16

Heb je die documentaire hierboven überhaupt bekeken? Beter af met ChipSoft of Epic??? Niet functionerende software waar ziekenhuizen tientallen miljoenen per jaar voor moeten betalen en die zo complex is geworden met functies waar de zorg specialisten nooit om gevraagd hebben, dat ze ook nog meer tijd aan administratie kwijt zijn i.p.v. minder. Dus ook nog minder zorg voor heel veel geld.

Je moet echt beter lezen. Ik zeg niet dat de overheid de software bouwt, dat kunnen ze namelijk niet. De overheid is alleen de eigenaar van het datacenter en de servers, etc... waar de data op staat. Zo heb je géén commerciële partij die met jouw medische gegevens aan de haal gaat.

De zorgkluis is eigenlijk niets meer dan een aantal Europese datacenters waar de overheden eigenaar van zijn en waar de data volgens een Europese STANDAARD in MOET worden opgeslagen. Zo kan data tussen iedere apotheek, iedere huisarts, ieder ziekenhuis, maakt niet uit wat. Met jouw goedkeuren kan een partij erbij. De software die een zorgverlener gebruikt wordt door commerciële partijen geleverd, maar de data staat in de zorgkluis. Oftewel de software kan helemaal op maat gemaakt worden voor de specifieke groep zorgverleners. Huisartsen of Ziekenhuizen hebben heel andere behoeftes en zelfs binnen een ziekenhuis hebben verschillende afdelingen verschillende behoeftes.
Nu moet dat allemaal in 1 software pakket gestopt worden en de partij die dat pakket maakt is helemaal niet in staat om dat allemaal te realiseren. Door het op te knippen krijg je veel gerichter maatwerk en ook de optie dat kleinere partijen kunnen aanhaken. Je kunt als ziekenhuis ook veel makkelijker overstappen. Als de software voor de kraamafdeling niet goed werkt, zoek je naar een partij voor alleen die software. Dan hoeft niet de rest van het hele ziekenhuis om wat eigenlijk onmogelijk is vanwege gebrek aan alternatieven en de enorme kosten die hierbij komen.

Een AI wordt getraind door de feiten uit de medische kennis. Als je opgeeft dat je bloed ophoest is er werkelijk géén ENKEL medisch artikel of beschrijving van een aandoening waarin het advies wordt gegeven om het nog een paar dagen aan te kijken. Dat soort bevindingen zijn wel menselijk, omdat een arts met een enorme werkdruk en teveel patiënten moet filteren. Een AI kent geen werkdruk of emotie. Die geeft dus het nodige advies en dat zal dus ook zijn. Ga naar je huisarts. Ik heb zelf de afgelopen 4 maanden al 2 gevallen gehad waarbij een AI een betere diagnose dan een arts heeft laten zien. Het kan een arts helpen om op een juiste richting te worden gezet of om géén stappen over te slaan. Het is een hulpmiddel en geen vervanging. Het is alleen een hulpmiddel wat is getraind uit véél meer en uitgebreidere informatie dan een enkele arts OOIT zou kunnen leren en onthouden.

Ik heb misschien een "droombeeld", maar wel één die de zorg in de EU en ook in Nederland naar een hoger niveau kan brengen met lagere kosten.

biteMark @smartsys • 30 april 2026 15:59

Ik zeg niet dat de overheid de software bouwt, dat kunnen ze namelijk niet. De overheid is alleen de eigenaar van het datacenter en de servers, etc... waar de data op staat. Zo heb je géén commerciële partij die met jouw medische gegevens aan de haal gaat.

Hoe lost dit de problemen op?

1) De software wordt dan nog steeds door commerciële partijen gemaakt dus op die kosten ga je niks besparen.

2) De data moet worden gehost bij overheden, wel de laatste die iets met onze medische gegevens te maken hebben. Hun rol is de boel draaiende houden en hebben daar uiteraard bepaalde data voor nodig maar géén medische data. Ze zijn niet onze moeders hè?

De zorgkluis is eigenlijk niets meer dan een aantal Europese datacenters waar de overheden eigenaar van zijn en waar de data volgens een Europese STANDAARD in MOET worden opgeslagen.

En wie gaat er zorgen voor het ondersteunen van innovaties? Rigide datastructuren gaan doorontwikkelingen alleen maar enorm in de weg zitten. Wie gaat die datastructuren beheren en migreren? Om nog maar te zwijgen van ondersteuning voor doorontwikkelingen in de software die erop aansluit…

En wat denk je van de kwetsbaarheid? Als je alle medische data centraliseert creëer je een heel sappig doelwit! Bij ChipSoft zijn nu medische gegevens gejat die bij hen centraal waren opgeslagen maar gelukkig beheren de meeste ziekenhuizen hun eigen data en konden ze daar nu voor zover bekend niet bij.

