Door Yannick Spinner

Redacteur

Feedback • 29-04-2026 18:56 46

'Gestolen ChipSoft-data verschijnt niet online', maar is dat wel zo?

29-04-2026 • 18:56

46

titel

Al het nieuws rondom grote datalekken kan een beetje deprimerend zijn, zeker als naderhand blijkt dat al je data ook nog eens op straat ligt en je geen voet om op te staan. Laatst bleek weer dat er gevoelige data bij een bedrijf gestolen was, specifiek medische gegevens bij ChipSoft. Menig lezer zal zwetend hebben gelezen dat hun medische gegevens misschien op straat belandden. Maar het verlossende woord is eruit: ChipSoft zegt dat de gestolen gegevens vernietigd zijn! Eind goed, al goed, toch? Niet bepaald, want helaas is er geen enkele manier om dat zeker te weten.

In het kort: ransomwareaanval op ChipSoft

ChipSoft heeft te maken met een ransomwareaanval. Dat werd op dinsdag 7 april bekend. De getroffen software is in elk geval HiX on-premises, HiX SaaS en SaaS-patiëntenportaal gehost via ChipSoft, aldus Z-Cert, het expertisecentrum voor cybersecurity in de zorg.

Volgens ChipSoft is de cyberaanval opgelost en zijn de gestolen gegevens vernietigd. Het is niet bekend of het Nederlandse bedrijf hier losgeld voor heeft betaald.

ChipSoft is de grootste leverancier van software voor elektronische patiëntendossiers in Nederland. Het bedrijf heeft een marktaandeel van meer dan 70 procent onder ziekenhuizen. Bij huisartsenpraktijken is dat marktaandeel lager.

ChipSoft ontspringt de dans

ChipSoft werd dus slachtoffer van een ransomwareaanval en daarmee werden veel klanten van het bedrijf slachtoffer. Die klanten zijn huisartsen en ziekenhuizen. Kortom: heel veel mensen waren direct of indirect betrokken bij het datalek. Dan kun je er vaak gif op innemen dat die data geopenbaard wordt. Dit is immers een onderhandelingstechniek van de criminelen: betalen of ze lekken de data.

NCSC
Bron: NCSC

Maar dat zegt ChipSoft te hebben kunnen voorkomen, vermoedelijk door losgeld te betalen. Dat wil het bedrijf overigens niet bevestigen aan Tweakers.

In een openbare post schrijft ChipSoft: "Mede met ondersteuning van cybersecurityexperts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn. Ook zijn die ontvreemde gegevens vernietigd. Onze cybersecurityexperts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden." Er zijn geen details over deze technische manier bekendgemaakt.

Belofte is vaak niet te verifiëren

Het is alleen de vraag: kán dat wel? Bij een incident response-situatie en de onderhandeling met de criminelen zou de belofte best gemaakt kunnen worden dat de gegevens vernietigd zijn. Maar hoe je dat kunt verifiëren, is niet duidelijk en ChipSoft wil hier ook niet verder over in detail treden.

In gesprek met het Nationaal Cyber Security Centrum laat de overheidsorganisatie weten dat je het bij criminelen nooit zeker weet. Het NCSC benadrukt dat zij niet betrokken was bij de onderhandelingen na de aanval op ChipSoft, maar dat het over het algemeen niet te verifiëren is of criminelen zich aan de afspraken houden.

"Vaak gaat het bij cyberaanvallen om het 'double extortion'-model. De systemen van het doelwit worden versleuteld én er vindt afpersing plaats door te dreigen met het publiceren van gestolen gegevens", aldus een woordvoerder van het NCSC. Als een slachtoffer betaalt, kan de belofte gemaakt worden dat de systemen weer online komen en dat de gegevens niet geopenbaard en zelfs vernietigd worden. "Maar garanties heb je niet."'Garanties heb je niet.'

