2LRN4 security awareness platform
← Terug naar kennisbank

De ChipSoft-aanval: wat een aanval op je leverancier betekent voor je awarenessprogramma

In april 2026 trof een ransomware-aanval ChipSoft, de leverancier van het EPD dat ongeveer 70% van de Nederlandse ziekenhuizen gebruikt. De les: je bent zo veilig als je zwakste leverancier, en awareness stopt niet bij je eigen voordeur.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Op 7 april 2026 werd ChipSoft, de maker van het patiëntdossiersysteem HiX, getroffen door een ransomware-aanval die wordt toegeschreven aan de groep Embargo. ChipSoft levert het elektronisch patiëntendossier aan ongeveer 70% van de Nederlandse ziekenhuizen. Ziekenhuizen haalden uit voorzorg hun patiëntportalen offline en op 16 april bevestigde ChipSoft dat er patiëntgegevens waren gestolen. Het incident laat zien wat veel awarenessprogramma's over het hoofd zien: je grootste risico zit soms niet binnen je eigen muren, maar bij een leverancier die je nooit zelf hebt getraind.

Wat er gebeurde en waarom de impact zo groot was

De aanval werd op 7 april ontdekt. Eén dag later waren er signalen dat de aanvallers mogelijk bij patiëntgegevens konden, en op 16 april bevestigde ChipSoft de diefstal. Eind april meldde het bedrijf dat de gestolen gegevens zouden zijn vernietigd, al bleef onduidelijk wat er precies met een eventueel losgeld is gebeurd.

De impact was groot omdat één leverancier een centrale rol speelt in de hele sector. Als ongeveer zeven op de tien ziekenhuizen hetzelfde EPD gebruiken, raakt een aanval op die leverancier in één klap een groot deel van de Nederlandse zorg. Dat heet concentratierisico: centrale software betekent centraal risico. Hetzelfde patroon zag je bij het Canvas-datalek in het onderwijs.

Medische gegevens zijn bijzondere persoonsgegevens onder de AVG en vallen in de zorg ook onder NEN 7510. Een datalek met medische gegevens moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld, en zorginstellingen schakelen Z-CERT in voor de coördinatie. Voor veel ziekenhuizen geldt daarnaast de zorgplicht uit de Cyberbeveiligingswet, de Nederlandse uitwerking van NIS2.

De denkfout: 'wij hebben onze eigen zaken op orde'

Veel organisaties richten hun awareness volledig op de eigen medewerkers: niet klikken op phishing, sterke wachtwoorden, netjes melden. Dat is nodig, maar het dekt maar de helft af. Een aanzienlijk deel van de datalekken ontstaat bij een derde partij: een softwareleverancier, een verwerker of een uitbesteed callcenter.

Bij een ketenincident kun je intern alles goed hebben gedaan en toch getroffen worden. Jouw mensen hebben niets fout gedaan; de zwakke schakel zat bij een partij waar jij geen directe controle over hebt. Dat voelt oneerlijk, maar het is de werkelijkheid van moderne IT-ketens.

Voor wie awareness implementeert, betekent dit dat je programma niet stopt bij de eigen voordeur. Je moet medewerkers ook leren wat een leveranciersincident voor hén betekent en hoe ze daarop reageren.

Wat awareness wél kan doen bij een leveranciersrisico

Je kunt de beveiliging van je leverancier niet afdwingen met een e-learningmodule. Maar je medewerkers spelen wel een rol in de keten. Wie inkoopt of contracten beheert, bepaalt of beveiligingseisen onderdeel zijn van de afspraak. Wie dagelijks met de software werkt, merkt als eerste dat er iets niet klopt.

Awareness in een ketencontext gaat over drie dingen: vooraf de juiste vragen stellen aan leveranciers, tijdens het werk afwijkingen herkennen en melden, en bij een incident weten wat je rol is als het systeem van een ander stilligt.

Juist in de zorg is dat laatste cruciaal. Als het EPD uitvalt, moeten medewerkers weten hoe ze terugvallen op papieren processen zonder dat de patiëntveiligheid in gevaar komt. Dat oefen je vooraf, niet tijdens de crisis.

Vervolgrisico: gerichte phishing na een zorgdatalek

Net als bij andere datalekken is de diefstal zelf niet het eindpunt. Zoals ook na het Odido-datalek bleek, begint de gerichte phishing vaak daarna pas. Gestolen medische gegevens zijn goud waard voor gerichte phishing en afpersing, juist omdat ze zo persoonlijk zijn. Een nepbericht 'van het ziekenhuis' over een afspraak of een rekening is extra geloofwaardig als het klopt met je echte situatie.

Medewerkers in de zorg moeten daarom na een leveranciersincident extra alert zijn op berichten die inspelen op het nieuws. 'Klik hier om te controleren of jouw gegevens zijn gelekt' is een klassieke vervolgtruc.

Communiceer hierover uit eigen beweging naar je mensen en naar patiënten. Leg uit welke berichten je wél en niet stuurt, zodat nepberichten sneller opvallen.

Zo verwerk je dit in je awarenessprogramma

Gebruik de ChipSoft-casus om het gesprek over ketenrisico concreet te maken. Het sluit naadloos aan op de vraag die elke zorgbestuurder na april 2026 stelt: wat als het bij óns gebeurt?

Maak leveranciersrisico een vast thema, niet alleen voor IT en inkoop maar ook voor de werkvloer die de software gebruikt.

  • Doelgroep en ritme: geef inkoop en contractbeheer een module over beveiligingseisen aan leveranciers; geef zorgteams een jaarlijkse uitwijkoefening, van uitgevallen EPD naar papieren proces.
  • Leg vast wie wat doet bij een leveranciersincident: melden, communiceren en terugvallen. Doe dat voordat het misgaat.
  • Train medewerkers om vervolg-phishing na een datalek te herkennen, zoals berichten in de trant van 'controleer of je gelekt bent'.
  • Meet of de uitwijkprocedure echt werkt: hoe snel schakelt een afdeling over zonder dat de zorg stilvalt?
  • Wil je dit verankeren? Bekijk hoe dat werkt met een security awareness programma.

Gerelateerde artikelen

Veelgestelde vragen

Hoe kan een aanval op één bedrijf zoveel ziekenhuizen raken?

Omdat ongeveer 70% van de Nederlandse ziekenhuizen hetzelfde EPD (HiX van ChipSoft) gebruikt. Als zoveel organisaties op één leverancier leunen, ontstaat concentratierisico: een aanval op die leverancier treft in één keer een groot deel van de sector.

Wat kan awareness doen als het probleem bij een leverancier zit?

Awareness kan de beveiliging van je leverancier niet afdwingen, maar wel je mensen voorbereiden. Denk aan de juiste beveiligingseisen stellen bij de inkoop, afwijkingen vroeg herkennen en melden, en weten hoe je terugvalt op alternatieve processen als het systeem van een ander uitvalt.

Waarom is een EPD-uitwijkoefening belangrijk?

Als het patiëntdossiersysteem uitvalt, moeten zorgmedewerkers meteen kunnen terugvallen op papieren of alternatieve processen zonder dat de patiëntveiligheid in gevaar komt. Dat lukt alleen als je het vooraf hebt geoefend, niet tijdens de crisis zelf.

Onder welke regels valt een datalek met medische gegevens?

Medische gegevens zijn bijzondere persoonsgegevens onder de AVG en vallen in de zorg onder NEN 7510. Een datalek moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld; Z-CERT coördineert in de zorgsector. Voor veel zorginstellingen geldt daarnaast de zorgplicht uit de Cyberbeveiligingswet (NIS2).

Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen