Door Yannick Spinner

Redacteur

Feedback • 29-04-2026 18:56 71

'Gestolen ChipSoft-data verschijnt niet online', maar is dat wel zo?

29-04-2026 • 18:56

71

titel

Al het nieuws rondom grote datalekken kan een beetje deprimerend zijn, zeker als naderhand blijkt dat al je data ook nog eens op straat ligt en je geen poot hebt om op te staan. Laatst bleek weer dat er gevoelige data bij een bedrijf gestolen was, specifiek medische gegevens bij ChipSoft. Menig lezer zal zwetend hebben gelezen dat hun medische gegevens misschien op straat belandden. Maar het verlossende woord is eruit: ChipSoft zegt dat de gestolen gegevens vernietigd zijn! Eind goed, al goed, toch? Niet bepaald, want helaas is er geen enkele manier om dat zeker te weten.

In het kort: ransomwareaanval op ChipSoft

ChipSoft heeft te maken met een ransomwareaanval. Dat werd op dinsdag 7 april bekend. De getroffen software is in elk geval HiX on-premises, HiX SaaS en SaaS-patiëntenportaal gehost via ChipSoft, aldus Z-Cert, het expertisecentrum voor cybersecurity in de zorg.

Volgens ChipSoft is de cyberaanval opgelost en zijn de gestolen gegevens vernietigd. Het is niet bekend of het Nederlandse bedrijf hier losgeld voor heeft betaald.

ChipSoft is de grootste leverancier van software voor elektronische patiëntendossiers in Nederland. Het bedrijf heeft een marktaandeel van meer dan 70 procent onder ziekenhuizen. Bij huisartsenpraktijken is dat marktaandeel lager.

ChipSoft ontspringt de dans

ChipSoft werd dus slachtoffer van een ransomwareaanval en daarmee werden veel klanten van het bedrijf slachtoffer. Die klanten zijn huisartsen en ziekenhuizen. Kortom: heel veel mensen waren direct of indirect betrokken bij het datalek. Dan kun je er vaak gif op innemen dat die data geopenbaard wordt. Dit is immers een onderhandelingstechniek van de criminelen: betalen of ze lekken de data.

NCSC
Bron: NCSC

Maar dat zegt ChipSoft te hebben kunnen voorkomen, vermoedelijk door losgeld te betalen. Dat wil het bedrijf overigens niet bevestigen aan Tweakers.

In een openbare post schrijft ChipSoft: "Mede met ondersteuning van cybersecurityexperts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn. Ook zijn die ontvreemde gegevens vernietigd. Onze cybersecurityexperts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden." Er zijn geen details over deze technische manier bekendgemaakt.

Belofte is vaak niet te verifiëren

Het is alleen de vraag: kán dat wel? Bij een incident response-situatie en de onderhandeling met de criminelen zou de belofte best gedaan kunnen worden dat de gegevens vernietigd zijn. Maar hoe je dat kunt verifiëren, is niet duidelijk en ChipSoft wil hier ook niet verder over in detail treden.

In gesprek met het Nationaal Cyber Security Centrum laat de overheidsorganisatie weten dat je het bij criminelen nooit zeker weet. Het NCSC benadrukt dat het niet betrokken was bij de onderhandelingen na de aanval op ChipSoft, maar dat het over het algemeen niet te verifiëren is of criminelen zich aan de afspraken houden.

"Vaak gaat het bij cyberaanvallen om het 'double extortion'-model. De systemen van het doelwit worden versleuteld én er vindt afpersing plaats door te dreigen met het publiceren van gestolen gegevens", aldus een woordvoerder van het NCSC. Als een slachtoffer betaalt, kan de belofte gedaan worden dat de systemen weer online komen en dat de gegevens niet geopenbaard en zelfs vernietigd worden. "Maar garanties heb je niet."'Garanties heb je niet.'

'Criminelen zijn niet te vertrouwen'

Dat onderstreept Frank van Oeveren, Associate Director Global Threat Intelligence bij cybersecuritybedrijf Fox-IT: "Het is onmogelijk om te verifiëren of criminelen gegevens hebben verwijderd. Er is bijvoorbeeld geen hash die je kunt checken en je weet niet hoeveel kopieën er van de bestanden gemaakt zijn."

Sterker nog, volgens Van Oeveren blijkt keer op keer dat er bewijs is dat criminelen data juist niet verwijderen. Hij verwijst bijvoorbeeld naar LockBit, waar na het oprollen van de bende veel bestanden werden ontdekt die zogenaamd verwijderd zouden zijn. "Criminelen zijn gewoon niet te vertrouwen. Daarom raden we aan om simpelweg niet te betalen, dan werk je ze tenminste niet in de hand. Je maakt jezelf door te betalen zelfs vatbaar voor meer aanvallen: criminelen weten nu dat je bereid bent om te betalen en dat maakt je een doelwit."

Bron: Curly_Photo/Moment/Getty Images
Bron: Curly_Photo/Moment/Getty Images

Of de gestolen gegevens ook daadwerkelijk online verschijnen is niet duidelijk. Mogelijk wordt de data geruild, alsnog verkocht of achter de hand gehouden. Het statement van ChipSoft is dus moeilijk op waarde in te schatten.

"Maar ik heb wel begrip voor de afweging van een bedrijf als ChipSoft als ze betaald hebben, want soms heb je weinig keuze." Specifiek de verantwoordelijke hackersbende, die volgens Van Oeveren relatief jong is, zou bekendstaan om de double-extortionmethode en dan zou het soms bijna niet anders kunnen dan betalen. Het alternatief is dat niet alleen je gegevens maar je hele systemen verdwijnen.