'Criminelen zijn niet te vertrouwen'

Dat onderstreept Frank van Oeveren, Associate Director Global Threat Intelligence bij cybersecuritybedrijf Fox-IT: "Het is onmogelijk om te verifiëren of criminelen gegevens hebben verwijderd. Er is bijvoorbeeld geen hash die je kunt checken en je weet niet hoeveel kopieën er van de bestanden gemaakt zijn."

Sterker nog, volgens Van Oeveren blijkt keer op keer dat er bewijs is dat criminelen data juist niet verwijderen. Hij verwijst bijvoorbeeld naar LockBit, waar na het oprollen van de bende veel bestanden werden ontdekt die zogenaamd verwijderd zouden zijn. "Criminelen zijn gewoon niet te vertrouwen. Daarom raden we aan om simpelweg niet te betalen, dan werk je ze tenminste niet in de hand. Je maakt jezelf door te betalen zelfs vatbaar voor meer aanvallen: criminelen weten nu dat je bereid bent om te betalen en dat maakt je een doelwit."

Bron: Curly_Photo/Moment/Getty Images
Bron: Curly_Photo/Moment/Getty Images

Of de gestolen gegevens ook daadwerkelijk online verschijnen is niet duidelijk. Mogelijk worden de data geruild, alsnog verkocht of achter de hand gehouden. Het statement van ChipSoft is dus moeilijk op waarde in te schatten.

"Maar ik heb wel begrip voor de afweging van een bedrijf als ChipSoft als ze betaald hebben, want soms heb je weinig keuze." Specifiek de verantwoordelijke hackersbende, die volgens Van Oeveren relatief jong is, zou bekend staan om de double-extortionmethode en dan zou het soms bijna niet anders kunnen dan betalen. Het alternatief is dat niet alleen je gegevens maar je hele systemen verdwijnen.

Honour among thieves

Maar er is misschien toch een reden om het woord van de cybercriminelen te vertrouwen. Zij hebben er volgens sommigen namelijk baat bij dat hun reputatie 'goed' blijft. Als zij tegen de eigen belofte in tóch de data lekken of doorverkopen, zal een volgend in theorie slachtoffer minder snel geneigd zijn om te betalen. Waarom zou je immers betalen als het eindresultaat uiteindelijk hetzelfde is?

Dat is dan ook de enige garantie die je hebt, als je daar al van kunt spreken: je zou kunnen aannemen dat de criminelen uit eigenbelang kiezen om de belofte aan ChipSoft na te komen. Dat is natuurlijk een schrale troost voor een bedrijf dat vermoedelijk losgeld heeft moeten betalen. Maar voor de consument die de laatste tijd zo vaak bij datalekken betrokken is, is dat wellicht enigszins geruststellend. Het is in ieder geval de enige geruststelling die we realistisch gezien hebben.

Lees meer

ChipSoft onderhandelt met criminelen na datalek patiëntengegevens
ChipSoft onderhandelt met criminelen na datalek patiëntengegevens Nieuws van 23 april 2026
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026
Beveiliging en antivirus ChipSoft Cybercrime Cybersecurity Hack

Reacties (46)

-Moderatie-faq
46
45
11
1
0
28
Wijzig sortering

Sorteer op:

Weergave:
The Zep Man
29 april 2026 18:59
Met het betalen van losgeld worden criminele netwerken gefinancieerd, die daardoor sterker en gestimuleerd worden om door te gaan met wat ze doen. Immers loont misdaad.

Door kortetermijndenken zal dit niet snel aangepakt worden, terwijl op de lange termijn dit de beste oplossing is.

[Reactie gewijzigd door The Zep Man op 29 april 2026 23:54]

Reageer
PhilipsFan @The Zep Man29 april 2026 19:20
Ik zou er ook niet blij mee zijn als mijn medische gegevens zouden lekken. Jij bent waarschijnlijk gezond en je kunt je niet voorstellen dat jouw medische gegevens interessant zijn. Maar van anderen zijn ze dat wel, voor werkgevers en verzekeringsmaatschappijen. Die sluiten het liefst mensen uit met chronische ziektes omdat het ze geld kan kosten.