Ik heb misschien een "droombeeld", maar wel één die de zorg in de EU en ook in Nederland naar een hoger niveau kan brengen met lagere kosten.

Hoger niveau? Hoe? Er wordt niks beter, je verdeelt alleen de taken om ervoor te zorgen dat data uit de handen van commerciële partijen blijft en creëert rigide datastructuren die elke vorm van innovatie of verbetering in de weg staan.

Die lagere kosten kan je wel vergeten, dat is een illusie. Je blijft afhankelijk van commerciële partijen voor de software en die datacenters laten beheren door overheden is ook niet gratis, dat wordt evengoed betaald met belastinggeld (en denk maar niet dat ze op de centen letten).

Blijf vooral dromen zou ik zeggen. In je dromen kan alles, hoe onrealistisch het ook is…

Bart ® Moderator Spielerij

28 april 2026 19:59

Gelukkig was het voor de hackers onmogelijk om voor de vernietiging op technisch juiste wijze, nog even een kopietje te maken.

/s

biteMark @Bart ® • 28 april 2026 20:28

Wat zou dat voor waarde hebben voor ze? Hun hele businessmodel is afhankelijk van hun geloofwaardigheid. Je denkt toch niet dat dezelfde slachtoffers nóg een keer gaan betalen “want nu gaan we het écht vernietigen, heus waar…”? Het is veel waardevoller om met een geloofwaardige reputatie op zoek te gaan naar een nieuw slachtoffer.

Zoop @biteMark • 28 april 2026 20:30

Ach, dan opereren ze wel verder met een van de tig andere namen met "goede reputatie", gaat er een ten onder, dan verschijnt de volgende alweer (met exact dezelfde mensen erin), ze kunnen best gemakkelijk "doubledippen" als het lucratief genoeg is. Dat je die gasten daar op hun blauwe ogen kan geloven is echt onzin.

Martinez- @biteMark • 28 april 2026 20:40

Ja, want wij weten inderdaad precies welke individuen achter elke hack zitten en daarom weten we dat 'Pietje' een hoge reputatie heeft bij het naleven van een afspraak bij betaling.

Wat 'Pietje' echt doet is het geld innen, de set ook nog onderhands verkopen en de gegevens worden gewoon misbruikt zonder dat dit publiekelijk bekend wordt.

Bart ® Moderator Spielerij

@biteMark • 28 april 2026 21:07

Dan doe je de aanname dat er maar op 1 manier geld te verdienen valt aan de gestolen data, en dat ze die manier nu benut hebben.

DdeM @biteMark • 28 april 2026 22:34

Ik zou zeggen, vraag dat aan Sodinokibi, Maze, Netwalker, Mespinoza en Conti

mjtdevries @DdeM • 30 april 2026 17:11

Het opvallende is dat ik die claims alleen van security bedrijven zie, maar nooit ook maar enige bewijs van die bewering. Je zou denken dat als die bewering klopt dat de criminelen alsnog de data lekken, dat je daar dan ook makkelijk voorbeelden van kan geven als bewijs van de claim.

latka @biteMark • 29 april 2026 01:02

Afsplitsing/distruntled employee scenario (is al eens gebeurt). De hoofdgroep zegt "wij zijn het niet, maar pietje heeft een persoonlijke kopie gemaakt waar we niet van wisten". Pietje claimt 10 bitcoin en dump de data alsnog omdat het op de zwarte martkt 100 bitcoin waard is. Het zijn bitjes. Die kun je niet "gegarandeerd vernietigen" zoals chipsoft claimt.

NielsFL @biteMark • 29 april 2026 04:19

Die geloofwaardigheid komt alleen in het geding als jij erachter komt dat ze een kopie hebben verkocht.

Ik denk dat ze prima een kopie kunnen verkopen aan legale data brokers zonder dat iemand daar achter komt. Die verkopen meestal namelijk geen bron data maar allerlei afgeleide statistieken, profielen, etc.

Heroic_Nonsense

@biteMark • 29 april 2026 08:46

Iemand die zo laag zakt om mensen af te persen, moet je niet vertrouwen op hun woord.

Wat afgekocht is, is publicatie op het darkweb van het bestand. Om reputatieschade te voorkomen, zullen de hackers dat inderdaad niet alsnog gaan doen. Dat zal in de toekomst alleen maar zorgen voor slachtoffers die niet meer betalen.

