Bij de hack van Chipsoft zijn patiëntgegevens van meerdere huisartsen, revalidatieklinieken en een oogziekenhuis gestolen. Dat meldt de Volkskrant. Patiëntendata van ziekenhuizen zijn niet in handen van de aanvallers. ChipSoft laat weten dat instellingen die de software van ChipSoft in eigen beheer uitvoeren of door derden laten beheren, niet getroffen zijn. Ook gaat het uitsluitend om Nederlandse zorgaanbieders.
Chipsoft levert software voor de opslag van patiëntendossiers. In eerste instantie meldden bronnen binnen en buiten dat bedrijf dat patiëntendata veilig waren. Dat blijkt nu wel voor de ziekenhuizen te gelden, maar niet voor enkele andere zorgorganisaties.
Radiostilte duurt lang
De hack vond plaats op dinsdag 7 april. Er kwam maar mondjesmaat informatie naar buiten. Op 16 april werd de Patiëntenfederatie Nederland ongeduldig: “Meer dan een week na de hack bij systemen van ChipSoft tasten veel patiënten nog altijd volledig in het duister wat de gevolgen zijn voor de veiligheid van hun patiëntengegevens” schreef de federatie. De organisatie riep Chipsoft op om “snel en helder informatie te geven over de gevolgen voor patiënten na de hack bij Chipsoft. Patiënten moeten weten waar ze aan toe zijn, zeker waar het gaat om gevoelige medische gegevens.”
Medische gegevens
Op 16 april publiceerde de Volkskrant op basis van een ‘betrouwbare’, maar anonieme bron dat de criminele hackers persoonsgegevens hadden buitgemaakt. Getroffen zijn huisartsen en revalidatieklinieken die het zogeheten HiX 365-platform van Chipsoft gebruiken. Ook het Oogziekenhuis Rotterdam gebruikt dat. De hackers hebben toegang gekregen tot dit platform en zijn specifiek op zoek gegaan naar medische gegevens over behandelingen. Mogelijk is er losgeld geëist, dat is nog niet bekend.
Rijndam en Basalt
Een woordvoerster van ChipSoft bevestigde het Volkskrant-verhaal aan RTL Nieuws. Het gaat inderdaad om het HiX 365-platform. Hoeveel mensen gedupeerd zijn en welke medische gegevens precies zijn gestolen, is volgens de woordvoerder nog niet duidelijk. Rijndam, met revalidatiecentra in Zuid-Holland, liet weten te zijn getroffen. Hetzelfde geldt voor Basalt, een expertisecentrum voor revalidatiezorg met dertien vestigingen in Zuid-Holland.
Ziekenhuizen draaien lokaal
Van ziekenhuizen die gebruikmaken van Chipsoft-software zijn er geen gegevens in de handen van de hackers gekomen. De software draait bij hen lokaal of op servers van derden. Volgens de Landelijke Vereniging van Huisartsen (LHV) werken ‘tientallen huisartsenpraktijken’ met een zorgsysteem van het bedrijf. De grootste betrokken groep in Noord-Limburg, is volgens ChipSoft overigens niet getroffen. Het bedrijf gaat de getroffen zorginstellingen informeren. Topman Hans Mulder zegt tegen persbureau ANP: “Deze ontvreemding van gegevens kunnen wij niet ongedaan maken. Wel doen wij er alles aan om de getroffen klanten in deze situatie zo goed mogelijk te ondersteunen.”
Patiëntentoegang versperd
Bij ziekenhuizen die een speciale website van Chipsoft gebruiken om patiënten toegang te geven tot hun dossier was ook de vrees dat meegelezen werd door hackers, meldde de NOS op 15 april. In eerste instantie haalde Chipsoft de patiëntenportalen niet offline, maar dat gebeurde wel nadat externe beveiligingsexperts werden ingehuurd. Onder meer het Franciscus Gasthuis in Rotterdam, het Meander Medisch Centrum in Amersfoort en het Albert Schweitzer Ziekenhuis in Dordrecht deden dat, samen met ruim tien andere ziekenhuizen. De bewuste ziekenhuizen konden een melding te doen bij de Autoriteit Persoonsgegevens vanwege een mogelijk datalek. Die privacywaakhond bevestigde vorige week al 66 meldingen te hebben gekregen, van ChipSoft zelf, een aantal ziekenhuizen en meerdere huisartsenpraktijken. Of en wanneer de patiëntenportals weer online kunnen is nog niet duidelijk. Meander meldt: “Naar verwachting gaat dit (het afsluiten van de toegang) nog enige tijd duren. Op basis van informatie van ChipSoft gaat Meander ervan uit dat patiëntgegevens niet in gevaar zijn. Onderzoek bij ChipSoft loopt nog, maar Meander staat niet op de lijst van ziekenhuizen waar patiëntgegevens zijn gestolen.” Alle accounts die ondersteunend Chipsoft-personeel kon gebruiken om in te loggen bij de ziekenhuizen zijn verwijderd of hebben een nieuw wachtwoord gekregen en ook digitale sleutels waarmee verkeer tussen Chipsoft en de ziekenhuizen wordt beschermd, werden vervangen.
Langere wachtrijen
De problemen met de patiëntendossiers kunnen in sommige gevallen tot langere wachttijden in de ziekenhuizen leiden, maar niet overal. De Patiëntenfederatie roept ziekenhuizen en huisartsen op om patiënten goed te informeren over de gevolgen van het offline halen van patiëntportalen.
Bronnen: Volkskrant / NOS / Patiëntenfederatie / ACM / FMT / RTL Nieuws / ChipSoft
Informatiepagina ChipSoft: https://informatie.chipsoft.com/chip-soft-informatiepagina-ransomware-incident/veelgestelde-vragen
