image

Minister: geen zekerheid dat bij ChipSoft gestolen data is vernietigd

maandag 18 mei 2026, 14:01 door Redactie, 13 reacties

Er is geen zekerheid dat de criminelen de data die ze bij ChipSoft wisten te stelen ook hebben vernietigd. Dat zegt minister Sterk van Langdurige Zorg, Jeugd en Sport in een brief aan de Tweede Kamer. Er wordt nog onderzoek naar de hack gedaan en of er vanuit de overheid aanvullende eisen of regels moeten komen voor de beveiliging van patiëntengegevens.

ChipSoft levert software voor elektronische patiëntendossiers (EPD). De meeste Nederlandse ziekenhuizen gebruiken het EPD-systeem van ChipSoft. Het zou naar schatting een marktaandeel van zeventig procent hebben. ChipSoft maakte op 7 april bekend dat het door een ransomware-aanval was getroffen. Daarbij werden ook persoonsgegevens van patiënten, waaronder medische gegevens, buitgemaakt. Hoe de ransomware-aanval mogelijk was liet ChipSoft niet weten.

De aanval werd opgeëist door een ransomwaregroep genaamd Embargo. De aanvallers claimden op hun eigen website dat ze honderd gigabyte aan data hadden gestolen. De aanvallers dreigden de gestolen data te publiceren tenzij er losgeld werd betaald. "De bescherming van de gegevens van onze klanten heeft voor ons altijd de hoogste prioriteit. In deze uitzonderlijke situatie heeft dat belang zeer zwaar gewogen. Mede met ondersteuning van cybersecurity-experts is het ons gelukt om te voorkomen dat de gegevens gepubliceerd zijn", maakte ChipSoft eind april bekend.

"ChipSoft heeft laten weten dat de bestanden vernietigd zijn", schrijft minister Sterk in haar brief. "Ik merk echter op dat nooit met volledige zekerheid vast te stellen is dat de buitgemaakte bestanden ook daadwerkelijk volledig zijn vernietigd." De bewindsvrouw voegt toe dat er contact is met ChipSoft om te monitoren of deze toezegging daadwerkelijk in de praktijk blijkt.

Afsluitend stelt Sterk dat het onderzoek naar de aanval op ChipSoft nog gaande is, waarbij meerdere toezichthouders betrokken zijn. "Op basis van de uitkomsten van deze onderzoeken beoordeel ik of er aanleiding is om aanvullende eisen of kaders te stellen aan de wijze waarop patiëntengegevens dienen te worden opgeslagen. Indien nodig zal ik uw Kamer hierover informeren."

Reacties (13)
18-05-2026, 14:20 door Anoniem
We blijven onze gegevens uploaden mensen naar de zorg
en de overheden,gemeenten,webshops,de cloud etc
we moeten wel,anders heb je geen service of rechten
maar bij ons zijn je gegevens veilig,we weten inmiddels wel hoe veilig.

EUNL2026
18-05-2026, 14:21 door johanw
100% zekerheid heb je nooit. Maar dit is wel een erg doorzichtige manier om betalen van losgeld in een slecht daglicht te stellen.
18-05-2026, 14:57 door Anoniem
Tijd dat deze minister en zijn collega's van hun reet komen en dit probleem eindelijk bij de wortel aanpakken.
Het "verplicht" moeten afstaan van deze gevoelige data aan overhed en bedrijven moet beeindigd worden.
Organisaties zijn niet in staat deze data 95+% van de tijd goed te beschermen.
Verbied ze dan ook dit nog langer te doen, en biedt ze alternatieve oplossingen aan.

Het wordt tijd dat ook de politiek de 21 eeuw ingetrokken wordt, en aan het werk gaat om de privacy en veilgheid van haar burgers beter te beschermen met echte doeltreffende maatregelen ipv bigtech en europol na te praten.
18-05-2026, 17:26 door Anoniem
2026 is ondertussen wel het jaar van de (grote) datalekken aan het worden. Hopelijk schud dat organisaties een beetje wakker dat ze wat te doen hebben om te voorkomen dat ze de volgende zijn.

