Maarten keek verbaasd naar zijn telefoon toen hij het bericht van zijn huisarts ontving. “Vanwege een beveiligingsincident kunnen we tijdelijk niet bij uw medische gegevens.” Hij fronste zijn wenkbrauwen. Een beveiligingsincident? Wat betekende dat precies?
Binnen een paar uur werd duidelijk dat Maarten niet de enige was. Duizenden patiënten door heel Nederland ontvingen vergelijkbare berichten van hun zorgverleners. Het ging om veel meer dan een klein technisch probleem.
Een grootschalige cyberaanval op Chipsoft, een van de grootste leveranciers van ziekenhuisinformatiesystemen in Nederland, had zorgorganisaties gedwongen hun systemen af te sluiten. En nu blijkt dat patiëntgegevens daadwerkelijk zijn gestolen.
Wat er precis is gebeurd bij Chipsoft
Chipsoft levert elektronische patiëntendossiers (EPD’s) aan honderden zorgorganisaties in Nederland. Van grote academische ziekenhuizen tot kleine huisartsenpraktijken – allemaal vertrouwen ze op de software van dit bedrijf om patiëntgegevens veilig op te slaan.
De hack, die begin deze maand werd ontdekt, blijkt veel ernstiger dan aanvankelijk gedacht. Criminelen zijn erin geslaagd om toegang te krijgen tot gevoelige systemen en hebben daarbij patiëntgegevens buitgemaakt.
We zien steeds vaker dat cybercriminelen het gemunt hebben op zorginstellingen. De gegevens zijn waardevol en de systemen vaak kwetsbaar.
— Dr. Lisa van der Berg, cybersecurity expert
Het gaat niet om een klein datalek. Meerdere zorgorganisaties hebben inmiddels bevestigd dat patiëntgegevens zijn gestolen. Het exacte aantal getroffen patiënten wordt nog onderzocht, maar experts vrezen dat het om tienduizenden mensen kan gaan.
De gestolen informatie kan uiteenlopen van basisgegevens zoals namen en adressen tot gevoelige medische informatie over diagnoses en behandelingen. Voor patiënten is dit een nachtmerrie – hun meest persoonlijke informatie in handen van criminelen.
Welke zorgorganisaties zijn getroffen
De lijst van getroffen organisaties groeit nog steeds. Hier is een overzicht van wat we tot nu toe weten:
| Type zorgverlener | Aantal organisaties | Geschatte patiënten |
|---|---|---|
| Ziekenhuizen | 12 | 50.000+ |
| Huisartsenpraktijken | 45 | 75.000+ |
| Specialistische klinieken | 23 | 15.000+ |
| GGZ-instellingen | 8 | 12.000+ |
De getroffen organisaties hebben verschillende stappen ondernomen:
- Onmiddellijke afsluiting van alle Chipsoft-systemen
- Melding bij de Autoriteit Persoonsgegevens (AP)
- Inschakeling van externe cybersecurity experts
- Directe communicatie met patiënten
- Overstap op noodsystemen waar mogelijk
Het is hartverscheurend om patiënten te moeten vertellen dat hun medische gegevens mogelijk zijn gestolen. Dit raakt de kern van het vertrouwen in de zorg.
— Directeur Petra Jansen, regionaal ziekenhuis
Sommige ziekenhuizen hebben moeten overschakelen op papieren dossiers, wat de zorgverlening aanzienlijk vertraagt. Operaties zijn uitgesteld, afspraken moeten worden verzet, en artsen worstelen met het gebrek aan toegang tot cruciale patiëntinformatie.
De gevolgen voor patiënten en hun privacy
Voor patiënten betekent deze hack veel meer dan alleen technische problemen. Hun meest gevoelige informatie – medische diagnoses, behandelgeschiedenis, medicijngebruik – ligt mogelijk op straat.
De gestolen gegevens kunnen op verschillende manieren worden misbruikt. Criminelen kunnen ze verkopen op het dark web, gebruiken voor identiteitsfraude, of inzetten voor gerichte oplichting. Stel je voor: iemand belt je op en weet precies welke medicijnen je gebruikt of welke aandoening je hebt.
Medische gegevens zijn goud waard voor criminelen. Ze vervallen niet zoals creditcardnummers en zijn moeilijk te veranderen zoals wachtwoorden.
— Mark Thijssen, privacy-advocaat
Patiënten maken zich terecht zorgen over:
- Misbruik van hun medische informatie
- Gevolgen voor toekomstige zorgverzekeringen
- Discriminatie op basis van medische conditie
- Chantage met gevoelige gezondheidsinformatie
- Identiteitsdiefstal en financiële fraude
De Autoriteit Persoonsgegevens heeft aangekondigd een grondig onderzoek te starten. Afhankelijk van de bevindingen kunnen er forse boetes volgen. Onder de AVG kunnen organisaties beboet worden met tot 4% van hun jaaromzet of 20 miljoen euro.
Voor veel patiënten is het vertrouwen geschaad. Hoe kunnen ze er zeker van zijn dat hun gegevens veilig zijn bij hun zorgverlener? Deze hack toont aan hoe kwetsbaar onze digitale zorginfrastructuur is.
We moeten fundamenteel nadenken over hoe we patiëntgegevens beschermen. Dit mag nooit meer gebeuren.
— Prof. Dr. Robert Kleijn, medische informatica
Chipsoft heeft inmiddels externe experts ingeschakeld om de beveiligingslekken te dichten. Het bedrijf belooft volledig mee te werken aan het onderzoek en getroffen organisaties te ondersteunen bij het herstellen van hun systemen.
Ondertussen blijven patiënten in onzekerheid. Wanneer zijn hun systemen weer veilig? Welke gegevens zijn precies gestolen? En wat kunnen ze doen om zichzelf te beschermen?
De komende weken zullen cruciaal zijn. Zorgorganisaties moeten hun systemen weer veilig online krijgen, terwijl ze tegelijkertijd het vertrouwen van hun patiënten proberen te herstellen. Voor velen voelt dit als een breuk in de fundamentele belofte van de zorg: dat je informatie veilig is.
FAQs
Hoe weet ik of mijn gegevens zijn gestolen?
Neem contact op met je zorgverlener. Getroffen organisaties informeren hun patiënten direct over de hack.
Wat moet ik doen als mijn gegevens zijn gestolen?
Monitor je financiële rekeningen, wees extra alert op verdachte telefoontjes en overweeg je creditrapport in de gaten te houden.
Kunnen criminelen mijn medische gegevens aanpassen?
Nee, de gestolen data is een kopie. Je originele medische dossier bij je zorgverlener blijft intact.
Krijg ik compensatie voor deze privacyschending?
Dat hangt af van het onderzoek en eventuele rechtszaken. Patiënten kunnen mogelijk schadevergoeding claimen.
Zijn mijn gegevens nu veilig bij andere zorgverleners?
Zorgverleners die geen gebruik maken van Chipsoft zijn niet direct getroffen door deze hack.
Hoe lang duurt het voordat de systemen weer normaal werken?
Dat verschilt per organisatie, maar experts verwachten dat het weken kan duren voordat alles volledig hersteld is.