Nieuws
image

Kamervragen over ransomware-aanval op EPD-leverancier ChipSoft

donderdag 9 april 2026, 14:42 door Redactie, 5 reacties

In de Tweede Kamer zijn vragen aan minister Hermans van Volksgezondheid gesteld over de ransomware-aanval op EPD-leverancier ChipSoft. Vanwege de aanval besloten meerdere ziekenhuizen om hun patiëntportalen offline te halen. Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, adviseerde ziekenhuizen om hun ChipSoft-systemen te controleren op afwijkend netwerkverkeer.

De Autoriteit Persoonsgegevens heeft vanwege de aanval op ChipSoft inmiddels 23 datalekmeldingen ontvangen, zo meldt Skipr. ChipSoft levert software voor elektronische patiëntendossiers (EPD). De meeste Nederlandse ziekenhuizen gebruiken het EPD-systeem van ChipSoft. Het zou naar schatting een marktaandeel van zeventig procent hebben.

Naar aanleiding van de aanval besloot ChipSoft verbindingen met verschillende platforms uit te schakelen. Skipr meldt ook dat wordt geprobeerd om een aantal van deze diensten met behulp van 'nieuwe sleutels' weer online te krijgen. De aanval is reden voor D66-Kamerleden Vervuurt en El Boujdaini om minister Hermans om opheldering te vragen. Ze willen onder andere weten of de aanval gevolgen heeft voor de continuïteit van zorg en of er aanwijzingen zijn dat patiëntgegevens zijn gestolen.

"Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico's daarvan beperkt?", vragen Vervuurt en El Boujdaini verder. Minister Hermans moet ook duidelijk maken welke eisen worden gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre deze eisen voldoende zijn gezien de kritieke rol van deze partijen voor het zorgsysteem.

"Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?", willen de D66-Kamerleden aanvullend weten. Die vragen ook of er wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg. De minister heeft drie weken om de Kamervragen te beantwoorden.

Reacties (5)
Reageer met quote
Vandaag, 15:07 door Anoniem
Misschien niet alles online/in de cloud willen doen. En niet allemaal gevoelige data willen delen.

Er zijn teveel datasets met gevoelige data. En gezien de recente stroom aan hacks, te weinig goed beveiligde organisaties. (als dat al helemaal kan)

Dus waarom nog steeds dat digidrammen en verplichte deelname aan EPDs etc.
Dat iets gemakkelijk is, en er misschien extra geld verdiend kan worden met persoons- of patientdata door hergebruik, betekent nog niet dat de burger vogelvrij gemaakt moet worden voor bedrijfsbelangen.
Daar zou de politiek meer oog voor moeten hebben, dan ze nu heeft.

Wanneer het fout gaat (niet als het fout gaat, maar wanneer), dan mag de burger de puinzooi van anderen gaan opruimen. En dat jarenlang.
Dat moet echt anders.

Politici die nu opeens vragen stellen, presteren echt ondermaats met het type vragen dat ze stellen.
Om over het zittende kabinet (en diens vooirgangers) maar te zwijgen. Die steken hun kop in het zand.
Reageer met quote
Vandaag, 15:13 door Anoniem
Goh, wie voert die ransomeware aanvallen toch allemaal uit, zouden dat Russische criminelen zijn, of gewoon de hacker in het huizenblok tegenover je? Ze hebben het er maar druk mee. De hele dag met hun simbox bedrijven bellen naar aanleiding van een bestuurlijk opzetje uit 2023 en hun slaafjes en naar de mond praters.

Ik ben benieuwd of deze daders gepakt gaan worden, netzoals de daders van de Odidio social enginerings scam.
Reageer met quote
Vandaag, 15:31 door Anoniem
We duiken steeds dieper in steeds complexere afhankelijkheid van steeds ondoorzichtiger supply chains en denken nog altijd alleen in termen van prijs vs functionaliteit. Wie onderzoekt er zelf zijn supply chain, wie vraagt er om een SBOM, wie heeft er een exit strategie geregeld en wie heeft er een dekkend en ingeoefend BCP/DRP?
Reageer met quote
Vandaag, 15:52 door Anoniem
Voor het voorkomen dat je in een vendor lock-in duikt (zoals het nu effectief het geval is) heb je twee dingen nodig:
1) Een open standaard die zonder mitsen en maren door iedereen geïmplementeerd kan worden
2) De verplichting gebruik te maken van die open standaard
Reageer met quote
Vandaag, 16:33 door Anoniem
Door Anoniem: Voor het voorkomen dat je in een vendor lock-in duikt (zoals het nu effectief het geval is) heb je twee dingen nodig:
1) Een open standaard die zonder mitsen en maren door iedereen geïmplementeerd kan worden
2) De verplichting gebruik te maken van die open standaard

Ik ben het wel eens dat je open standaarden zou moeten gebruiken. Maar veel keus heb je in Nederland niet. Chipsoft of Epic. Epic wil niet eens praten met de meeste ziekenhuizen. dus is er niet. maar een (IHE) open standaard helpt niet tegen een medewerkeraccount dat gehackt wordt waar dan vervolgens enorm veel data mee wordt gelekt.
Daarnaast kan je ook iets zeggen tegen deze open standaarden. als het duidelijk is hoe alles werkt omdat het open is, dan is het zoeken van een gat ook makkelijker.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components