Op dinsdag 7 april heeft softwareleverancier ChipSoft gemeld dat het bedrijf is getroffen door gijzelware. ChipSoft zou daarop de eigen omgeving hebben geïsoleerd. Expertisecentrum Z-CERT adviseert zorgorganisaties de vpn-verbinding met ChipSoft te verbreken. De getroffen software betreft HiX on premise, HiX SaaS en SaaS Patiëntenportaal, gehost via ChipSoft. Ook zou de cloud-omgeving voor huisartsen zijn geraakt.
Offline gehaald
ChipSoft levert het epd aan ruim 70 procent van de ziekenhuizen en is daarmee cruciaal voor hun functioneren. Op advies van Z-CERT heeft Isala de verbindingen naar ChipSoft dichtgezet. Op dit moment heeft Isala geen reden om aan te nemen dat patiëntgegevens binnen Isala geraakt zijn. “Voor patiënten is er geen hinder. Zij kunnen gewoon gebruik maken van applicaties als BeterDichtbij en Luscii. Ook MijnIsala is gewoon te gebruiken”, reageert het Zwolse ziekenhuis. Ook het Wilhelmina Ziekenhuis Assen (WZA) heeft uit voorzorg een aantal verbindingen met Chipsoft uitgezet. Intern blijven de patiëntendossiers volledig toegankelijk. Patiënten hebben volgens het WZA ook nog steeds veilig toegang tot hun digitale dossier via MijnWZA.
Bravis heeft uit voorzorg diverse systemen offline gehaald, zoals MijnBravis en de HiX Patiënt App. Hierdoor kunnen patiënten het eigen dossier momenteel online niet inzien. Voor patiënten is het niet mogelijk om online zelf afspraken te maken of te verzetten. “De zorgverlening kan gewoon doorgang vinden. Voor zover bekend zijn er geen persoonsgegevens buitgemaakt”, aldus het Brabantse ziekenhuis.
Het Slingeland Ziekenhuis in Doetinchem heeft voor de zekerheid “de verbindingen naar systemen van andere zorgverleners preventief afgesloten. Hierdoor is het tijdelijk niet mogelijk om digitale verwijzingen te versturen of dossiers van andere zorginstellingen digitaal te raadplegen.” Ziekenhuis Tergooi MC in Hilversum heeft de dienst voor patiënten, Mijn Tergooi, tijdelijk uitgezet. Ook de koppelingen met andere diensten, zoals Beter Dichtbij en de Gezondheidsmeter, zijn tijdelijk afgesloten. “We kunnen nog niet aangeven hoe lang dit gaat duren”, meldt het Tergooi.
Ouderwets aanmelden
Ook de patiëntenportalen van SGJ Weert en het Laurentius in Roermond zijn gesloten. De geplande afspraken gaan door, maar patiënten kunnen momenteel geen afspraken inplannen of hun dossier inzien. Omdat de aanmeldzuilen in allebei de ziekenhuizen niet in gebruik zijn, staan er vrijwilligers om mensen hun weg in het ziekenhuis te helpen vinden.
Om te voorkomen dat patiëntgegevens gestolen en gelekt worden, heeft het Adrz alle patiëntportalen offline gehaald. Een woordvoerder meldt Omroep Zeeland dat patiënten tijdelijk niet bij hun gegevens kunnen. Huisartsen kunnen hun patiënten tijdelijk niet digitaal doorverwijzen en ook verwijzingen vanuit het ziekenhuis moeten nu handmatig. De aanmeldzuilen in het ziekenhuis doen het ook niet, patiënten moeten zich ouderwets aanmelden bij de receptie. Bij het Dijklander Ziekenhuis moeten patiënten zich ook melden bij de balie van de betreffende poli.
Gegevensuitwisseling stilgelegd
Het OLVG heeft de uitwisseling van medische gegevens met andere ziekenhuizen die Chipsoft gebruiken tijdelijk stilgezet. De behandeling en afspraken gaan gewoon door. “Onze zorgverleners hebben alle informatie die nodig is voor uw zorg. Wij volgen de situatie en starten de uitwisseling weer zodra dit veilig is”, meldt het Amsterdamse ziekenhuis. Hoewel het Spaarne Gasthuis met Epic werkt, neemt ook dat Haarlemse ziekenhuis extra veiligheidsmaatregelen. Om het zekere voor het onzekere te nemen is er tijdelijk geen digitale gegevensuitwisseling mogelijk met ziekenhuizen die wel met Chipsoft werken.