Honour among thieves

Maar er is misschien toch een reden om het woord van de cybercriminelen te vertrouwen. Zij hebben er volgens sommigen namelijk baat bij dat hun reputatie 'goed' blijft. Als zij tegen de eigen belofte in tóch de data lekken of doorverkopen, zal een volgend slachtoffer in theorie minder snel geneigd zijn om te betalen. Waarom zou je immers betalen als het eindresultaat uiteindelijk hetzelfde is?

Dat is dan ook de enige garantie die je hebt, als je daar al van kunt spreken: je zou kunnen aannemen dat de criminelen uit eigenbelang kiezen om de belofte aan ChipSoft na te komen. Dat is natuurlijk een schrale troost voor een bedrijf dat vermoedelijk losgeld heeft moeten betalen. Maar voor de consument die de laatste tijd zo vaak bij datalekken betrokken is, is dat wellicht enigszins geruststellend. Het is in ieder geval de enige geruststelling die we realistisch gezien hebben.

Lees meer

Ziekenhuizen verwachten dat deze week bijna alle ChipSoft-functies weer werken
Ziekenhuizen verwachten dat deze week bijna alle ChipSoft-functies weer werken Nieuws van 18 mei 2026
Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd'
Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd' Nieuws van 12 mei 2026
ChipSoft onderhandelt met criminelen na datalek patiëntengegevens
ChipSoft onderhandelt met criminelen na datalek patiëntengegevens Nieuws van 23 april 2026
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'
'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026
Beveiliging en antivirus ChipSoft Cybercrime Cybersecurity Hack

Reacties (71)

-Moderatie-faq
71
71
36
1
0
28
Wijzig sortering

Sorteer op:

Weergave:
The Zep Man
29 april 2026 18:59
Met het betalen van losgeld worden criminele netwerken gefinancieerd, die daardoor sterker en gestimuleerd worden om door te gaan met wat ze doen. Immers loont misdaad.

Door kortetermijndenken zal dit niet snel aangepakt worden, terwijl op de lange termijn dit de beste oplossing is.

[Reactie gewijzigd door The Zep Man op 29 april 2026 23:54]

Reageer
PhilipsFan @The Zep Man29 april 2026 19:20
Ik zou er ook niet blij mee zijn als mijn medische gegevens zouden lekken. Jij bent waarschijnlijk gezond en je kunt je niet voorstellen dat jouw medische gegevens interessant zijn. Maar van anderen zijn ze dat wel, voor werkgevers en verzekeringsmaatschappijen. Die sluiten het liefst mensen uit met chronische ziektes omdat het ze geld kan kosten.

De gegevens hadden vanaf het begin versleuteld moeten zijn, ik vind het echt onbestaanbaar dat huisartsen medische gegevens onversleuteld op clouddiensten opslaan.
Reageer
mrmrmr @PhilipsFan29 april 2026 19:53
Ik heb te maken met medische gegevens van anderen waarvoor ik verantwoordelijk ben, en ik begrijp dan ook conceptueel niet dat die via Microsoft mail worden verstuurd. Is er niemand die hen daarvoor waarschuwt? Misschien kan Z-CERT worden uitgebreid en ook andere zorginstellingen/zorgverleners gaan ondersteunen.
Reageer
Paul @mrmrmr29 april 2026 20:47
Wat bedoel je met "Microsoft mail"? Outlook? Zijn plugins voor. Exchange? Zijn telefoonboeken en send connectoren voor dat het via bekende en beveiligde verbindingen wordt verzonden. Iets anders?

Je mag medische gegevens best e-mailen, zolang je maar maatregelen treft. Bijvoorbeeld door Zorgmail of Zivver te gebruiken, en die integreren prima met Exchange en Outlook.
Reageer
mrmrmr @Paul29 april 2026 20:59
Het gaat om alle email hosting die Microsoft aanbiedt of waar ze direct of indirect toegang toe hebben. Microsoft scant en bewaard email content. Als je bijvoorbeeld een rechtstreekse link naar data verstuurt wordt die link bezocht en gedownload. Body data wordt zelfs herhaald in de headers.

Het gaat hier om wat gebruikers werkelijk doen, niet wat je ertegen kunt verzinnen zoals pgp en dingen die ze toch niet doen om allerlei redenen.

Ze zouden beter een goed ontworpen bestanduitwisselingssystemen moeten gebruiken, in de EU gehost. Dat is de goede manier. Alle data moet versleuteld opgeslagen zijn en de sleutels moeten niet worden gedeeld of elders worden opgeslagen. Overigens zijn een aantal van die "veilige email" diensten voornamelijk uiterlijk vertoon. Het maakt het niet absoluut veilig.
Reageer
Triblade_8472 @mrmrmr29 april 2026 21:06
Ja en nee. Technisch heb je gelijk. Maar gebruikers gebruiken andere woorden dan beheerders.

Neem Zivver of Zorgmail bijvoorbeeld. Als je Outlook opent heb je hier een plugin in. De gebruiker 'mailt' iets naar diens idee. Technisch wordt de informatie naar een server (van Zivver of Zorgmail) geüpload via https en de daadwerkelijke e-mail vernietigd.