De gegevens hadden vanaf het begin versleuteld moeten zijn, ik vind het echt onbestaanbaar dat huisartsen medische gegevens onversleuteld op clouddiensten opslaan.
Reageer
mrmrmr @PhilipsFan29 april 2026 19:53
Ik heb te maken met medische gegevens van anderen waarvoor ik verantwoordelijk ben, en ik begrijp dan ook conceptueel niet dat die via Microsoft mail worden verstuurd. Is er niemand die hen daarvoor waarschuwt? Misschien kan Z-CERT worden uitgebreid en ook andere zorginstellingen/zorgverleners gaan ondersteunen.
Reageer
Paul @mrmrmr29 april 2026 20:47
Wat bedoel je met "Microsoft mail"? Outlook? Zijn plugins voor. Exchange? Zijn telefoonboeken en send connectoren voor dat het via bekende en beveiligde verbindingen wordt verzonden. Iets anders?

Je mag medische gegevens best e-mailen, zolang je maar maatregelen treft. Bijvoorbeeld door Zorgmail of Zivver te gebruiken, en die integreren prima met Exchange en Outlook.
Reageer
mrmrmr @Paul29 april 2026 20:59
Het gaat om alle email hosting die Microsoft aanbiedt of waar ze direct of indirect toegang toe hebben. Microsoft scant en bewaard email content. Als je bijvoorbeeld een rechtstreekse link naar data verstuurt wordt die link bezocht en gedownload. Body data wordt zelfs herhaald in de headers.

Het gaat hier om wat gebruikers werkelijk doen, niet wat je ertegen kunt verzinnen zoals pgp en dingen die ze toch niet doen om allerlei redenen.

Ze zouden beter een goed ontworpen bestanduitwisselingssystemen moeten gebruiken, in de EU gehost. Dat is de goede manier. Alle data moet versleuteld opgeslagen zijn en de sleutels moeten niet worden gedeeld of elders worden opgeslagen. Overigens zijn een aantal van die "veilige email" diensten voornamelijk uiterlijk vertoon. Het maakt het niet absoluut veilig.
Reageer
Triblade_8472 @mrmrmr29 april 2026 21:06
Ja en nee. Technisch heb je gelijk. Maar gebruikers gebruiken andere woorden dan beheerders.

Neem Zivver of Zorgmail bijvoorbeeld. Als je Outlook opent heb je hier een plugin in. De gebruiker 'mailt' iets naar diens idee. Technisch wordt de informatie naar een server (van Zivver of Zorgmail) geüpload via https en de daadwerkelijke e-mail vernietigd.

De gebruiker denkt dat diegene mailt, terwijl er in werkelijkheid gewoon een data transfer via https heeft plaatsgevonden naar online storage.
Reageer
Paul @Triblade_847229 april 2026 21:13
Zorgmail gebruikt gewoon SMTP, en via het domeinboek wordt daar een IP-adres (of DNS-naam, is al even geleden dat ik het gebruikt heb) aan gekoppeld. Ik krijg die mailtjes ook gewoon in mijn Outlook mailbox binnen, ik hoef niet naar zo'n irritante website.

Daarbij moet ik wel zeggen dat dat voor deelnemende zorginstellingen onderling is. Als je naar een zorginstelling mailt die niet aan Zorgmail meedoet, of naar een patiënt (en daarbij de "Veilig verzenden"-knop gebruikt), dan moet de ontvanger inderdaad wel naar zo'n irritante website.
Reageer
mrmrmr @Triblade_847229 april 2026 21:27
De zwakheid zit hem in de plain text link die onversleuteld door onvertrouwde servers (c.q. scanners) heen gaat. Er is geen end-to-end encryptie.

Zivver is niet zo goed als Zorgmail in theorie zou kunnen zijn (ik heb ze niet geaudit). Zivver is verkocht aan een bedrijf in de VS en dat is een probleem op zich.
Reageer
kabelmannetje @Paul29 april 2026 23:29
Nope. Mail (smtp) is per definitie onveilig.
Reageer
Paul @kabelmannetje29 april 2026 23:47
Nope. Mail (SMTP) is niet per definitie onveilig.