Hoe de ransomware-aanval mogelijk was liet ChipSoft niet weten.
Ik gok incompetentie aan hun kant, maar dat hebben ze zelf nog niet door :-)
18-05-2026, 18:14 door Anoniem
Tja ik weet niet of iedereen het wist maar het meeste wat computers doen is data kopiëren. Begint al bij harde schijf. En dan weer kopiëren van werkgeheugen naar de processor. Want anders werkt de hele zooi niet. Dan werk je als je het goed doet ook nog zo redundant mogelijk. Dus dat is ook een kopie. En dan maak je drie verschillende backups. Dus dat is ook weer kopiëren. En dan tenslotte wordt alles wat open staat door crawlers opgepikt voor zoekmachines en AI. En archive.org natuurlijk.

Je moet gewoon geen data vastleggen die je niet nodig hebt.

Het is in mijn optiek zelfs onbehoorlijk om daarnaar te vragen.
19-05-2026, 07:24 door Anoniem
Kern van dit probleem: die data bestaat.
Maar ja... dat snapt geen enkele politicus.
19-05-2026, 08:37 door Bitje-scheef
In de regel is het zo dat de hackers dit wel doen anders loopt het verdienmodel mank. Niemand gaat dan ooit nog betalen.
19-05-2026, 08:39 door Anoniem
Hier hoef je geen minister of hooggeleerde voor te zijn om te snappen dat dit een "trust me bro" situatie van de hoogste rangorde is. Je kan NOOIT, maar dan ook NOOIT, vertrouwen dat de data niet gelekt zal worden nadat je betaald hebt. Iedereen die wat anders zegt houdt alleen zichzelf voor de gek. Blijf maar lekker geloven dat je het probleem oplost door te betalen
19-05-2026, 08:43 door Anoniem
Door Bitje-scheef: In de regel is het zo dat de hackers dit wel doen anders loopt het verdienmodel mank. Niemand gaat dan ooit nog betalen.

Die data gaat hoe dan ook lekken. Als ze het niet rechtstreeks uit eigen naam uploaden wordt het achter de schermen wel over de jaren heen verkocht aan andere partijen die het op hun beurt lekken. Betalen lost het probleem nooit op.

Stel: iemand trekt een blaffer en berooft jou van je telefoon. Je geeft de telefoon, want je wilt niet dood. Vervolgens zegt de rover "Als je je telefoon terug wil kan je deze van mij terugkopen voor 200 euro". Zou je hem die 200 euro geven? Wat is de kans dat hij die 200 euro pakt en met de noorderzon verdwijnt? Of wat is de kans dat hij alsnog die kogel door je kop jaagt en ál je geld meeneemt?
19-05-2026, 10:05 door Anoniem
Door johanw: 100% zekerheid heb je nooit. Maar dit is wel een erg doorzichtige manier om betalen van losgeld in een slecht daglicht te stellen.

Losgeld voor kopie data.... Dat is wel heel erg op dhr/mevr A. Noniem vertrouwen.
Shiny Hunters heeft in het verleden wel aan double dipping gedaan.

Kan makkelijk persoon 1 van s.h. doet toezegging, en liegt niet, persoon 2 denkt onafhankelijk een buitenkansje te zien met extra omzet.

Daarnaast kun je een bestaande doxing dataset verreiken en daaruit publiceren. Witwassen van data.
19-05-2026, 10:20 door Anoniem
Door Bitje-scheef: In de regel is het zo dat de hackers dit wel doen anders loopt het verdienmodel mank. Niemand gaat dan ooit nog betalen.

Zucht.........................................
19-05-2026, 11:40 door Anoniem
Door Bitje-scheef: In de regel is het zo dat de hackers dit wel doen anders loopt het verdienmodel mank. Niemand gaat dan ooit nog betalen.
Het is nooit 100% zeker of controleerbaar dat er geen kopietje ergens bewaard is. En dat kopietje kan altijd opnieuw gebruikt worden, als S.H. weer eens geld nodig heeft, want een organisatie die al 1 keer betaald heeft, betaalt de tweede keer ook wel. Denk maar aan de amerikaanse software bedrijven, vroeger kocht je hun paketten, nu betaal je ze per maand, dat hebben we ook massaal geaccepteerd inmiddels.
19-05-2026, 13:19 door Anoniem
Door Bitje-scheef: In de regel is het zo dat de hackers dit wel doen anders loopt het verdienmodel mank. Niemand gaat dan ooit nog betalen.

Dat klopt voor de initiële losgeld eis, maar die data staat bijna zeker bij hun klaar voor het moment dat ze besluiten met pensioen te gaan, dan kunnen ze van al hun slachtoffers die wel betaald hebben gelijk alle data verkopen en verdwijnen, op die manier verdienen ze aan één hack, twee keer.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.