De Rijksinspectie Digitale Infrastructuur (RDI) start een onderzoek naar de beveiliging van ChipSoft, de leverancier van het patiëntendossier dat de meeste Nederlandse ziekenhuizen draaien, na de ransomware-aanval die het bedrijf op 7 april trof. De inspectie wil weten wat er is gebeurd, onder welke omstandigheden en wat de impact was.
Daarmee verschuift de aandacht van het incident zelf naar een principiële vraag die elke organisatie met een kritieke softwareleverancier raakt: houdt de toezichthouder straks de leverancier verantwoordelijk voor zijn beveiliging? De RDI beoordeelt niet of ChipSoft pech had, maar of de beveiliging op orde was toen het misging. Incidenten zijn niet altijd te voorkomen, maar de inspectie verwacht dat organisaties hun beveiligingsmaatregelen op orde hebben. Wie leunt op zo'n leverancier, kan er niet langer van uitgaan dat een aanval bij die partij louter diens probleem blijft.
Wat de RDI onderzoekt
Het onderzoek richt zich op het incident, de omstandigheden eromheen en de gevolgen voor de continuïteit van de zorg. ChipSoft valt als digitale dienstverlener onder de Wet beveiliging netwerk- en informatiesystemen (Wbni), de huidige Nederlandse invulling van de Europese netwerk- en informatiebeveiligingsregels. Die wet eist dat organisaties "passende en evenredige technische en organisatorische maatregelen" nemen om hun systemen te beschermen. De inspectie noemt geen einddatum voor het onderzoek en trekt vooralsnog geen conclusies over eventuele sancties.
Het gaat dus niet om een boete-procedure, maar om een reconstructie: had een leverancier van deze omvang de beveiliging op het vereiste niveau, en wat leert dat over de weerbaarheid van de bredere zorgketen? Voor een sector die grotendeels op één epd-platform draait, is dat een zwaarwegende vraag.
De aanval van 7 april
De aanval werd op 7 april 2026 bekend en legde meerdere ChipSoft-diensten voor langere tijd plat, waaronder het Zorgportaal, HiX Mobile en het Zorgplatform. ChipSoft levert het epd HiX, dat ruim 70 procent van de Nederlandse ziekenhuizen gebruikt, plus een deel van de huisartsen. Digitale sleutels en beheerdersaccounts waren geraakt; het bedrijf adviseerde klanten om cryptografische sleutels te vervangen en beheerderswachtwoorden te resetten. Meer dan tien ziekenhuizen haalden hun patiëntportalen tijdelijk offline.
De hackersgroep Embargo claimde honderd gigabyte aan buitgemaakte gegevens, waaronder medische data. ChipSoft meldde twee dagen na de aanval dat persoonsgegevens waarschijnlijk niet betrokken waren en noemt de bescherming van klantgegevens "altijd de hoogste prioriteit". Kritieke zorgprocessen bleven overeind: de verstoring leverde vooral logistieke problemen op, geen directe uitval van acute zorg.
Van incident naar ketenverantwoordelijkheid
Het onderzoek komt op een gevoelig moment. Onder de huidige Wbni valt nog ongeveer duizend organisaties onder direct cybertoezicht, maar dat aantal groeit fors. De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, is definitief per 15 augustus 2026 van kracht voor ruim 8.000 organisaties en legt expliciete eisen op aan de beveiliging in de keten. Ook een leverancier die zichzelf "niet kritiek" waant, kan via de eisen van zijn grote klanten alsnog onder die lat komen.
Het is dezelfde inspectie die eerder organisaties waarschuwde dat de overstap naar quantumveilige cryptografie jaren kost en aandrong op harde vragen aan leveranciers over hun beveiligingsplannen. De rode draad: de RDI verschuift van adviseren naar toetsen, en de beveiliging van je leverancier wordt een controleerbaar feit in plaats van een kwestie van vertrouwen.
Voor een zorginstelling die HiX draait verandert er op korte termijn weinig aan de systemen zelf. Wat verandert is de verantwoording. Een aanval bij je softwareleverancier is straks ook een vraag aan jou: wist je hoe die leverancier zijn beveiliging had ingericht, en kon je dat aantonen? Het ChipSoft-onderzoek is de eerste zichtbare test van hoe streng de RDI die ketenverantwoordelijkheid gaat invullen, en de uitkomst zet de norm voor iedereen die op een dominante digitale leverancier leunt.
Veelgestelde vragen
Grip op je leveranciersrisico
Als je op één kritieke softwareleverancier leunt, wil je kunnen aantonen dat je data en koppelingen op orde zijn. Ik help je van in kaart brengen tot inrichten: veilige integraties en een eigen actuele waarheid over je systemen, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
