Datalek bij zorgsoftwarebedrijf ChipSoft zorgt voor commotie: ‘Waarom moet ik alles uit de media vernemen?’

Wat is er gebeurd en wanneer?

Zorgsoftwarebedrijf ChipSoft is op 7 april 2026 getroffen door een zogenaamde ransomware-aanval. Hackers krijgen zo toegang tot systemen en kunnen patiëntgegevens stelen. Het gaat dus om datalekken van gevoelige medische informatie. Op 23 april blijkt dat de gegevens ook echt zijn buitgemaakt en dat hackersgroep Embargo heeft gedreigd ze te publiceren op het darkweb. Zij zeggen ongeveer 100 gigabyte (GB) aan data te hebben gestolen. Bij Odido ging het om 90 GB.

Dubbele afpersing bij deze datalekken

De aanval is een voorbeeld van een dubbele afpersing. Eerst zijn de systemen versleuteld en zijn ze gegijzeld. Daardoor kan een organisatie niet werken. Daarna zijn ook gegevens gestolen. Die dreigen de hackers openbaar te maken. Het slachtoffer van de hack staat dus op 2 manieren onder druk: betalen om systemen terug te krijgen en betalen om publicatie te voorkomen.

Welke instellingen zijn geraakt door de datalekken?

De hack begon bij een huisartsenketen, namelijk Fonkelzorg. Daarna is gebleken dat meerdere zorginstellingen zijn geraakt, namelijk enkele tientallen huisartsenpraktijken. Maar ook tbs-klinieken (zoals van De Forensische Zorgspecialisten) en revalidatiecentra zoals Rijndam en Basalt. ChipSoft levert ook de software aan 55 van de 75 ziekenhuizen in Nederland. Daardoor heeft de hack een groot bereik. En daarom maken onze melders zich ook grote zorgen.

Melder Gerard zegt woest te zijn: “Mooie boel zeg! Mijn ziekenhuis maakt ook gebruik van die software en ik denk mijn huisarts ook wel. Want alle systemen zijn aan elkaar gekoppeld. Hopelijk gaat het niet om mijn medisch dossier maar alleen om naw-gegevens (naam, adres, woonplaats).”

Meldster Clara klaagt over de slechte communicatie: “Mijn huisarts en ziekenhuis maken allebei gebruik van die software. Mijn ziekenhuis heeft op zijn website nog wel een algemeen nieuwsbericht gezet. Ze zeggen ermee bezig te zijn. Dat moet ik dan maar geloven. Maar waarom moet ik alles uit de media vernemen?”

Advies en reactie overheid

De Landelijke Huisartsen Vereniging adviseert huisartsen om patiënten te informeren, als hun gegevens mogelijk gelekt zijn. Zorgminister Mirjam Sterk noemt het bij RTL een zeer ernstige zaak. Zij zegt dat ChipSoft snel en zorgvuldig onderzoek moet doen. “Patiënten moeten erop kunnen vertrouwen dat hun data veilig zijn.”

Meldster Anita zegt dat ze ook bericht heeft gehad van haar huisarts dat zij getroffen is. “Maar nu hoor je hier totaal niets meer over, terwijl er toch zeer gevoelige, belangrijke gegevens zijn gelekt. Verder vind ik het raar dat online alles weer gewoon kan, zoals afspraken maken, dossier inkijken, gewoon alles. Dit moet toch niet kunnen als het niet uitgezocht is?”

Reactie van ChipSoft

De directie van ChipSoft biedt op zijn site excuses aan. Hans Mulder, CEO ChipSoft zegt: “Na 40 jaar toewijding aan betrouwbare zorg-ICT doet het ons pijn dat deze situatie is ontstaan. Deze ontvreemding van gegevens kunnen wij niet ongedaan maken. Wel doen wij er alles aan om de getroffen klanten in deze situatie zo goed mogelijk te ondersteunen.” Sommige systemen zijn inmiddels weer veilig hebben opgestart. Eerder zijn systemen tijdelijk uitgezet als voorzorg.

Saillant detail is dat deze week Chipssoft nog een mededingingszaak verloren heeft voor de rechter. 3 ziekenhuizen – UMCG, Ommelander Ziekenhuis en Treant – mogen samen 1 patiëntendossier gaan bouwen. Dat gebeurt met software van ChipSoft-concurrent Epic. Tegen Odido is net deze week een massaclaim gestart door consumentencollectief CUIC.

(Bron: ChipSoft, NOS, NRC, RTL, archief. Foto: ANP)

Consumentencollectief CUIC start massaclaim tegen Odido na datalekken: ‘Veiligheid van klantgegevens als sluitstuk van bedrijfsvoering beschouwd’