Nieuws
image

LUMC stelt invoering nieuw patiëntendossier uit wegens hack van ChipSoft

vrijdag 10 april 2026, 10:58 door Redactie, 7 reacties

Het Leids Universitair Medisch Centrum (LUMC) heeft vanwege de ransomware-aanval op ChipSoft besloten de invoering van een nieuw elektronisch patiëntendossier (EPD) voorlopig uit te stellen. ChipSoft levert software voor elektronische patiëntendossiers (EPD). De meeste Nederlandse ziekenhuizen gebruiken het EPD-systeem van ChipSoft. Het zou naar schatting een marktaandeel van zeventig procent hebben. ChipSoft levert het zorgsysteem HiX aan het LUMC.

Oorspronkelijk zou het ziekenhuis op 9 en 10 april overgaan naar een nieuw EPD, maar dat gaat vanwege de aanval niet door. "Op dringend advies van Chipsoft wordt de overgang naar het nieuwe EPD tot nader bericht uitgesteld." Het patientportaal mijnLUMC blijft vooralsnog beschikbaar, omdat het door een andere partij wordt gehost. Verder meldt het LUMC dat ChipSoft nader onderzoek doet naar de impact op de veiligheid van patiëntgegevens. Volgens de EPD-leverancier zijn er op dit moment geen aanwijzingen dat gegevens van LUMC-patiënten zijn gelekt. De komende periode wordt dit echter verder onderzocht.

Reacties (7)
Reageer met quote
Vandaag, 11:23 door AX0
On-Voor-Stel-Baar!

Ik begin even met;
Elk denkbaar aspect en facet, in en met digitaal automnatiseren, is 100% voorspelbaar/manipuleerbaar, voor iedere betrokkene...!

85% van de huidige IT professionals blijken van deze essentie van digitale automatiseren, en 99,9% van boardroom executives, management, HR en recruitment, weten niets van deze essentie. En dat is 'Onhandig', aangezien Chipsoft het zoveelste voorbeeld is wat er gebeurd als je daar geen idee van hebt. Je geeft cybercrime een steeds groter open veld.

Volgens de EPD-leverancier zijn er op dit moment geen aanwijzingen dat gegevens van LUMC-patiënten zijn gelekt???
Alleen al die regel moet iedere afnemer van Chipsoft producten te denken geven. In de allereerste plaats, verkoopt Chipsoft namelijk een product, is verantwoordelijk voor dat product, ook als er iets gebeurd met dat product zoals een digitale inbraak.

De bovenstaande essentie moet in elke overeenkomst als allereerste worden benoemd en gedefinieerd. Het stelt namelijk Chipsoft meteen aansprakelijk als dit soort zaken gebeuren in de zin van juridischa aansprakelijkheid. Neen, er is geen juridische escape, zoals vaak wordt gedacht omdat men bij arbitrage kijkt naar de letters van de overeenkomsten.

Aansluiten, technisch...
Niet kunnen zien of er data is gelekt? Dat betekend dat men de systemen niet op orde heeft gehad. Althans, niets heeft ingebouwd om meteen een signaal te krijgen als er een externe bron is die een grote hoeveelheid data wil downloaden. Bevreemdend nietwaar? Met de hudige kennis en ervaringen met cybercrime.

Dat betekend namelijk dat men vergeten is een formeel verzoek aan een DPA in te bouwen om uberhaupt data te mogen inzien of kopieren.

Dus LUMC en andere klanten, ziekenhuizen, huisartsen, even wakker worden nu. Alleen al bovenstaande moeten jullie een stevige knuppel in handen te geven Chipsoft vooraf formeel in gebreke te stellen en hen een aansprakelijkheid toe te zenden. Er is meer mis dan alleen maar een hack!

Succes is een keuze...
Reageer met quote
Vandaag, 11:46 door Anoniem
Artsen hebben een beroepsgeheim.
Alles wat je met een arts bespreekt moet tussen beide blijven.

Als zij vervolgens al die informatie in een IT-systeem zetten, waarbij de kans groot is dat die gegevens een keer op straat komen te liggen, dan is dat een schending van het beroepsgeheim en artsen zouden daarvoor aangepakt moeten worden.

Ze halen te vaak hun schouders op of zeggen “bij ons is het goed geregeld”.

Nou, de meeste organisaties waar grote datalekken zijn geweest meenden dat ze het allemaal “goed geregeld hadden”.

Elk systeem is hackbaar en alle informatie komt waarschijnlijk ooit op straat te liggen.

Initiatieven om heel veel gevoelige / medische informatie van heel veel mensen in een systeem te stoppen is onverantwoord en vragen om problemen.

Bestuurders zouden ook aansprakelijk gesteld moeten worden voor dit soort falen.

Men gaat er veel te laks mee om. Of regelt alles “op papier”, wat niks te maken heeft met veiligheid in de praktijk.
Reageer met quote
Vandaag, 12:02 door Anoniem
Door AX0: On-Voor-Stel-Baar!

