Kamervragen over ransomware-aanval op EPD-leverancier ChipSoft

In dit artikel:

Een ransomware-aanval op EPD-leverancier ChipSoft heeft meerdere Nederlandse ziekenhuizen doen besluiten patiën tportalen tijdelijk offline te halen. Z-CERT, het nationaal Computer Emergency Response Team voor de zorg, riep instellingen op ChipSoft-systemen te controleren op afwijkend netwerkverkeer. ChipSoft, dat naar schatting ongeveer zeventig procent van de Nederlandse ziekenhuizen van EPD-software voorziet, schakelde na de aanval verbindingen met meerdere platforms uit en probeert sommige diensten weer op gang te krijgen met nieuwe sleutels.

De Autoriteit Persoonsgegevens heeft inmiddels 23 datalekmeldingen ontvangen die verband houden met de kwestie. Naar aanleiding van de aanval hebben D66-Kamerleden Vervuurt en El Boujdaini minister Ernst Kuipers? — nee: minister Hermans van Volksgezondheid schriftelijke vragen gesteld. Ze willen weten of de aanval de continuïteit van zorg heeft bedreigd en of er aanwijzingen zijn dat patiëntgegevens zijn buitgemaakt. Verder vragen zij aandacht voor de risico’s van grote afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT.

De Kamerleden verzoeken duidelijkheid over de huidige eisen aan zorg-IT-leveranciers op het vlak van cybersecurity, weerbaarheid en continuïteit, en of aanvullende verplichtingen nodig zijn (zoals eisen aan redundantie, interoperabiliteit of exit‑strategieën) om zorginstellingen minder kwetsbaar te maken. Ook vragen zij of er stappen worden gezet om single points of failure in de digitale zorginfrastructuur te verminderen. Minister Hermans heeft drie weken om te reageren.

Context: de aanval benadrukt de hoge concentratie van marktpositie bij één leverancier en de mogelijke impact daarvan op patiëntenzorg en privacy. Regulering of aangescherpte eisen kunnen volgen om de weerbaarheid van vitale zorgsystemen te vergroten.