Heb je ook nog onderbouwing voor jouw stelling? Want de mijne heb ik al onderbouwd. Ik wil dat nog wel uitgebreider doen als je dat wilt, maar alleen nadat jij jouw stelling hebt onderbouwd...
Reageer
kabelmannetje @Paul30 april 2026 01:03
https://www.anubisnetworks.com/blog/understanding-the-issues-with-smtp-protocol
Reageer
Cambionn @PhilipsFan29 april 2026 20:18
Jij bent waarschijnlijk gezond en je kunt je niet voorstellen dat jouw medische gegevens interessant zijn.
Jammer dat je meteen zo begint. Ik heb ook genoeg medische gegevens die niet de straat op hoeven, en wie weet The Zap Man ook. Maar ook ik ben tegen betalen. Niet iedereen met een andere mening is meteen iemand die de consequenties niet draagt.

Je financieerd het zodat ze het meer kunnen doen. En zit je nu niet in de hack, dan wellicht wel in de volgende. En al zit je er wel in, dan lekt de volgende wellicht nog ergere info. En dat is dan mede mogelijk gemaakt door de betaling.

En daarnaast is er dus nóóit garantie dat het verwijderd wordt. Het LockBit verhaal in dit artikel is een mooi voorbeeld van een partij die dat beloofde en kijk nou; pas toen ze de groep wisten op te pakken bleek alles er toch nog te zijn. Niemand had het door. Maar de data was er, en is mogelijk via minder openbare kanalen gewoon verspreid. Dan heb ik het niet over verkoop via de Dark Web, maar bijv. via andere criminele partijen. En dat is echt niet de enige groep waarbij dit gebleken is.

Een hack is kut. Maar eens gehacked blijft de data gelekt, ongeacht of je betaald. Liever zie ik voorkomende maatregelen, inclusief controle en boetes op ondermaatste beveiliging. Dat zegt niet dat alles wat gehackt wordt een boete krijgt. Niks is onhackbaar, en gehackt worden is niet iets wat je altijd kan stoppen, dus gehacked worden aan zich zou imho niet strafbaar moeten blijven. Maar de helft van de tijd blijken er wel grove fouten of nalatigheid geweest te zijn. Veel bedrijven bezuinigen graag op beveiliging, is immers een kostenpost die niks oplevert... tot het fout gaat... En daar mag best op geacteerd worden. Pak dat liever aan dan geld naar criminelen te sturen.

[Reactie gewijzigd door Cambionn op 29 april 2026 23:12]

Reageer
The Zep Man
@Cambionn29 april 2026 20:54
Ik heb ook genoeg medische gegevens die niet de straat op hoeven, en wie weet The Zap Man ook. Maar ook ik ben tegen betalen. Niet iedereen met een andere mening is meteen iemand die de consequenties niet draagt.
Het probleem voor slachtoffers van deze hack is dat hun gegevens gelekt zijn. Er is geen enkele garantie dat alle illegale kopieën van die gegevens onherroepelijk zijn verwijderd en die zal nooit komen. Eenmaal gelekt is gelekt. Als slachtoffer moet je er dus vanuit gaan dat het op straat ligt, met alle bijbehorende risico's.

Waar ik naar kijk in het grotere plaatje is het voorkomen van herhaaldelijke en nieuwe slachtoffers. Met losgeld betalen doe je dat niet. Sterker nog, dat draagt bij. Degene die losgeld betaalt draagt indirect bij aan toekomstig slachtofferschap.

De neiging om te betalen snap ik, wat de reden is waarom ik denk dat het debat hierover gevoerd moet worden. Dit zijn maatschappelijke problemen en op dat niveau ligt de oplossing.

