Vijf ziekenhuizen doen uit voorzorg melding van datalek: 'Kunnen niet uitsluiten dat er iets is gebeurd'

In dit artikel:

Meerdere ziekenhuizen melden mogelijk datalek na ransomware-aanval op ChipSoft. Het Albert Schweitzer Ziekenhuis (ASz), IJsselland Ziekenhuis, Beatrixziekenhuis (Rivas), Oogziekenhuis en de Franciscusziekenhuizen in Rotterdam/Schiedam hebben voorlopige meldingen gedaan bij de Autoriteit Persoonsgegevens (AP) omdat zij niet kunnen uitsluiten dat patiëntgegevens zijn ingezien. De waarschuwingen zijn uit voorzorg; een voorlopige melding kan worden ingetrokken als forensisch onderzoek uitwijst dat er niets is gebeurd.

De aanleiding is een recente ransomware-aanval op softwareleverancier ChipSoft, waarvan veel regioziekenhuizen gebruikmaken voor het elektronisch patiëntendossier (HiX), patiëntportalen en apps. Omdat delen van het dataverkeer via servers van ChipSoft verlopen, bestaat de mogelijkheid dat aanvallers communicatie hebben kunnen inzien; concrete bewijzen daarvoor zijn nog niet gevonden. ChipSoft voert samen met externe forensische partijen onderzoek uit en informeert klanten via een stand van zaken op de eigen website.

Praktische gevolgen zijn al merkbaar: bij enkele ziekenhuizen (onder meer IJsselland en het Oogziekenhuis) zijn patiëntportalen tijdelijk onbereikbaar en is digitale uitwisseling vertraagd, wat extra druk op balies en telefonische ondersteuning geeft. Rivas legt uit dat patiëntgegevens van hun zorggroep in een eigen, beveiligde omgeving staan en dat ze externe toegang tot HiX meteen hebben afgesloten volgens advies van cybersecurityspecialist Z-Cert. Z-Cert ondersteunt meerdere ziekenhuizen en meldt dat diensten zoals Zorgportaal en HiX Mobile uit voorzorg zijn uitgeschakeld.

Andere instellingen in de regio — Maasstad, Ikazia, Van Weel Bethesda, Spijkenisse MC en Erasmus MC — ervaren tot nu toe minder of geen hinder. De verwachting is dat de komende dagen meer duidelijkheid komt na verdere onderzoeken.