nieuwsbriefNRC Voorkennis
NRC Voorkennis Softwareleverancier Chipsoft houdt niet zo van aandacht, maar staat door een hack volop in de publieke belangstelling. Uit forensisch onderzoek is gebleken dat patiëntendata van een groot aantal zorginstellingen die met de software van Chipsoft werken, zijn gelekt. Hoe gaat het bedrijf hiermee om?
Het leek op 24 maart nog wel zo mooi. In de Utrechtse evenementenhal DeFabrique vierde Chipsoft, de grootste softwareleverancier aan de Nederlandse zorg, zijn veertigjarige bestaan. „Elke klant is aanwezig,” klonk het vooraf in een ronkend filmpje, en ook de beelden na afloop ademden een en al positiviteit en succes.
Dit is een ingekorte versie van de NRC Voorkennis-nieuwsbrief. Twee keer per week schrijft de economieredactie van NRC daarin over economische ontwikkelingen die op de redactievloer tot opwinding leiden. Inschrijven (voor Plus-abonnees) doe je hier:
Inschrijven voor NRC Voorkennis
Meer dan 1.300 aanwezigen vierden de verjaardag van het bedrijf, dat sinds de oprichting in 1986 wist uit te groeien tot een cruciale schakel in de zorgketen. Een dag „in het teken van verbinden met elkaar”.
Drie weken later is die verbinding juist een probleem gebleken. Chipsoft werd op 7 april getroffen door een ransomware-aanval, waarbij hackers zich toegang wisten te verschaffen tot de systemen. Omdat 70 procent van de ziekenhuizen gebruikmaakt van de software van Chipsoft voor onder meer het beheren van elektronische patiëntendossiers en het onderling doorverwijzen van patiënten, raakte die hack een groot deel van de Nederlandse zorg.
Deze week moet meer duidelijk worden over welke zorginstellingen door de hack bij Chipsoft precies geraakt zijn, en welke niet. Aanvankelijk leek het erop dat de digitale inbrekers geen data van patiënten hadden buitgemaakt, maar afgelopen donderdag bleek dat toch wel gebeurd.
„Forensisch onderzoek heeft inmiddels uitgewezen dat deze criminelen daadwerkelijk persoonsgegevens van patiënten, waaronder medische gegevens, van enkele Nederlandse zorginstellingen hebben ontvreemd,” schreef Chipsoft op de eigen site. Chipsoft zei afgelopen vrijdag nog bezig te zijn alle betrokken zorginstellingen te informeren.
Het kabinet maant de softwareleverancier daarbij tot snelheid: „ChipSoft moet alles uit de kast halen om dit verder snel en zorgvuldig te onderzoeken”, zei minister Mirjam Sterk (Langdurige Zorg, Jeugd en Sport, CDA) tegen RTL Nieuws. „Dit is een hele ernstige zaak. Patiënten moeten kunnen vertrouwen dat hun gegevens veilig zijn.” Uit voorzorg zijn systemen waarmee gegevens tussen instellingen worden uitgewisseld voorlopig uitgeschakeld.
Economieredacteuren nemen je mee in de discussies die zij op de redactie voeren over actuele ontwikkelingen
Vanuit Chipsoft zelf blijft het tot nu toe behoorlijk stil. Dat er bij de hack mogelijk toch gegevens van patiënten gestolen zijn, bevestigde het bedrijf pas anderhalve dag nadat de NOS hierover berichtte. Oprichter Gerrit Mulder (82) en zijn zoon, huidig ceo Hans Mulder (60), gaven nog nergens een publieke verklaring over de inbraak.
Op zich is dat niet verrassend, want de leiders van het familiebedrijf geven vrijwel nooit interviews. Het familiebedrijf is notoir gesloten: zo is er geen raad van commissarissen en vermelden jaarverslagen alleen het hoognodige. Over de achtergrond van Chipsoft is daarom nog altijd niet veel meer bekend dan wat mijn collega Liza van Lonkhuyzen vier jaar geleden in dit verhaal opschreef: Gerrit Mulder ergerde zich in de jaren tachtig als chirurg in het BovenIJ-ziekenhuis in Amsterdam-Noord aan de grote hoeveelheid papierwerk die hij moest verstouwen, en besloot met een eigen bedrijfje een digitaal systeem te gaan bouwen.
Met hulp van Chipsoft verving daarna de ene na de andere zorginstelling zijn oude kaartenbak met patiëntgegevens door een elektronisch patiëntendossier. Inmiddels zijn 55 van de 75 Nederlandse ziekenhuizen klant, evenals een groot aantal huisartsen, ggz-instellingen, verpleeghuizen en revalidatiecentra. Behalve de software voor het patiëntendossier levert Chipsoft aan veel klanten ook planningssystemen voor het personeel en het systeem waarmee patiënten verwezen kunnen worden naar een andere zorgverlener.
Het bedrijf is in de sector niet onomstreden: er klinkt al jaren kritiek op de werkwijze van Chipsoft, dat hoge prijzen rekent aan instellingen die in feite afhankelijk zijn van de software. Terwijl ziekenhuizen winstmarges van minder dan 2 procent maken, noteerde Chipsoft in 2024 een marge van 38 procent. Van een omzet van 174 miljoen euro bleef dat jaar 66 miljoen euro als winst over; de eigenaren keerden zichzelf 80 miljoen dividend uit. Zakenblad Quote schat het totale vermogen van vader en zoon Mulder op 900 miljoen euro.
In 2023 probeerde Chipsoft een rapport van de Autoriteit Consument en Markt, met daarin kritiek op de werkwijze, via de rechter tegen te houden – zonder succes. Extra pijnlijk dus dat het bedrijf nu aan een deel van zijn klanten moet uitleggen dat er mogelijk gevoelige medische data van patiënten in handen van criminelen is gekomen.
De reeks getroffen instellingen breidde zich voor het weekeinde snel uit: onder andere het Oogziekenhuis Rotterdam, tbs-klinieken van De Forensische Zorgspecialisten, revalidatiecentra Rijndam en Basalt en de Brabantse huisartsenorganisatie Fonkelzorg meldden dat patiëntgegevens betrokken zijn bij de hack. Onder andere het Leidse ziekenhuis LUMC en TergooiMC in Hilversum zeggen niet geraakt te zijn. Chipsoft zelf zegt nog geen verdere mededelingen te kunnen doen, omdat het forensisch onderzoek naar de hack nog loopt.
Maakt u zich zorgen over de hack, of bent u geïnformeerd dat uw gegevens mogelijk in handen van criminelen zijn gevallen? Deel uw informatie en gedachten via stefan.vermeulen@nrc.nl