De gebruiker denkt dat diegene mailt, terwijl er in werkelijkheid gewoon een data transfer via https heeft plaatsgevonden naar online storage.
Reageer
mrmrmr @Triblade_847229 april 2026 21:27
De zwakheid zit hem in de plain text link die onversleuteld door onvertrouwde servers (c.q. scanners) heen gaat. Er is geen end-to-end encryptie.

Zivver is niet zo goed als Zorgmail in theorie zou kunnen zijn (ik heb ze niet geaudit). Zivver is verkocht aan een bedrijf in de VS en dat is een probleem op zich.
Reageer
Scriptkid @mrmrmr30 april 2026 10:10
en leuker nog , heb wel vaker gezien dat zivver eerst een link stuurd ,

En dan naar de zelfde mailbox het password voor op de link in te loggen, Dat is gewoon uit den boze unveilig. kun je net zo goed niks doen.
Reageer
William_H @mrmrmr30 april 2026 11:31
Je gooit wat dingen op, en hoopt dat het tegen de muur blijft plakken...
Reageer
Paul @Triblade_847229 april 2026 21:13
Zorgmail gebruikt gewoon SMTP, en via het domeinboek wordt daar een IP-adres (of DNS-naam, is al even geleden dat ik het gebruikt heb) aan gekoppeld. Ik krijg die mailtjes ook gewoon in mijn Outlook mailbox binnen, ik hoef niet naar zo'n irritante website.

Daarbij moet ik wel zeggen dat dat voor deelnemende zorginstellingen onderling is. Als je naar een zorginstelling mailt die niet aan Zorgmail meedoet, of naar een patiënt (en daarbij de "Veilig verzenden"-knop gebruikt), dan moet de ontvanger inderdaad wel naar zo'n irritante website.
Reageer
Scriptkid @mrmrmr30 april 2026 10:08
Wat je nu beschrijft kan ook prima met EXO op MS, Alleen moet je dan in je architectuur DKE mee nemen,
Reageer
kabelmannetje @Paul29 april 2026 23:29
Nope. Mail (smtp) is per definitie onveilig.
Reageer
Paul @kabelmannetje29 april 2026 23:47
Nope. Mail (SMTP) is niet per definitie onveilig.

Heb je ook nog onderbouwing voor jouw stelling? Want de mijne heb ik al onderbouwd. Ik wil dat nog wel uitgebreider doen als je dat wilt, maar alleen nadat jij jouw stelling hebt onderbouwd...
Reageer
kabelmannetje @Paul30 april 2026 01:03
https://www.anubisnetworks.com/blog/understanding-the-issues-with-smtp-protocol
Reageer
Jim de Wit @kabelmannetje30 april 2026 06:50
Alleen een link droppen is natuurlijk niet echt een onderbouwing, maar als ik het artikel even vlug doorlees komt het er samengevat op neer dat email onveilig is. Nogal een blanket statement, als je het mij vraagt. Anno 2026 zijn er met DKIM en SMTP over TLS een heleboel mitigatiemaatregelen beschikbaar.

Een groter probleem is mijns inziens dat email van nature niet beschikt over methodes om data geautomatiseerd op te schonen, en mijn dossier zodoende in theorie 25 jaar in de mailbox van een doktersassistente kan liggen rotten - waar de Oranje Baby dan vaak ook nog bij kan. Dit valt te voorkomen met betere digitale hygiëne, al dan niet on combinatie met het gebruik van een soevereine mailprovider. Beide punten zijn echter menselijke problemen, die niets met het achterliggende protocol van doen hebben.

[edit: eerste zin wat leesbaarder gemaakt]

[Reactie gewijzigd door Jim de Wit op 30 april 2026 06:52]

Reageer
bart.koppers @Jim de Wit30 april 2026 09:34
Op zichzelf dwingt SMTP het gebruik van versleuteling en versleutelde verbindingen niet af.

Tussen mailservers kan/mag er onversleuteld verkeer plaatsvinden, en dat kan het protocol zelf niet afdwingen.

De inhoud wordt ook niet gegarandeerd versleuteld opgeslagen. Elke SMTP server die meedoet kan het bericht meelezen.

[Reactie gewijzigd door bart.koppers op 30 april 2026 09:50]

Reageer
kabelmannetje @Jim de Wit30 april 2026 16:00
Nogmaals, smtp is onveilig. Er is geen mechanisme voor end to end encryptie.
Reageer
Scriptkid @Paul30 april 2026 10:06
Of gewoon Purview encryption , of OME encryption, of Smime of PGP ,

Genoeg mogelijkheden in Exo voor goede encryptie en authenticatie
Reageer
Cambionn @PhilipsFan29 april 2026 20:18
Jij bent waarschijnlijk gezond en je kunt je niet voorstellen dat jouw medische gegevens interessant zijn.
Jammer dat je meteen zo begint. Ik heb ook genoeg medische gegevens die niet de straat op hoeven, en wie weet The Zap Man ook. Maar ook ik ben tegen betalen. Niet iedereen met een andere mening is meteen iemand die de consequenties niet draagt.

Je financieerd het zodat ze het meer kunnen doen. En zit je nu niet in de hack, dan wellicht wel in de volgende. En al zit je er wel in, dan lekt de volgende wellicht nog ergere info. En dat is dan mede mogelijk gemaakt door de betaling.

En daarnaast is er dus nóóit garantie dat het verwijderd wordt. Het LockBit verhaal in dit artikel is een mooi voorbeeld van een partij die dat beloofde en kijk nou; pas toen ze de groep wisten op te pakken bleek alles er toch nog te zijn. Niemand had het door. Maar de data was er, en is mogelijk via minder openbare kanalen gewoon verspreid. Dan heb ik het niet over verkoop via de Dark Web, maar bijv. via andere criminele partijen. En dat is echt niet de enige groep waarbij dit gebleken is.