Ook het Prinses Máxima Centrum voor kinderoncologie heeft een deel van het systeem uitgeschakeld. Daardoor is het tijdelijk niet mogelijk om medische documenten digitaal uit te wisselen met andere ziekenhuizen. “Ook kunnen wij op dit moment geen documenten van andere ziekenhuizen inzien.” Zorgverleners hebben soms daardoor extra tijd nodig om medische informatie op te vragen. “Wanneer dat nodig is, gebeurt dit telefonisch of via beveiligde e-mail, en altijd met toestemming vooraf.”
Spoedoverleg
Het Meander MC in Amersfoort en het Utrechtse Diakonessenhuis hebben woensdagochtend een spoedoverleg gevoerd na de hack. RTV Utrecht meldt dat de zorg bij het Diakonessenhuis en Meander MC gewoon doordraait en er geen storingen zijn. Wel is de patiëntenomgeving uit voorzorg gesloten. Voor dringende zaken kunnen patiënten telefonisch contact opnemen.
Het UMC Utrecht heeft dinsdag na de eerste signalen de directe verbinding met Chipsoft verbroken en alle vormen van toegang geblokkeerd, om de veiligheid van de systemen binnen het UMC Utrecht te waarborgen. De patiëntgegevens staan in de beveiligde omgeving van het UMC Utrecht en worden niet met Chipsoft gedeeld.
Veiliggesteld
Het Eindhovense Catharina Ziekenhuis meldt geen verstoringen in de systemen. “De zorg voor onze patiënten gaat gewoon door. Afspraken, behandelingen en opnames vinden daarom plaats zoals gepland.” VieCuri Medisch Centrum meldt dat de ransomeware-aanval geen gevolgen heeft voor haar patiënten. “Ons epd functioneert en onze afdeling ict monitort de situatie zorgvuldig.” Zuyderland gebruikt wel Chipsoft voor het epd, maar het patiëntenportaal draait bij een andere aanbieder en blijft in de lucht.
Bij het Jeroen Bosch Ziekenhuis (JBZ) heeft het incident momenteel ook geen gevolgen voor de zorg. “Afspraken, behandelingen en operaties gaan gewoon door en huisartsen kunnen patiënten blijven doorverwijzen.” Ook MijnJBZ en de HiX Patient App zijn gewoon beschikbaar. Nij Smellinghe in Drachten meldt dat de patiëntgegevens niet geraakt zijn. “De patiëntgegevens zijn veilig. Ook heeft deze aanval geen impact op onze patiëntenzorg. Wel hebben we een aantal interne en externe voorzorgsmaatregelen getroffen.” Het is daarom niet mogelijk om in Mijn Nij Smellinghe in te loggen en patiënten hebben tijdelijk geen inzage in hun patiëntdossier.
Bij Frisius MC locatie Heerenveen draait de software van ChipSoft op een afgesloten omgeving. Het incident heeft daarom geen gevolgen en het dossier is veilig in te zien via mijnTjongerschans. “Frisius MC Leeuwarden heeft een andere leverancier voor het elektronisch patiëntendossier en heeft daardoor geen hinder van het incident.” Ook Rijnstate meldt dat de patiëntgegevens en andere informatievoorzieningen zijn veiliggesteld. “Op dit moment ervaren wij geen verstoringen in ons systeem”, reageert Rijnstate. Het ziekenhuis heeft uit voorzorg een verbinding met systemen van huisartsen dichtgezet.
Geen verstoringen
Ziekenhuis Antoni van Leeuwenhoek in Amsterdam gebruikt de systemen van ChipSoft ook voor de dossiers van patiënten. “Op dit moment ervaren wij geen verstoringen in onze systemen en de zorg aan onze patiënten gaat gewoon door. Dit betekent dat alle afspraken, behandelingen en opnames doorgaan”, meldt het ziekenhuis dinsdagavond.
Het Rotterdamse ziekenhuis Franciscus is naar eigen zeggen niet getroffen. “De software van ChipSoft die wij gebruiken draait in een afgesloten en goed beveiligde omgeving”, laat de organisatie weten. “U kunt uw dossier nog steeds veilig bekijken via MijnFranciscus. Uw gegevens zijn veilig.” Volgens Ziekenhuisgroep Twente (ZGT) in Almelo en Hengelo zijn er geen aanwijzingen dat systemen daar zijn getroffen. (ANP/Skipr)
