ChipSoft maakte vorige week dinsdag bekend dat het bedrijf is getroffen door een ransomware-aanval. De leverancier besloot de eigen digitale omgeving te isoleren. ChipSoft levert het epd aan ruim 70 procent van de ziekenhuizen en is daarmee cruciaal voor hun functioneren.
Nog veel onbekend
Verschillende ziekenhuizen haalden uit voorzorg hun patiëntportalen offline. De impact bleef niet beperkt tot zorgorganisaties die rechtstreeks met ChipSoft werken. Ook ziekenhuizen en andere zorginstellingen die samenwerken met ChipSoft-klanten of patiënten naar hen verwijzen, moesten maatregelen nemen. De Autoriteit Persoonsgegevens ontving in korte tijd tientallen meldingen van mogelijke datalekken als gevolg van de aanval.
Over de oorzaak en de omvang van de aanval is nog altijd weinig bekend. Het onderzoek loopt en ChipSoft zegt geen details te kunnen delen over wat precies is gehackt, door wie en wanneer. Daardoor blijft ook onduidelijk of patiëntgegevens daadwerkelijk zijn buitgemaakt, gelekt of vergrendeld. Op de vraag of de hackers losgeld eisen voor gegijzelde data, geeft het bedrijf geen antwoord.
Strengere eisen
De aanhoudende onzekerheid vormt voor de D66 aanleiding om het kabinet om opheldering te vragen. D66-Kamerleden Marc Vervuurt en Sarah El Boujdaini stelden afgelopen donderdag vragen aan VWS-minister Sophie Hermans en staatssecretaris Willemijn Aerdts van Digitale Economie en Soevereiniteit. Zij willen weten welke gevolgen de hack heeft en hoe de bewindspersonen kijken naar de sterke afhankelijkheid van een klein aantal commerciële ict-leveranciers. Ook vragen zij welke eisen momenteel gelden voor leveranciers van kritieke zorgsoftware en of de hack aanleiding geeft om die eisen aan te scherpen en te vertalen naar nieuw beleid.
Een dag later volgden Kamervragen van GroenLinks-PvdA. Kamerleden Julian Bushoff en Barbara Kathmann richtten zich tot staatssecretaris Aerdts en Mirjam Sterk, minister van Langdurige Zorg, Jeugd en Sport. Zij vragen om een duiding van de ernst van de aanval en de gevolgen voor de zorg. Daarbij wijzen zij op de uiteenlopende veiligheidsmaatregelen van ziekenhuizen. De Kamerleden willen weten welke aanpak de meeste weerbaarheid biedt en welke rol de overheid speelt bij de afhandeling van het incident. Net als D66 plaatst GroenLinks-PvdA vraagtekens bij de eisen die worden gesteld aan leveranciers van cruciale zorg-ict.
Marktdominantie
Ook stellen Bushoff en Kathmann vragen over de beschikbaarheid van alternatieve software voor zorgverleners en over de algehele staat van de digitale weerbaarheid in de zorg. “Deelt u de opvatting dat dit geen incident is, maar een symptoom van te grote afhankelijkheid van een paar dominante leveranciers in de zorg, waarbij een incident bij één leverancier meteen een nationale zorgvraag wordt?”, aldus de indieners.
Bushoff en Kathmann vragen de bewindspersonen verder welke maatregelen zij nemen om marktdominantie tegen te gaan, welke structurele problemen de hack blootlegt en wie er aan zet is om deze op te lossen. Tot slot willen zij weten hoe de cyberveiligheid en weerbaarheid van zorginstellingen structureel kan worden versterkt en welke rol de Cyberbeveiligingswet daarin zal spelen, zodra deze is aangenomen.
Lees ook op Zorgvisie: ZCERT: zorgorganisaties moeten een digitaal noodpakket hebben