Een hack is kut. Maar eens gehacked blijft de data gelekt, ongeacht of je betaald. Liever zie ik voorkomende maatregelen, inclusief controle en boetes op ondermaatste beveiliging. Dat zegt niet dat alles wat gehackt wordt een boete krijgt. Niks is onhackbaar, en gehackt worden is niet iets wat je altijd kan stoppen, dus gehacked worden aan zich zou imho niet strafbaar moeten blijven. Maar de helft van de tijd blijken er wel grove fouten of nalatigheid geweest te zijn. Veel bedrijven bezuinigen graag op beveiliging, is immers een kostenpost die niks oplevert... tot het fout gaat... En daar mag best op geacteerd worden. Pak dat liever aan dan geld naar criminelen te sturen.

[Reactie gewijzigd door Cambionn op 29 april 2026 23:12]

Reageer
The Zep Man
@Cambionn29 april 2026 20:54
Ik heb ook genoeg medische gegevens die niet de straat op hoeven, en wie weet The Zap Man ook. Maar ook ik ben tegen betalen. Niet iedereen met een andere mening is meteen iemand die de consequenties niet draagt.
Het probleem voor slachtoffers van deze hack is dat hun gegevens gelekt zijn. Er is geen enkele garantie dat alle illegale kopieën van die gegevens onherroepelijk zijn verwijderd en die zal nooit komen. Eenmaal gelekt is gelekt. Als slachtoffer moet je er dus vanuit gaan dat het op straat ligt, met alle bijbehorende risico's.

Waar ik naar kijk in het grotere plaatje is het voorkomen van herhaaldelijke en nieuwe slachtoffers. Met losgeld betalen doe je dat niet. Sterker nog, dat draagt bij. Degene die losgeld betaalt draagt indirect bij aan toekomstig slachtofferschap.

De neiging om te betalen snap ik, wat de reden is waarom ik denk dat het debat hierover gevoerd moet worden. Dit zijn maatschappelijke problemen en op dat niveau ligt de oplossing.

[Reactie gewijzigd door The Zep Man op 29 april 2026 21:11]

Reageer
Cambionn @The Zep Man29 april 2026 21:14
Je zegt grotendeels hetzelfde als wat ik zei, dus fijn dat we het eens zijn ;). Het eerste door jou gequote stukje sloeg puur specifiek op het stukje wat ik had gequote van PhilipsFan waarbij hij de andere mening hierop wordt afgeschoven.
Reageer
The Zep Man
@Cambionn29 april 2026 21:30
Je zegt grotendeels hetzelfde als wat ik zei, dus fijn dat we het eens zijn ;).
Klopt. Wat ik schreef was een toevoeging op jouw reactie. Wat ik wilde toelichten is dat men snel emotioneel wordt. Dat is begrijpelijk. Een slachtoffer voelt zich hulpeloos. Velen (slachtoffer en anders) voelen hier een zekere woede door. Maar die emoties helpen niet in het grotere plaatje.
Reageer
GameNympho @The Zep Man29 april 2026 23:52
Ik had het gisteren nog over GameNympho in 'ChipSoft zegt dat alle door hackers gestolen data is vernietigd'
Reageer
Triblade_8472 @PhilipsFan29 april 2026 21:03
Ik snap je helemaal. Maar in Nederland, denk je serieus dat werkgevers en verzekeringsmaatschappijen illegale bronnen gaan raadplegen om jou na te trekken? Laat staan dat ze deze weten te vinden. Ik geloof dat niet. Daarnaast zijn er voldoende maatschappijen die mensen zonder vragen aannemen. En degene die wel informatie willen, daar ga jij ze echt wel eerlijk invullen omdat je verzekering anders ongeldig is.

Daarnaast bevat de gemiddelde Facebook pagina van iemand meer dan genoeg 'bewijs' hoe iemand echt is. (en ook daar mag men eigenlijk niet eens naar kijken dacht ik, al snap ik wel als dat gebeurt)
Reageer
CAPSLOCK2000
@Triblade_847230 april 2026 04:31
Ik snap je helemaal. Maar in Nederland, denk je serieus dat werkgevers en verzekeringsmaatschappijen illegale bronnen gaan raadplegen om jou na te trekken? Laat staan dat ze deze weten te vinden. Ik geloof dat niet.
Op zich mee eens, maar ik zie toch een manier waarop dit fout kan gaan, namelijk LLMs en andere AI-systemen. Dat soort systemen worden getrained met allerhande data en eenmaal getrained is het erg moeilijk om te achterhalen welke data er in is gestoken. Ik neem aan dat verzekeraars en werkgevers net zo gek op AI zijn als de rest van de wereld en die best een AI willen die advies geeft. Ik vrees dat veel gestolen data vroeg of laat in dergelijke systemen opduikt en zo veel meer over mensen weet dan wenselijk is zonder dat het controleerbaar is waarom de computer een bepaald advies gaf.
Reageer
PhilipsFan @Triblade_847229 april 2026 21:19
Zolang werkgevers nog massaal vrouwen discrimineren omdat ze zwanger (kunnen) worden, kijk ik nergens meer van op. Deze bedrijven zullen natuurlijk nooit toegeven dat ze een illegale bron gebruiken, maar dat hoeven ze ook niet. "Sorry, maar we hebben een betere kandidaat gevonden voor de functie" en je staat volledig buitenspel.
Reageer
sweetdude @PhilipsFan3 mei 2026 11:32
Maar is dat iets wat je de werkgever kwalijk kunt nemen of is het meer de schuld van de regeltjes. Er zijn genoeg kleinere bedrijven die dit soort zaken letterlijk de kop kunnen kosten. Dan is de zwangere vrouw haar baan kwijt omdat de werkgever failliet is.
Reageer
vosManz @PhilipsFan29 april 2026 21:48
De gegevens hadden vanaf het begin versleuteld moeten zijn, ik vind het echt onbestaanbaar dat huisartsen medische gegevens onversleuteld op clouddiensten opslaan.
Ik heb zelf geen ervaring met de systemen van ChipSoft, dus wat ik nu ga zeggen is wat speculatief en gebaseerd op ervaring met andere systemen en cloud providers. Maar ik denk (en hoop O-) ) dat je er wel vanuit mag gaan dat de gegevens niet onversleuteld op clouddiensten (en on-premises, zie artikel) opgeslagen zijn. Het zal dan waarschijnlijk gaan om zaken als disk encryption, encryption at rest, en ik mag hopen dat de data tijdens transport ook versleuteld (bijv. met TLS).

