Hack Chipsoft, een cruciale softwareleverancier voor de Nederlandse zorg, kreeg dinsdag een cyberaanval te verduren. Er is nog veel onbekend over de hack, maar die legt wel de grote afhankelijkheid binnen de zorg bloot van één softwarebedrijf.
Het Catharinaziekenhuis in Eindhoven. De IT-beveiliging ervan sloot de digitale verbinding met Chipsoft onmiddellijk toen ze ongebruikelijke activiteit opmerkte.
De cyber security officers van het Catharina Ziekenhuis in Eindhoven bemerkten dinsdagochtend om elf uur dat het dataverkeer met softwareleverancier Chipsoft ineens heel stil werd. Zou het een cyberaanval kunnen zijn? Onmiddellijk besloot het team de VPN-verbinding met Chipsoft af te sluiten.
De raad van bestuur van dat ziekenhuis kreeg die middag te horen dat er inderdaad een hack was bij het softwarebedrijf. Net als tientallen andere Nederlandse ziekenhuisbesturen, want Chipsoft heeft een enorme klantenkring in de zorg. De overgrote meerderheid van de ziekenhuizen is klant, plus huisartsen, ggz-instellingen, verpleeghuizen en revalidatiecentra.
Z-cert, expertisecentrum voor cybersecurity in de zorg, stuurde een melding uit. „Op 7 april heeft Z-cert het bericht ontvangen dat Chipsoft slachtoffer is geworden van een ransomeware-aanval.” Wie achter die aanval met gijzelsoftware zit, wat de hackers eisen en de omvang van de hack zijn nog onduidelijk. Chipsoft zelf is woensdag telefonisch én elektronisch onbereikbaar.
Chipsoft is een succesvol softwarebedrijf van vader Gerrit en zoon Hans Mulder. Het bedrijf maakt onder meer elektronisch patiëntendossiers (merk HiX), planningssystemen voor personeel en ruimtes en verwijzingssystemen, van arts naar arts. In 2024 maakte het in Nederland 66 miljoen euro winst, op een omzet van 174 miljoen. De eigenaren kregen dat jaar bijna 80 miljoen euro uitgekeerd.
Het Amsterdamse Chipsoft heeft slechts twee kleine concurrenten in Nederland: dochters van het Amerikaanse Epic en het Duitse Nexus. Maar eigenlijk heb je als ziekenhuis weinig te kiezen, zegt Nardo van der Meer, bestuursvoorzitter van ‘het Catharina’. „Die softwaresystemen zijn zó complex dat, als je er eenmaal in zit, je eigenlijk niet meer weg kunt.”
Je bent, zegt hij, als zorgverlener erg afhankelijk van één partij. Elektronische patiëntendossiers in driekwart van de zorginstellingen, labuitslagen, de planning, verwijzingen van patiënten dor huisartsen en tussen ziekenhuizen – Chipsoft is met zijn software en automatiseringsdiensten de spin in het web. Ook speelt het bedrijf een rol bij de inzet van beademingsapparatuur, infuuspompen en CT-scanners en bij uiteenlopende activiteiten als voorraadbeheer en luchtmonitoring.
Oud-minister van Volksgezondheid Ernst Kuipers (D66) waarschuwde vorig jaar na de grote hack bij Nederlandse laboratoria van Clinical Diagnostics in NRC dat de hele zorg kwetsbaar is voor hackers. „Het gaat niet alleen om patiëntenprivacy. Hackers kunnen een heel ziekenhuis platleggen. Vorig jaar was er in Londen een hack bij een pathologiecentrum dat bloedtesten deed. Die leidde ertoe dat duizenden operaties moesten worden uitgesteld, want vooraf kon er geen bloed meer getest worden, ook niet van donoren.”
Op dit moment hebben alleen de zorgverleners en planners achter de ‘zorgportalen’ van ziekenhuizen last van de gevolgen van de hack, zegt Nardo van der Meer. Ook in zijn ziekenhuis. „We merken dat ziekenhuizen en huisartsen niet naar ons verwijzen via de gewone [Chipsoft-]planningssoftware. Alles gebeurt ouderwets, via de e-mail. Dat kost veel meer tijd, want dat gebeurt handmatig. En het zal tot vertraging van afspraken leiden.”
De elektronische patiëntendossiers (EPD’s) met alle gegevens van patiënten lijken in het Catharina Ziekenhuis veilig, zegt Van der Meer. Dat melden meer ziekenhuizen. „Die worden afgesloten opgeborgen.” Er is géén digitaal contact met de buitenwereld.
Maar helemaal gerustgesteld zijn ze bij het Catharina niet, omdat het ziekenhuis geen contact krijgt met Chipsoft. „We weten gewoon nog niet wat er precies gaande is. Hackers worden ook steeds slimmer, hè?”
Peter Rutjes, bestuurder van concurrent Nexus, vindt dat de Nederlandse zorgmarkt te afhankelijk is van één grote partij, zegt hij vanuit de auto. „Dat is natuurlijk de verdienste van de familie Mulder, die Chipsoft heel slim heeft opgebouwd en uitgebreid. Maar er zou wel iets meer balans in die markt moeten komen. Ziekenhuizen stappen niet snel over omdat ze vrezen dat de patiëntenzorg dan fout loopt.”
Nexus Nederland ondersteunt het beheer van elektronische patiëntendossiers bij vijf ziekenhuizen, twee revalidatiecentra en vijf ggz-regio’s. Daarnaast levert het aan ruim veertig ziekenhuizen softwarediensten voor de verwerking van onder meer röntgenopnamen en CT-scans.
Dat de markt voor zorgsoftware „sterk geconcentreerd is”, wat ook een ongunstig effect heeft op de prijsvorming, stelde concurrentiebewaker ACM al in 2021 vast. Het rapport waar dat in stond, verscheen pas eind 2023, nadat Chipsoft had geprocedeerd om publicatie tegen te houden. Het College van Beroep van het Bedrijfsleven oordeelde uiteindelijk dat het rapport mocht verschijnen.
Doorzie de wereld van technologie elke week met NRC-redacteuren