Maar met die data kan men natuurlijk veel meer dan alleen maar publiceren of verkopen aan de hoogste bieder, en die andere opties zijn niet zo eenvoudig te herleiden naar de hackers.

Je kunt in dit soort situaties niet met zekerheid vaststellen dat de data is vernietigd. Er kunnen altijd backups zijn gemaakt.

Internet

@biteMark • 29 april 2026 06:13

Nou ja. Ze zouden de data ook generieker kunnen maken. NAW-gegevens en e-mail adressen zijn generiek genoeg om niet aan een specifieke hack te kunnen koppelen. De verkoopprijs zal lager zijn, maar meer dan nul.

Martinez- @Bart ® • 28 april 2026 20:30

Precies mijn gedachten. Leuk hoor, zo'n bedrag en dan ook nog wat backups achter de hand.

xenn99 28 april 2026 20:02

En worden ze nog afgerekend op deze oncontroleerbare onzin?
Sowieso een enorm slechte zaak dat ze betaald hebben, dat had al nooit mogen gebeuren.
Groepen als deze moeten kapot worden gemaakt niet verrijkt.

jbhc @xenn99 • 29 april 2026 00:51

Nee, natuurlijk niet, ze verhogen gewoon de prijzen. Ze verkopen hun hix standaard meuk database nu voor een veelvoud van een miljoen dus een paar meer maakt toch niet meer uit.

ChipsSoft's is met HiX is net zoiets als SAP. Een bedrijf wat Database 3+ met een gui voor bizar veel geld weet te verkopen.

Heroic_Nonsense

@jbhc • 29 april 2026 08:53

Zo heb ik SAP nog niet eerder omschreven zien worden.

In de basis klopt het wat je zegt (als het om de R/3-versie en ouder gaat tenminste - S/4 is een heel ander beestje). Maar SAP vouwt er wel iets meer dan alleen een GUI omheen. Er zitten allerlei softwaremoddules in het systeem die iets met die data uit db3 doen, en dat off-the-shelve voor een groot aantal sectoren. En de support op iets dat je zelf met REXX bouwt om db3 heen, is natuurlijk precies 0 - en dat is voor de doelgroep van SAP geen optie.

ehtweak 28 april 2026 20:03

Dus blijkbaar waren de gegevens niet bedrijfskritisch? En/of waren er klanten van afhankelijk?

Anders kun je het toch niet vernietigen?

En wat met backups? Die maken ze zeker ook nooit... ahum...

Oh wacht, ze zijn aan het herstellen:

Veelgestelde vragen

28-04-2026 18:50

Update ransomware-aanval (Nederland & België) Recent zijn wij slachtoffer geworden van een ransomware-aanval en zijn er gegevens van enkele van onze Nederlandse klanten ontvreemd. De bescherming van de gegevens van onze klanten heeft voor ons altijd de hoogste prioriteit. In deze uitzonderlijke situatie heeft dat belang zeer zwaar gewogen. Mede met ondersteuning van cybersecurity-experts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn. Tevens zijn die ontvreemde gegevens vernietigd. Onze cybersecurity-experts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden. Het herstelproces verloopt voorspoedig, maar vraagt uiteraard om zorgvuldigheid en tijd. Daarvoor vragen wij nogmaals uw begrip.

M.a.w. de vernietigde gegevens zijn zometeen weer terug?

Xfade @ehtweak • 28 april 2026 20:20

Het gaat om de gegevens die de criminelen hadden, die zouden zijn vernietigd. Dat zegt niks over een backup die ze hebben liggen.

radje996 28 april 2026 20:19

Ik denk dat er binnenkort een mail naar hun klanten uitgaat, geen sorry, maar iets in de richting van:

Beste klant,

Helaas zijn wij door onvoorziene opgelopen kosten, genoodzaakt een prijsverhoging per direct door te voeren.

oid

, want er zal vast een clausule ergens in het contract staan, dat prijsverhogingen mogelijk zijn in uitzonderlijke situaties....en als je bijna of totaal geen concurrentie hebt, kan dat gewoon, in de quote 500 blijven staan is natuurlijk wel een doelstelling die niet ten koste mag gaan van een of ander gedoetje...daar mag de klant toch best wel extra voor gaan betalen ...

[Reactie gewijzigd door radje996 op 28 april 2026 20:24]

pkvisual @radje996 • 28 april 2026 21:05

Als je de docu van Zembla hebt gezien dan kan je hier wel eens gelijk in hebben.

Om te kunnen reageren moet je ingelogd zijn