Maar als je de data in een database wil gebruiken, en dat wil je als je er iets nuttigs mee wil doen, moet die data onversleuteld toegankelijk zijn. Een dokter kan geen diagnose maken op basis van versleutelde data, een assistent kan geen afspraak inplannen als de agenda versleuteld is, en een patiënt die een versleutelde verwijsbrief krijgt zal niet weten wat die daarmee moet (ik weet niet wat wat Hix precies kan dus misschien kloppen de voorbeelden niet helemaal, maar het gaat om het idee).

De data kan dus 'oversleuteld' uitgelezen worden, anders kun je er niet mee werken. Dat staat los van het feit of het versleuteld is opgeslagen. Als de aanvallers alleen toegang hadden tot de (versleutelde) harde schijven of (versleutelde) databestanden o.i.d. dan kunnen ze waarschijnlijk niet veel met de data (tot ze die versleuteling kunnen kraken). Maar als de aanvallers toegang hadden tot de tools die de onversleutelde data uitlezen (zoals bijvoorbeeld in de Odido hack) of controle hadden over de volledige systemen dan hebben ze mogelijk wel toegang gehad tot de onversleutelde data.

Maar de aanname doen dat de data onversleuteld bij clouddiensten is opgeslagen lijkt me dus hoogst onwaarschijnlijk.
Reageer
DefaultError @PhilipsFan29 april 2026 21:54
Remember Barbie als tv persoonlijkheid waar iedereen met een achternaam/personeel van smulden om in het EPD te kijken. Een sneue vertoning.
Reageer
PjotterP @PhilipsFan30 april 2026 00:33
Wat dacht je van gevoelige medische gegevens van personen met belangrijke posities bij bedrijven en overheden die daardoor chantabel kunnen worden.

Het bij verkeerden in handen komen van grote volumes aan medische gegevens is gevaarlijk niet alleen vanwege individuele belangen maar ook andere belangen.
Reageer
silverchaoz @PhilipsFan30 april 2026 08:43
Hoe vaak ik in mijn vak niet tegen ben gekomen dat huisartsen onbeveiligde computers hebben waarvan alle medische gegevens direct in een download map staan, is dat nog maar het puntje van de ijsberg.
Reageer
The_Woesh @PhilipsFan30 april 2026 09:15
Ik denk dat de schade voor de verzekeraar enorm is als blijkt dat ze illegale bronnen gebruiken om mensen uit te sluiten/premies te verhogen. De claims kunnen dan flink oplopen in een class action case. En stiekem kan je nooit doen. Het kan even, maar het lekt uit. Een bedrijf is niet één persoon, daar werken veel mensen die er weet van hebben. En die mensen hebben ook een medisch dossier, vroeg of laat lekt dat uit.
Reageer
Senaxx @PhilipsFan30 april 2026 16:13
Je zegt wel dat onbestaanbaar vind dat medische gegevens onverleuteld op clouddiensten zijn opgeslagen; maar hoe denk je dat het bij ziekenhuizen wordt opgeslagen?

Chipsoft heeft een paar versies van HiX. De HiX zelf hostversie die door ziekenhuisen zelf wordt gehost en sinds kort de HiX 365 versie die door Chipsoft wordt gehost. Beide gevallen is het dezelfde databron (de HiX database). Daarnaast heb je Zorgdomein die aangesloten is op HiX waarmee huisartsen bij poli's de wachttijden kunnen inzien en doorverwijzingen kunnen inboeken. Daarnaast heb je ook nog patientportalen die aangesloten zijn op HiX, hier bied Chipsoft een applicatie voor aan maar ziekenhuizen mogen ook een eigen applicatie voor gebruiken en zelfhosten.

Als een ziekenhuis wordt gehackt dan zijn die patientgegevens in de HiX database ook niet versleuteld. Cloud is niets anders dan "de server die niet binnen onze muren staat maar ergens anders" dat maakt het in dit geval het product niet heel veel anders. Het is nog steeds niet echt duidelijk wat er precies is gehackt, maar het lijkt niet op de gehoste M365 hix

Sterker nog de database structuur van HIX is een doorontwikkeling van EZIS, de voorganger van HiX. Als je 10 jaar geleden met EZIS database uit de voeten kon kan je dat met de HIX database ook.