Ik begin even met;
Elk denkbaar aspect en facet, in en met digitaal automnatiseren, is 100% voorspelbaar/manipuleerbaar, voor iedere betrokkene...!
Werkelijk? Kan je even uitleggen wat je daar precies mee bedoelt? Het kan namelijk zijn dat ik niet helemaal snap waar je het over hebt. Zoals ik lees wat je schrijft zou het erop neerkomen dat encryptie een illusie is omdat elke random number generator 100% voorspelbaar is, ook als die voor cryptografisch gebruik ontworpen en geaccepteerd is. En geen enkele beveiligingsmaatregel tegen manipulatie zou ook maar het geringste effect kunnen hebben. Het zou dan ook geen zin hebben om een webserverproces met minder dan root-rechten te laten draaien, dat zou geen enkel positief effect opleveren, bijvoorbeeld. Is dat wat je bedoelt?
Reageer met quote
Vandaag, 12:15 door Anoniem
Wanneer gaan die ziekenhuizen eens samenwerken en een EPD laten bouwen op basis van open source. Bv Django met webapps. Hier wordt ook flink aan gewerkt: https://www.open-emr.org/
Reageer met quote
Vandaag, 12:47 door Anoniem
Pro cloud,Pro data centralisatie,Pro epd

Bij ons ben je veilig,je moet je persoons-gegevens wel uploaden
naar onze database,zodat we het kunnen delen,want anders heb je geen service
en rechten,en kunnen we je niet helpen

En nu weer naar de fraudehelpdesk
dus weer stress,en zorgen voor velen burgers?

NL2026
Reageer met quote
Vandaag, 13:57 door EersteEnigeEchte M.J. - EEEMJ
Maar heeft het LUMC überhaupt al eens nagedacht waarom het structureel in strijd handelt met het medisch beroepsgeheim? Heeft het LUMC überhaupt gekeken of er technische oplossingen mogelijk zijn waarbij patiënten zeggenschap houden over met wie hun medische gegevens worden gedeeld? Bijvoorbeeld alleen met de zorgverleners (artsen, fysiotherapeuten etc.) die hen daadwerkelijk behandelen, en aan wie zij uit vrije wil op geïnformeerde wijze toestemming hebben verleend voor het verwerken van die gegevens, zoals de AVG ook voorschrijft?

Is het LUMC bereid om medische zorg te verlenen aan patiënten die alleen een behandelingsovereenkomst willen afsluiten als daarin is opgenomen dat hun medische gegevens niet voor anderen toegankelijk mogen worden gemaakt dan de artsen en verpleegkundigen die hen daadwerkelijk behandelen? Of zegt het LUMC tegen zulke patiënten dat die dan maar moeten creperen?

Wordt het niet eens tijd dat het LUMC, net als andere ziekenhuizen, het doel van de wet gaat respecteren èn de medische ethiek weer in ere gaat herstellen?

M.J.
Reageer met quote
Vandaag, 15:45 door Anoniem
Door AX0: On-Voor-Stel-Baar!

Ik begin even met;
Elk denkbaar aspect en facet, in en met digitaal automnatiseren, is 100% voorspelbaar/manipuleerbaar, voor iedere betrokkene...!

85% van de huidige IT professionals blijken van deze essentie van digitale automatiseren, en 99,9% van boardroom executives, management, HR en recruitment, weten niets van deze essentie. En dat is 'Onhandig', aangezien Chipsoft het zoveelste voorbeeld is wat er gebeurd als je daar geen idee van hebt. Je geeft cybercrime een steeds groter open veld.

Volgens de EPD-leverancier zijn er op dit moment geen aanwijzingen dat gegevens van LUMC-patiënten zijn gelekt???
Alleen al die regel moet iedere afnemer van Chipsoft producten te denken geven. In de allereerste plaats, verkoopt Chipsoft namelijk een product, is verantwoordelijk voor dat product, ook als er iets gebeurd met dat product zoals een digitale inbraak.

De bovenstaande essentie moet in elke overeenkomst als allereerste worden benoemd en gedefinieerd. Het stelt namelijk Chipsoft meteen aansprakelijk als dit soort zaken gebeuren in de zin van juridischa aansprakelijkheid. Neen, er is geen juridische escape, zoals vaak wordt gedacht omdat men bij arbitrage kijkt naar de letters van de overeenkomsten.

Aansluiten, technisch...
Niet kunnen zien of er data is gelekt? Dat betekend dat men de systemen niet op orde heeft gehad. Althans, niets heeft ingebouwd om meteen een signaal te krijgen als er een externe bron is die een grote hoeveelheid data wil downloaden. Bevreemdend nietwaar? Met de hudige kennis en ervaringen met cybercrime.

Dat betekend namelijk dat men vergeten is een formeel verzoek aan een DPA in te bouwen om uberhaupt data te mogen inzien of kopieren.

Dus LUMC en andere klanten, ziekenhuizen, huisartsen, even wakker worden nu. Alleen al bovenstaande moeten jullie een stevige knuppel in handen te geven Chipsoft vooraf formeel in gebreke te stellen en hen een aansprakelijkheid toe te zenden. Er is meer mis dan alleen maar een hack!

Succes is een keuze...
Nee, het is gewoon niet duidelijk.

Het blijft altijd bijzonder dat we hier meteen moord en brand schreeuwen, maar eigenlijk weinig verstand van zaken hebben.

Statement
Er is geen data gelekt, maar later toch -> Iedereen boos, wegens onjuiste informatie.
Er is wel / mogelijk data gelekt -> iedereen wil alles meteen weten. Terwijl het onderzoek nog loopt.
We weten het nog niet -> men is niet in control, want hoe kun je dat nu nog niet weten.

Kwaliteit en zekerheid zijn van belang, niet zomaar wat roepen, omdat je dit denkt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components