ChipSoft stelt dat persoonsgegevens waarschijnlijk niet zijn betrokken bij de ransomware-aanval die dinsdagavond aan het licht kwam. De impact op ziekenhuizen lijkt beperkt. Een relatief klein aantal huisartsenpraktijken en apotheken is wél getroffen. Het onderzoek is nog gaande.
ChipSoft, de Nederlandse maker van software voor elektronische patiëntendossiers, laat in een bericht aan klanten weten dat persoonsgegevens ‘waarschijnlijk’ niet zijn buitgemaakt bij de ransomware-aanval van dinsdagavond. Het bedrijf spreekt zelf van een ‘data-incident’. Eerder werd bekend dat meerdere ziekenhuizen preventief systemen offline haalden.
De impact op ziekenhuizen lijkt wel beperkt, weten bronnen van de NOS. Vijftien ziekenhuizen blokkeerden preventief de webtoegang tot hun patiëntendossiers; twaalf daarvan zijn op dit moment nog offline. Het ging voornamelijk om ziekenhuizen die hun patiëntendossiers sterker dan gemiddeld aan de ChipSoft-systemen hadden gekoppeld. De ziekenhuizen stellen dat de patiëntenzorg niet in gevaar is geweest.
Impact beperkt voor ziekenhuizen, huisartsen wél geraakt
Waar ChipSoft met zijn systeem voor elektronische patiëntendossiers marktleider is onder ziekenhuizen, is de positie onder huisartsen een stuk kleiner. Toch zijn het juist de huisartsenpraktijken en apotheken die getroffen zijn. Aanvallers wisten toegang te krijgen tot servers met data van huisartsen. Of zij gegevens hebben buitgemaakt, is nog onbekend. Al zouden huisartsen er wel rekening mee moeten houden dat dat wél is gebeurd.
Hoe ver de hackers zijn doorgedrongen in de data van huisartsenpraktijken, is ook nog niet vastgesteld. Z-Cert, het expertisecentrum voor cybersecurity in de zorg, adviseert ziekenhuizen en huisartsenpraktijken om de netwerkverbinding de komende dagen te blijven monitoren op afwijkend verkeer. De getroffen software betreft in elk geval de on-premises- en SaaS-versies van het systeem en het SaaS-patiëntenportaal gehost via ChipSoft.
ChipSoft wijst klanten op GDPR-verantwoordelijkheid
ChipSoft zegt aan een oplossing te werken. “Op dit moment zet ChipSoft alle redelijke middelen in die technisch en organisatorisch mogelijk zijn om enige nadelige gevolgen te beperken. Het data-incident wordt nauwgezet gemonitord.”
Tegelijkertijd wijst het bedrijf klanten op hun eigen verantwoordelijkheid onder de GDPR. ChipSoft neemt hierbij de positie van verwerker in; de klant is de verwerkingsverantwoordelijke. Een eventuele melding bij de Autoriteit Persoonsgegevens ligt dan ook bij de klant zelf. ChipSoft biedt aan daarin te ondersteunen.
Of de aanvallers naast data van huisartsen ook andere informatie van ChipSoft-systemen hebben buitgemaakt, is nog niet duidelijk. Hetzelfde geldt voor eventuele gegevens van ChipSoft-medewerkers.