Ik verdedig de praktijken van Chipsoft zeker niet en ben het ook wel met je eens, maar realistisch gezien om alle data versleuteld op te slaan in een database en dat dan on-the-fly te laten decoderen door de client applicatie gaat enorm tenkoste van de performance. En HiX is nu al niet de snelste applicatie die er is. En als ze toch toegang tot de server hebben zal het ook wel te doen zijn om de decryptie sleutel te bemachtigen.
Reageer
player-x @PhilipsFan30 april 2026 17:34
ik vind het echt onbestaanbaar dat huisartsen medische gegevens onversleuteld op clouddiensten opslaan.
Ik vind het heel begrijpelijk, een huisarts is een huisarts, en geen IT-expert, de fout ligt bij het bedrijf die de dienst aanbied en valse beloftes heeft gedaan.

En ik zou voorstander zijn van boetes voor lekken en de hoogte voor hoe erg het lek is en of het voorkomen had kunnen worden, en managers en CEO's persoonlijk ook strafbaar stellen/beboeten voor een lek als ze persoonlijk nalatig zijn geweest.

Persoonlijk vind ik dat leidinggevende veel te lage straffen krijgen ten opzichte van de schade die ze aanrichten, als je gepakt wordt voor het stelen van een brood krijg je meteen een boete van €181, ook al zit je helemaal in de shit, daar in tegen, komen managers en daar boven weg, met een boete die door het bedrijf betaald wordt, zelfs als dat de samenleven miljoenen heeft gekost.
Reageer
xxs @The Zep Man29 april 2026 19:55
De digitale wereld wordt er wel veiliger van. :+
Reageer
jvelite @The Zep Man29 april 2026 22:34
Maar tegelijkertijd, als men dan op een gegeven moment weet dat het betalen nooit zin heeft omdat de criminelen zich niet aan het woord houden, zal die inkomenstroom vanzelf weer opdrogen.

Ofwel, de criminelen zijn er ook wel weer bij gebaat om zich in ieder geval soms aan het woord te houden?

[Reactie gewijzigd door jvelite op 30 april 2026 12:09]

Reageer
CAPSLOCK2000
@jvelite30 april 2026 04:35
Afpersing is gewoon een markt waarin de prijs zo gesteld wordt dat betalen veruit de meest aantrekkelijke optie is, zelfs als je verwacht dat ze liegen blijft het aantrekkelijk om te proberen het probleem voor een relatief klein bedrag op te lossen. Zeker als je bedrijf anders failliet gaat.
Reageer
PhilipsFan 29 april 2026 19:16
Wat ik nooit begrepen heb, met al die initiatieven voor patientendossies: Waarom is er nooit over versleuteling nagedacht? Als artsen die gegevens lokaal versleutelen met een key die ik bij me heb op een pasje, dan kan niemand er nog in kijken. Als data vervolgens in de cloud wordt opgeslagen en daar gejat, dan is dat volkomen waardeloos. Is een makkelijke oplossing toch? Het vergt een relatief eenvoudige aanpassing in de software en elke arts moet een kaartlezer kopen, dat is allemaal goed te overzien ten opzichte van data lekken.

Ik bedoel, hoeveel mensen gaan er nu niet meer naar de huisarts omdat de dingen die hij opschrijft, uit kunnen lekken? Gezonde mensen kunnen zich daar niks bij voorstellen, maar als je bijvoorbeeld diabetes of kanker hebt, dan zijn er vast werkgevers en verzekeringsmaatschappijen waar je nu geen baan of verzekering meer kunt krijgen omdat die bedrijven illegaal een lijst met medische gegevens hebben opgekocht. Denk daar eens over na voordat je een dergelijk datalek bagatelliseert.
Reageer
MennoE @PhilipsFan29 april 2026 20:16
En wat nou als jij een auto-ongeluk krijgt, jij je pasje niet bij je hebt of die in het ongeluk is vernietigd, en de artsen moeten weten of jij allergisch bent voor medicijnen en welke aandoeningen je eventueel hebt?
Reageer
PhilipsFan @MennoE29 april 2026 20:28
Ja, die argumenten hoorde je eerder ook constant, maar die zijn helemaal niet van toepassing. Als ik een ongeluk krijg en mijn portemonnee is met mijn auto afgebrand, dan weten ze ook niet wie ik ben, dus dan moet de ambulance-arts sowieso improviseren. Dat kunnen ze heel goed, je hoort nooit dat iemand na een ongeluk is overleden doordat hij toevallig allergisch was voor de pijnstiller die de ambulance gebruikte. Toen er nog geen EPD's waren gingen er ook geen mensen dood doordat de gegevens ontbraken.

Dus hou op met die edgecases, het is dan altijd nog aan de persoon zelf of hij dat pasje bij zich wil dragen. Nu kun je zelf helemaal niks beslissen, er wordt voor jou beslist dat je medische gegevens te hacken zijn.

[Reactie gewijzigd door PhilipsFan op 29 april 2026 20:28]

Reageer
dlaoR @PhilipsFan29 april 2026 23:19
Je gaat nu even voorbij aan het feit dat er heel veel patientgebonden werk plaatsvindt in een EPD waarbij de patiënt helemaal niet aanwezig is. Dat begint al bij het lezen van de (digitale) verwijsbrief en loopt door tot en met een afsluitende brief ná het overlijden.

Als ik alleen in het dossier van een patiënt kan als die lijfelijk tegenover me zit met zijn 'zorgpas' in de gleuf, is dat volstrekt onwerkbaar. En wie zegt mij als zorgverlener dat de pas in die lezer ook echt van de persoon is die 'm erin gestopt heeft?
Reageer
PhilipsFan @dlaoR30 april 2026 01:03
Het zijn allemaal argumenten die veel minder belangrijk zijn dat de veiligheid van de medische gegevens. Je hebt wel een punt natuurlijk, een arts zal een bezoek moeten voorbereiden of overleggen met andere zorgverleners en daarvoor moeten ze bij de gegevens kunnen. Maar daar is vast wel iets op te verzinnen, anders dan alles maar onversleuteld opslaan.
Reageer
the_shadow @PhilipsFan1 mei 2026 10:13
Kijk voor de gein even [url=https://sites.google.com/site/zirawiki/home/procesmodel/processen-leveren-diensten]hier bij de ZiRA[/url]. Hier is het medisch proces in de breedte uitgewerkt. Bij het overgrote merendeel van deze stappen, is de patient niet fysiek aanwezig. Verder zijn er rondom medische informatie nog extra wetten zoals de Wet Geneeskundige Behandelovereenkomst (WGBO), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteitsregistraties zorg (Wkz) die ook eisen stellen aan registratie/dossiervoering.

Onleesbare dossiers zonder dat de patient fysiek aanwezig is, zijn onwerkbaar in de zorg anno 2026.
Reageer
PhilipsFan @the_shadow1 mei 2026 10:50
Dat het onwerkbaar is, is geen excuus om het dan maar niet te doen. Dan verzinnen ze maar iets met tijdelijke sleutels ofzo, maar zoals blijkt zijn gegevens op de huidige manier niet veilig. Je gegevens veilig is bij medische gegevens belangrijker dan je gegevens bruikbaar.
Reageer
Zentbeer @PhilipsFan29 april 2026 23:02
Het is ook wel matig bruikbaar dat een arts pas in je dossier kan als je er al bent. Dat betekent dat voorbereiding of afstemming met andere zorgverleners zonder je aanwezigheid niet kan. In mijn directe omgeving ken ik helaas zoveel complexe medische situaties dat je wilt dat artsen veel uitwisselen en zaken goed voorbereiden. En dan heb ik het niet alleen over operaties.

De efficiëntie en de effectiviteit van de zorg gaat wel erg achteruit als je eerst via de patiënt toegang tot het dossier kan krijgen en dan nog even moet gaan inlezen.
Reageer
kodak
@PhilipsFan30 april 2026 20:15
Waarom denk je dat er niet over versleuteling nagedacht zou zijn?

Het feit dat gegevens gelekt zijn wil namelijk niet betekenen dat er geen versleuteling was. Gegevens kunnen zelfs meerdere keren versleuteld zijn terwijl er genoeg gelegenheid is om toch de onversleutelde data te bemachtigen.

Daarbij is het hier eerder de vraag wat Chipsoft precies verstaat onder patiëntgegevens en bescherming. Ze zijn bijvoorbeeld niet duidelijk of ze versleutelde gegevens die patiëntgegevens bevatten daar ook onder vallen. En gezien ze niet al te moeilijk doen over juistheid van hun eigen beweringen kan dat nogal wat uit maken.

Het is gewoonlijk verstandiger om eerst af te vragen wat precies de gebreken allemaal waren en zijn.
Reageer
Armin2402 29 april 2026 19:07
Tja, je medische gegevens op de dark web is ook geen pretje. Snap de afweging wel. Odido heeft niet betaald en de klanten zijn daarvan de dupe geworden. Ze gaan zelf weer vrolijk verder met geld verdienen, het heeft nauwelijks gevolgen voor ze gehad.
Reageer
pagani @Armin240229 april 2026 19:09
Afgezien van een claim van 175 miljoen euro door 350.000 mensen.
Reageer
Armin2402 @pagani29 april 2026 19:17
Ja, het is pas interessant als er ook echt iets toegekend wordt. Er viel tot op heden pas wat te claimen als je kon aantonen dat je schade hebt geleden. Eerst zien en dan geloven.
Reageer
mrmrmr @Armin240229 april 2026 19:49
Het is aannemelijk dat de schade van hen komt, als het medische gegevens zijn die over een patiënt gaat en als die gegevens via een partij zouden zijn gelekt. Die 175 miljoen is niet uit de lucht gegrepen, € 500 is de schade die al eens toegekend in een rechtszaak aan een patiënt wiens medische gegevens waren gelekt.

€ 500 is natuurlijk een schijntje, maar de potentie voor een hoog totaalbedrag aan schadevergoedingen moet de eigenaren wel aan het denken hebben gezet.

De werkelijke schade kan meer dan een miljoen bedragen voor een hoog opgeleide patiënt als die daardoor geen carrière kan maken en niet meer op zijn niveau en functie aangenomen wordt.

[Reactie gewijzigd door mrmrmr op 29 april 2026 21:29]

Reageer
SJCE @mrmrmr29 april 2026 23:34
Dat is een enorme onderschatting van het risico. Zodra er erfelijke factoren een rol spelen gaat het heel gemakkelijk om 20-100 keer zo veel
Reageer
batjes @Armin240229 april 2026 19:54
De consumentenbond is al... 5(?) jaar bezig met een zaak tegen Google en een zaak tegen Facebook en ze staan beide momenteel stil.

We krijgen hier eigenlijk ook geen fluit voor elkaar tegen toko's die het breken van de wet zien als het verzamelen van pokemonkaarten en het is weer hopen dat andere Europese landen het voor ons op gaan nemen.

