Mark JansenOp 7 april 2026 werd softwareleverancier Chipsoft getroffen door een ransomware-aanval. Inmiddels staan minstens elf Nederlandse ziekenhuizen — waaronder Franciscus Gasthuis, Meander Medisch Centrum en Albert Schweitzer Ziekenhuis — met hun patiëntenportalen offline. Volgens NOS heeft de Autoriteit Persoonsgegevens meerdere datalekmeldingen ontvangen, omdat de aanvallers mogelijk de webverbinding tussen ziekenhuissystemen en Chipsoft-servers hebben afgetapt.
Wat is er precies gebeurd?
Chipsoft is volgens Techzine een van de grootste leveranciers van ziekenhuissystemen in Nederland. Ongeveer 70 procent van de Nederlandse ziekenhuizen werkt met de software. Z-Cert, het cybersecuritycentrum voor de zorg, bevestigde dat het om een ransomware-aanval gaat en adviseerde zorginstellingen onmiddellijk hun VPN-verbindingen los te koppelen en netwerkverkeer te monitoren.
De getroffen ziekenhuizen omvatten onder meer Tergooi MC, Slingeland (Doetinchem), Rijnstate (Arnhem), Jeroen Bosch (Den Bosch), Bernhoven (Oss), Catharina (Eindhoven), Máxima MC, Elkerliek (Helmond) en Bravis (Roosendaal). Negen ziekenhuizen hadden zo'n diepe systeemintegratie met Chipsoft dat de impact verder reikt dan alleen de patiëntenomgeving.
Op 15 april 2026 meldde Chipsoft dat alle wachtwoorden van personeel zijn gereset en de versleutelingssleutels vervangen. Of patiëntgegevens daadwerkelijk zijn gestolen, blijft onderwerp van forensisch onderzoek.
Waarom raakt deze hack ook uw bedrijf?
Wanneer één leverancier 70 procent van een sector bedient, ontstaat een single point of failure. Bedrijven die afhankelijk zijn van een centrale softwareleverancier — of dat nu salarisadministratie, klantgegevens of voorraadbeheer betreft — staan voor exact hetzelfde risico. Een aanval op uw leverancier is in de praktijk een aanval op u.
Het Nationaal Cyber Security Centrum waarschuwt al langer dat ransomware-aanvallen op de toeleveringsketen toenemen. Volgens cijfers van het NCSC is ransomware een van de grootste digitale dreigingen voor Nederlandse organisaties, met name via softwareleveranciers en clouddiensten.
Voor mkb-bedrijven die geen eigen IT-afdeling hebben, is het risico dubbel zo groot: u merkt pas dat er iets mis is wanneer uw klant of leverancier u belt met de mededeling dat hun systemen plat liggen.
Vijf IT-lessen die u nu kunt trekken
1. Inventariseer uw kritieke leveranciers. Welke externe partijen hebben toegang tot uw klantdata, financiële systemen of operationele software? Een actuele lijst is de basis voor elke risicoanalyse.
2. Vraag uw leverancier om hun beveiligingscertificering. ISO 27001 of NEN 7510 (specifiek voor zorg) zijn minimale standaarden. Geen certificaat? Eis op zijn minst een recent rapport van een externe pen-test.
3. Maak offline back-ups. Ransomware versleutelt alles wat verbonden is — ook cloudback-ups die continu synchroniseren. Een fysieke back-up die los staat van het netwerk is uw laatste reddingsboei.
4. Test uw incident-responsplan. Niet alleen het bestaan van een plan, maar de uitvoering ervan. Een tabletop-oefening van twee uur per kwartaal kost minder dan één dag downtime.
5. Train uw medewerkers op phishing. Volgens de jaarlijkse rapportage van Z-Cert begint meer dan 80 procent van de aanvallen met een phishingmail. Een phishing-simulatie kost minder dan honderd euro per medewerker.
Deze stappen vragen geen miljoenen, maar wel discipline. Een IT-specialist kan een mkb-bedrijf binnen één dag op deze vijf punten doorlichten.
Patiëntgegevens: uw rechten als burger
Bent u patiënt bij een van de elf getroffen ziekenhuizen? De Autoriteit Persoonsgegevens heeft op grond van de AVG het recht op inzage gegarandeerd. U mag bij uw ziekenhuis opvragen welke gegevens mogelijk zijn gelekt.
Lekt er gevoelige medische informatie, dan moet de zorgaanbieder u binnen 72 uur na bevestiging informeren. Bij twijfel over de naleving van uw rechten kunt u een klacht indienen bij de toezichthouder of een gespecialiseerde advocaat raadplegen.
Cyberverzekering: wel of niet zinvol?
Een groeiend aantal mkb-bedrijven sluit een cyberverzekering af, maar de polisvoorwaarden zijn streng. Verzekeraars eisen vrijwel altijd dat u multi-factor-authenticatie heeft, regelmatig back-ups test en patches binnen dertig dagen installeert. Voldoet u niet, dan keert de verzekering bij een incident niet uit.
Volgens cijfers van branchevereniging Verbond van Verzekeraars steeg het aantal cyberclaims in 2025 met meer dan dertig procent. De gemiddelde schade per ransomware-incident bij een mkb'er bedroeg €185.000 — een bedrag dat een gemiddelde onderneming meerdere maanden achteruitslaat. Een goede cyberverzekering combineert dekking met directe toegang tot een incident-response team, vaak via een 24/7 hotline.
Bespreek met een onafhankelijke verzekeringsadviseur of uw huidige bedrijfsverzekering een cybermodule biedt — vaak is uitbreiding goedkoper dan een aparte polis afsluiten.
Lessen voor de Nederlandse zorgsector
De Chipsoft-hack komt na eerdere incidenten zoals de aanval op het Ministerie van Financiën. Het patroon is hetzelfde: één centrale leverancier wordt het mikpunt, en de gevolgen golven door tientallen organisaties. De Tweede Kamer heeft inmiddels gevraagd om een spoedevaluatie van leverancierscontracten in de zorg.
Brancheorganisatie NLdigital pleit voor een verplichte audit voor leveranciers die meer dan een derde van een vitale sector bedienen. Tot die wetgeving er is, ligt de verantwoordelijkheid bij elke individuele organisatie zelf.
Voor het mkb is de boodschap helder: zelfs zonder ziekenhuisstatus kan uw bedrijf morgen op pagina één van NOS staan. De vraag is niet of u getroffen wordt, maar wanneer.
Wat moet u nú doen?
Begin vandaag met een eenvoudige check: heeft u in de afgelopen twaalf maanden uw IT-leverancier gevraagd om een beveiligingsaudit? Zo niet, neem deze week contact op. Volgens Techzine duurt een gemiddeld ransomware-incident drieëntwintig dagen — drie weken zonder klantdata, betalingsverwerking of orderafhandeling.
Een ervaren IT-expert helpt u in een paar uur de gaten in uw beveiliging te vinden. Op Expert Zoom kunt u IT-specialisten in uw regio vergelijken op specialisatie, ervaring en tarieven. Een investering van enkele honderden euro's nu kan tienduizenden euro's schade voorkomen wanneer de volgende grote hack zich aandient — en die komt er, dat is geen vraag meer.