[Reactie gewijzigd door The Zep Man op 29 april 2026 21:11]

Reageer
Cambionn @The Zep Man29 april 2026 21:14
Je zegt grotendeels hetzelfde als wat ik zei, dus fijn dat we het eens zijn ;). Het eerste door jou gequote stukje sloeg puur specifiek op het stukje wat ik had gequote van PhilipsFan waarbij hij de andere mening hierop wordt afgeschoven.
Reageer
The Zep Man
@Cambionn29 april 2026 21:30
Je zegt grotendeels hetzelfde als wat ik zei, dus fijn dat we het eens zijn ;).
Klopt. Wat ik schreef was een toevoeging op jouw reactie. Wat ik wilde toelichten is dat men snel emotioneel wordt. Dat is begrijpelijk. Een slachtoffer voelt zich hulpeloos. Velen (slachtoffer en anders) voelen hier een zekere woede door. Maar die emoties helpen niet in het grotere plaatje.
Reageer
GameNympho @The Zep Man29 april 2026 23:52
Ik had het gisteren nog over GameNympho in 'ChipSoft zegt dat alle door hackers gestolen data is vernietigd'
Reageer
Triblade_8472 @PhilipsFan29 april 2026 21:03
Ik snap je helemaal. Maar in Nederland, denk je serieus dat werkgevers en verzekeringsmaatschappijen illegale bronnen gaan raadplegen om jou na te trekken? Laat staan dat ze deze weten te vinden. Ik geloof dat niet. Daarnaast zijn er voldoende maatschappijen die mensen zonder vragen aannemen. En degene die wel informatie willen, daar ga jij ze echt wel eerlijk invullen omdat je verzekering anders ongeldig is.

Daarnaast bevat de gemiddelde Facebook pagina van iemand meer dan genoeg 'bewijs' hoe iemand echt is. (en ook daar mag men eigenlijk niet eens naar kijken dacht ik, al snap ik wel als dat gebeurt)
Reageer
PhilipsFan @Triblade_847229 april 2026 21:19
Zolang werkgevers nog massaal vrouwen discrimineren omdat ze zwanger (kunnen) worden, kijk ik nergens meer van op. Deze bedrijven zullen natuurlijk nooit toegeven dat ze een illegale bron gebruiken, maar dat hoeven ze ook niet. "Sorry, maar we hebben een betere kandidaat gevonden voor de functie" en je staat volledig buitenspel.
Reageer
vosManz @PhilipsFan29 april 2026 21:48
De gegevens hadden vanaf het begin versleuteld moeten zijn, ik vind het echt onbestaanbaar dat huisartsen medische gegevens onversleuteld op clouddiensten opslaan.
Ik heb zelf geen ervaring met de systemen van ChipSoft, dus wat ik nu ga zeggen is wat speculatief en gebaseerd op ervaring met andere systemen en cloud providers. Maar ik denk (en hoop O-) ) dat je er wel vanuit mag gaan dat de gegevens niet onversleuteld op clouddiensten (en on-premises, zie artikel) opgeslagen zijn. Het zal dan waarschijnlijk gaan om zaken als disk encryption, encryption at rest, en ik mag hopen dat de data tijdens transport ook versleuteld (bijv. met TLS).

Maar als je de data in een database wil gebruiken, en dat wil je als je er iets nuttigs mee wil doen, moet die data onversleuteld toegankelijk zijn. Een dokter kan geen diagnose maken op basis van versleutelde data, een assistent kan geen afspraak inplannen als de agenda versleuteld is, en een patiënt die een versleutelde verwijsbrief krijgt zal niet weten wat die daarmee moet (ik weet niet wat wat Hix precies kan dus misschien kloppen de voorbeelden niet helemaal, maar het gaat om het idee).