Maar dit zijn nogal nationale aangelegenheden, dus succes iedereen! (Ik ook want ik doe ook mee)
Reageer
rem_hopster 29 april 2026 20:29
Een leuk artikel, maar waar geen aandacht aan besteed wordt, is de monopolie positie en de slechte communicatie. Veelal is de communicatie bijzonder en in mijn optiek ontbrekend en slecht.Bericht

Enkele bijzondere aspecten:

- gegevens van enkele van onze Nederlandse klanten ontvreemd.


Met deze zin, maak je het mooi klein. Het gaat om gevoelige informatie van patiënten/cliënten. Dus om hoeveel data zou het gaan. Een praktijk heeft al snel tussen de 2400 en 3000 record en misschien wel meer.

- Mede met ondersteuning van cybersecurity-experts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn. Tevens zijn die ontvreemde gegevens vernietigd. Onze cybersecurity-experts hebben bevestigd dat deze vernietiging op technisch juiste wijze heeft plaatsgevonden.

Bijzonder. Maar zoals in het artikel aangegeven kan je dit nooit zeggen. En dan heel benieuwd hoe de check op de technische verwijdering is gedaan. Zelf geloof ik er niks van

Kortom, ik hoop echt dat de data er niet meer is van alle patiënten/cliënten.
Reageer
Chromoris 29 april 2026 22:12
En dan heb je ook nieuwberichten zoals het volgende: Is claim over vernietigde gegevens ChipSoft betrouwbaar? Expert legt uit

En daarin zegt weer een andere "expert" dat de data wel veilig is verwijderd. Ik vraag me heel sterk af of we daarmee dan niet een van de "experts" te pakken hebben die de boel voor Chipsoft heeft veilig gesteld. Gezond verstand staat haaks op wat er in dat artikel gezegd wordt.
Reageer
laurens0619 29 april 2026 23:29
Waarom wordt er over garanties gesproken?Garanties zijn er sowieso nooit in security

Betalen geeft je x% kans dat de data niet gepubliceerd wordt.

dus kies maar:

Nobel zijn en misdaad niet laten lonen maar wel hoge kans dat patientendossiers lekt van onschuldige mensen.

of

Misdaad laten lonen maar wel lagere kans dat patientendossiers lekt van onschuldige mensen.

Dat deze vorm van misdaad moet stoppen ben ik eens maar ben bang dat daar meer voor nodig is dan een enkele keer niet betalen

[Reactie gewijzigd door laurens0619 op 29 april 2026 23:31]

Reageer
CH4OS @laurens061930 april 2026 00:50
Waarom wordt er over garanties gesproken?Garanties zijn er sowieso nooit in security
Een garantie is dat als je de updates niet bij hebt, je vroeg of laat zéér vatbaar bent voor virussen of andere malware. Of zijn we effecten zoals Blaster nu al vergeten?

[Reactie gewijzigd door CH4OS op 30 april 2026 00:51]

Reageer
radje996 30 april 2026 08:04
Dus conclusie: Chipsoft komt ermee weg, overheid doet niets, niemand wordt verantwoordelijk gehouden, geen schadeclaims..... ennnnn doorrrrrr

Ik zag iemand de naam Rian van Rijbroek al noemen, maar je zou toch bijna denken dat zij de security persoon is die de conclusie trekt, alles is deleted ;)

[Reactie gewijzigd door radje996 op 30 april 2026 08:06]

Reageer
the_shadow @radje9961 mei 2026 10:17
Dus conclusie: Chipsoft komt ermee weg, overheid doet niets, niemand wordt verantwoordelijk gehouden, geen schadeclaims..... ennnnn doorrrrrr
Niet noodzakelijk. Organisaties die uberhaupt te maken hebben gehad met (tijdelijke) onbeschikbaarheid van gegevens, zouden al een datalekmelding moeten doen en krijgen mogelijk te maken met een onderzoek. Probleem is dat ChipSoft niet de verwerkingsverantwoordelijke is conform AVG, maar een verwerker: de verantwoordelijken zijn de klanten van ChipSoft, en die kunnen worst case een bezoekje van de IGJ krijgen. Verdere claims gebaseerd op eventuele boetes die ze opgelegd krijgen, moeten de klanten vervolgens juridisch met ChipSoft oplossen.
Reageer
ZinloosGeweldig 30 april 2026 12:08
Het "Honour among thieves" argument klopt in eerste instantie, maar is maar beperkt houdbaar.

Zo'n groep verwijdert niet echt de data, maar gaat het zo lang ze actief zijn ook niet verkopen of publiceren.

Echter als de groep zichzelf opheft zal er nog even snel gecasht worden op alle "vernietigde" data.
Reageer
pyro-tukker 29 april 2026 19:11
edit:
iets over het hoofd gelezen, dus argument niet meer relevant.

[Reactie gewijzigd door pyro-tukker op 29 april 2026 19:12]

Reageer
themadone 29 april 2026 19:34
Oh dit is echt hilarisch, wat voor security experts zijn dat lol. Ligt gewoon een tape op tafel met een backup van de hele bende en als het geld op is krijgt ChipSoft weer een telefoontje. Wat een ongelooflijke amateurs.
Reageer
Toine1 @themadone30 april 2026 08:57
Het zouden weleens dezelfde “experts” kunnen zijn die verantwoordelijk waren voor de beveiliging.
Reageer

Om te kunnen reageren moet je ingelogd zijn