De data kan dus 'oversleuteld' uitgelezen worden, anders kun je er niet mee werken. Dat staat los van het feit of het versleuteld is opgeslagen. Als de aanvallers alleen toegang hadden tot de (versleutelde) harde schijven of (versleutelde) databestanden o.i.d. dan kunnen ze waarschijnlijk niet veel met de data (tot ze die versleuteling kunnen kraken). Maar als de aanvallers toegang hadden tot de tools die de onversleutelde data uitlezen (zoals bijvoorbeeld in de Odido hack) of controle hadden over de volledige systemen dan hebben ze mogelijk wel toegang gehad tot de onversleutelde data.

Maar de aanname doen dat de data onversleuteld bij clouddiensten is opgeslagen lijkt me dus hoogst onwaarschijnlijk.
Reageer
DefaultError @PhilipsFan29 april 2026 21:54
Remember Barbie als tv persoonlijkheid waar iedereen met een achternaam/personeel van smulden om in het EPD te kijken. Een sneue vertoning.
Reageer
PjotterP @PhilipsFan30 april 2026 00:33
Wat dacht je van gevoelige medische gegevens van personen met belangrijke posities bij bedrijven en overheden die daardoor chantabel kunnen worden.

Het bij verkeerden in handen komen van grote volumes aan medische gegevens is gevaarlijk niet alleen vanwege individuele belangen maar ook andere belangen.
Reageer
xxs @The Zep Man29 april 2026 19:55
De digitale wereld wordt er wel veiliger van. :+
Reageer
jvelite @The Zep Man29 april 2026 22:34
Maar tegelijkertijd, als men dan op een gegeven moment weet dat het betalen nooit zin heeft omdat de criminelen houden zich niet aan het woord houden, zal die inkomenstroom vanzelf weer opdrogen.

Ofwel, de criminelen zijn er ook wel weer bij gebaat om zich in ieder geval soms aan het woord te houden?
Reageer
Armin2402 29 april 2026 19:07
Tja, je medische gegevens op de dark web is ook geen pretje. Snap de afweging wel. Odido heeft niet betaald en de klanten zijn daarvan de dupe geworden. Ze gaan zelf weer vrolijk verder met geld verdienen, het heeft nauwelijks gevolgen voor ze gehad.
Reageer
pagani @Armin240229 april 2026 19:09
Afgezien van een claim van 175 miljoen euro door 350.000 mensen.
Reageer
Armin2402 @pagani29 april 2026 19:17
Ja, het is pas interessant als er ook echt iets toegekend wordt. Er viel tot op heden pas wat te claimen als je kon aantonen dat je schade hebt geleden. Eerst zien en dan geloven.
Reageer
mrmrmr @Armin240229 april 2026 19:49
Het is aannemelijk dat de schade van hen komt, als het medische gegevens zijn die over een patiënt gaat en als die gegevens via een partij zouden zijn gelekt. Die 175 miljoen is niet uit de lucht gegrepen, € 500 is de schade die al eens toegekend in een rechtszaak aan een patiënt wiens medische gegevens waren gelekt.

€ 500 is natuurlijk een schijntje, maar de potentie voor een hoog totaalbedrag aan schadevergoedingen moet de eigenaren wel aan het denken hebben gezet.

De werkelijke schade kan meer dan een miljoen bedragen voor een hoog opgeleide patiënt als die daardoor geen carrière kan maken en niet meer op zijn niveau en functie aangenomen wordt.

[Reactie gewijzigd door mrmrmr op 29 april 2026 21:29]

Reageer
SJCE @mrmrmr29 april 2026 23:34
Dat is een enorme onderschatting van het risico. Zodra er erfelijke factoren een rol spelen gaat het heel gemakkelijk om 20-100 keer zo veel
Reageer
batjes @Armin240229 april 2026 19:54
De consumentenbond is al... 5(?) jaar bezig met een zaak tegen Google en een zaak tegen Facebook en ze staan beide momenteel stil.

We krijgen hier eigenlijk ook geen fluit voor elkaar tegen toko's die het breken van de wet zien als het verzamelen van pokemonkaarten en het is weer hopen dat andere Europese landen het voor ons op gaan nemen.

Maar dit zijn nogal nationale aangelegenheden, dus succes iedereen! (Ik ook want ik doe ook mee)
Reageer
PhilipsFan 29 april 2026 19:16
Wat ik nooit begrepen heb, met al die initiatieven voor patientendossies: Waarom is er nooit over versleuteling nagedacht? Als artsen die gegevens lokaal versleutelen met een key die ik bij me heb op een pasje, dan kan niemand er nog in kijken. Als data vervolgens in de cloud wordt opgeslagen en daar gejat, dan is dat volkomen waardeloos. Is een makkelijke oplossing toch? Het vergt een relatief eenvoudige aanpassing in de software en elke arts moet een kaartlezer kopen, dat is allemaal goed te overzien ten opzichte van data lekken.

Ik bedoel, hoeveel mensen gaan er nu niet meer naar de huisarts omdat de dingen die hij opschrijft, uit kunnen lekken? Gezonde mensen kunnen zich daar niks bij voorstellen, maar als je bijvoorbeeld diabetes of kanker hebt, dan zijn er vast werkgevers en verzekeringsmaatschappijen waar je nu geen baan of verzekering meer kunt krijgen omdat die bedrijven illegaal een lijst met medische gegevens hebben opgekocht. Denk daar eens over na voordat je een dergelijk datalek bagatelliseert.
Reageer
MennoE @PhilipsFan29 april 2026 20:16
En wat nou als jij een auto-ongeluk krijgt, jij je pasje niet bij je hebt of die in het ongeluk is vernietigd, en de artsen moeten weten of jij allergisch bent voor medicijnen en welke aandoeningen je eventueel hebt?
Reageer
PhilipsFan @MennoE29 april 2026 20:28
Ja, die argumenten hoorde je eerder ook constant, maar die zijn helemaal niet van toepassing. Als ik een ongeluk krijg en mijn portemonnee is met mijn auto afgebrand, dan weten ze ook niet wie ik ben, dus dan moet de ambulance-arts sowieso improviseren. Dat kunnen ze heel goed, je hoort nooit dat iemand na een ongeluk is overleden doordat hij toevallig allergisch was voor de pijnstiller die de ambulance gebruikte. Toen er nog geen EPD's waren gingen er ook geen mensen dood doordat de gegevens ontbraken.

Dus hou op met die edgecases, het is dan altijd nog aan de persoon zelf of hij dat pasje bij zich wil dragen. Nu kun je zelf helemaal niks beslissen, er wordt voor jou beslist dat je medische gegevens te hacken zijn.

[Reactie gewijzigd door PhilipsFan op 29 april 2026 20:28]

Reageer
Zentbeer @PhilipsFan29 april 2026 23:02
Het is ook wel matig bruikbaar dat een arts pas in je dossier kan als je er al bent. Dat betekent dat voorbereiding of afstemming met andere zorgverleners zonder je aanwezigheid niet kan. In mijn directe omgeving ken ik helaas zoveel complexe medische situaties dat je wilt dat artsen veel uitwisselen en zaken goed voorbereiden. En dan heb ik het niet alleen over operaties.

De efficiëntie en de effectiviteit van de zorg gaat wel erg achteruit als je eerst via de patiënt toegang tot het dossier kan krijgen en dan nog even moet gaan inlezen.
Reageer
dlaoR @PhilipsFan29 april 2026 23:19
Je gaat nu even voorbij aan het feit dat er heel veel patientgebonden werk plaatsvindt in een EPD waarbij de patiënt helemaal niet aanwezig is. Dat begint al bij het lezen van de (digitale) verwijsbrief en loopt door tot en met een afsluitende brief ná het overlijden.

Als ik alleen in het dossier van een patiënt kan als die lijfelijk tegenover me zit met zijn 'zorgpas' in de gleuf, is dat volstrekt onwerkbaar. En wie zegt mij als zorgverlener dat de pas in die lezer ook echt van de persoon is die 'm erin gestopt heeft?
Reageer
PhilipsFan @dlaoR30 april 2026 01:03
Het zijn allemaal argumenten die veel minder belangrijk zijn dat de veiligheid van de medische gegevens. Je hebt wel een punt natuurlijk, een arts zal een bezoek moeten voorbereiden of overleggen met andere zorgverleners en daarvoor moeten ze bij de gegevens kunnen. Maar daar is vast wel iets op te verzinnen, anders dan alles maar onversleuteld opslaan.
Reageer
themadone 29 april 2026 19:34
Oh dit is echt hilarisch, wat voor security experts zijn dat lol. Ligt gewoon een tape op tafel met een backup van de hele bende en als het geld op is krijgt ChipSoft weer een telefoontje. Wat een ongelooflijke amateurs.
Reageer
RobbertBink 29 april 2026 20:03
Via de webcam lieten ze zien hoe ze een USB drive kapot sloegen met een hamer. Iedereen kan weer gerust gaan slapen. Er zijn geen kopietjes, nee echt niet hoor, ik zweet het je. :Y)
Reageer
Tjeerd @RobbertBink29 april 2026 20:18
Als het al zoiets zou zijn, dan hebben ze het in ieder geval met AI gemaakt :+
Reageer
rem_hopster 29 april 2026 20:29
Een leuk artikel, maar waar geen aandacht aan besteed wordt, is de monopolie positie en de slechte communicatie. Veelal is de communicatie bijzonder en in mijn optiek ontbrekend en slecht.Bericht

Enkele bijzondere aspecten:

- gegevens van enkele van onze Nederlandse klanten ontvreemd.


Met deze zin, maak je het mooi klein. Het gaat om gevoelige informatie van patiënten/cliënten. Dus om hoeveel data zou het gaan. Een praktijk heeft al snel tussen de 2400 en 3000 record en misschien wel meer.

- Mede met ondersteuning van cybersecurity-experts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn. Tevens zijn die ontvreemde gegevens vernietigd. Onze cybersecurity-experts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden.

Bijzonder. Maar zoals in het artikel aangegeven kan je dit nooit zeggen. En dan heel benieuwd hoe de check op de technische verwijdering is gedaan. Zelf geloof ik er niks van

Kortom, ik hoop echt dat de data er niet meer is van alle patiënten/cliënten.
Reageer
Sandor_Clegane 29 april 2026 20:34
Ah, het aloude 'vertrouwen'. Dat is lastig met een game theory/zero sum insteek, wat vooral de boventoon voert in onze maatschappij.
Reageer
DefaultError 29 april 2026 21:50
Een gezichtspunt is dat de daders hun reputatie hoog willen houden. De gegevens worden tijdelijk gegijzeld en er is flink aan de bel getrokken. Er hing een rookgordijn met name over de berichtgeving vanuit Chipsoft logischerwijs.

Chipsoft betaald voor ‘bewezen’ snode diensten. De kwaadwillenden hebben als het ware de klus geklaard om in het EPD systeem te komen. Het was volgens een eerdere documentaire en items niet de vraag dat het niet veilig was maar eerder een gegeven wanneer de gegevens op straat komen te liggen.

Hopelijk is nu wel de noodzaak aanwezig om een robuust veilig systeem te bouwen/onderhouden.

‘So this might be a gray hat hack after all’.
Reageer
Chromoris 29 april 2026 22:12
En dan heb je ook nieuwberichten zoals het volgende: Is claim over vernietigde gegevens ChipSoft betrouwbaar? Expert legt uit

En daarin zegt weer een andere "expert" dat de data wel veilig is verwijderd. Ik vraag me heel sterk af of we daarmee dan niet een van de "experts" te pakken hebben die de boel voor Chipsoft heeft veilig gesteld. Gezond verstand staat haaks op wat er in dat artikel gezegd wordt.
Reageer
HenkEisDS 29 april 2026 22:52
Misschien is er niet betaald, maar heeft ChipSoft hackers ingehuurd om de data zelf te verwijderen.
Reageer

Om te kunnen reageren moet je ingelogd zijn