ChipSoft, de grootste leverancier van elektronische patiëntendossiers (epd) in Nederland, is in april 2026 getroffen door een ransomware-aanval. Omdat ruim 70 procent van de Nederlandse ziekenhuizen met ChipSoft-software werkt, raakt dit incident miljoenen patiënten. In dit artikel leggen we uit wat er precies is gebeurd, welke gegevens mogelijk zijn gelekt en — het belangrijkste — wat je zelf kunt doen om je te beschermen.
Wat is er gebeurd bij ChipSoft?
Stap 1 van 3: welke handleiding zoek je? (je kunt hier starten)
📍 Stap 1 van 3: kies het type handleiding
Welk type handleiding zoek je?
Vul dit formulier in en we helpen je direct verder. Binnen 1 minuut geregeld.
We gebruiken je keuze om je direct naar de juiste uitleg of handleiding te leiden. Geen moeite, direct duidelijkheid.
Op dinsdag 7 april 2026 werd bekend dat ChipSoft, het bedrijf achter het veelgebruikte elektronisch patiëntendossier HiX, is aangevallen door hackers. Het gaat om een aanval met ransomware: kwaadaardige software die systemen versleutelt en losgeld eist. Z-CERT, het expertisecentrum voor cybersecurity in de zorg, informeerde zorginstellingen hierover in een vertrouwelijk bericht.
ChipSoft bevestigde dat er sprake was van een “data-incident” met “mogelijke ongeautoriseerde toegang”. De website van het bedrijf ging uit de lucht en was de hele dag onbereikbaar. Het bedrijf verklaarde aan klanten dat het “alle redelijke middelen” inzet om “eventuele nadelige gevolgen te beperken”.
Welke systemen zijn getroffen?
De ransomware-aanval trof meerdere onderdelen van het ChipSoft-ecosysteem:
- HiX on premise — de lokaal geïnstalleerde versie van het elektronisch patiëntendossier
- HiX SaaS — de cloudversie die door steeds meer ziekenhuizen wordt gebruikt
- SaaS Patiëntenportaal — het portaal waarmee patiënten hun eigen medische gegevens kunnen inzien
- Cloud-omgeving voor huisartsen — het systeem waarmee huisartsenpraktijken werken
HiX is het systeem waarin ziekenhuizen medische dossiers, afspraken en behandelplannen bijhouden. Aangezien ruim 70 procent van de Nederlandse ziekenhuizen met ChipSoft werkt, heeft dit incident een enorme potentiële impact op de Nederlandse gezondheidszorg.
Welke ziekenhuizen zijn getroffen?
Niet alle ziekenhuizen waren in dezelfde mate getroffen. Elf ziekenhuizen besloten hun patiëntportalen uit voorzorg offline te halen. Zo zette Tergooi MC in Hilversum de dienst Mijn Tergooi tijdelijk uit, evenals koppelingen met andere diensten zoals Beter Dichtbij en de Gezondheidsmeter.
Verschillende andere ziekenhuizen meldden juist dat hun patiëntgegevens veilig waren. Frisius MC in Heerenveen gaf aan dat hun epd draait in een afgeschermde digitale omgeving, los van de systemen van ChipSoft. Het Antoni van Leeuwenhoek ziekenhuis meldde geen verstoringen en de zorg ging daar normaal door. Ook Rijnstate en Franciscus gaven aan niet direct getroffen te zijn.
Welke gegevens zijn mogelijk gelekt?
ChipSoft heeft bevestigd dat het bedrijf niet kan uitsluiten dat persoonsgegevens zijn ingezien of gestolen. De aanvallers hebben mogelijk toegang gekregen tot de webkoppeling tussen patiëntendossiers en het internet — dezelfde verbinding die patiënten gebruiken om hun eigen gegevens in te zien via het patiëntenportaal.
Hoewel de exacte omvang van het datalek nog niet volledig in kaart is gebracht, gaat het potentieel om zeer gevoelige medische gegevens:
- Persoonlijke identificatiegegevens — naam, adres, geboortedatum, BSN-nummer
- Medische dossiers — diagnoses, behandelplannen, operatieverslagen
- Medicatiegegevens — voorgeschreven medicijnen en doseringen
- Afspraakgegevens — geplande en eerdere ziekenhuisbezoeken
- Lab- en onderzoeksresultaten — bloedwaarden, scans, pathologierapporten
- Contactgegevens — telefoonnummers, e-mailadressen, contactpersonen
Medische gegevens behoren tot de meest gevoelige categorie persoonsgegevens. Ze kunnen worden misbruikt voor identiteitsfraude, gerichte phishing-aanvallen of zelfs chantage. Daarom is het belangrijk dat je als patiënt nu actie onderneemt.
Wat moet je doen als je zorggegevens mogelijk gelekt zijn?
Als je in de afgelopen jaren behandeld bent in een Nederlands ziekenhuis, is de kans groot dat jouw gegevens in een ChipSoft-systeem staan. Hieronder vind je een stap-voor-stap plan om jezelf te beschermen.
Stap 1: Wijzig je wachtwoorden direct
Begin met het wijzigen van je wachtwoorden, vooral voor accounts die gekoppeld zijn aan je zorggegevens:
- Patiëntenportaal van je ziekenhuis (bijv. Mijn Tergooi, MijnRijnstate)
- DigiD — je digitale identiteit voor overheidsdiensten en zorg
- Zorgverzekering — je account bij je zorgverzekeraar
- E-mailaccount dat gekoppeld is aan bovenstaande diensten
Gebruik voor elk account een uniek, sterk wachtwoord van minimaal 12 tekens met hoofdletters, kleine letters, cijfers en speciale tekens. Overweeg het gebruik van een wachtwoordmanager om al je wachtwoorden veilig te beheren.
Stap 2: Schakel tweefactorauthenticatie (2FA) in
Een sterk wachtwoord alleen is niet genoeg. Schakel overal waar mogelijk tweefactorauthenticatie (2FA) in. Dit zorgt ervoor dat er naast je wachtwoord ook een tweede verificatie nodig is, bijvoorbeeld een code via een authenticator-app op je telefoon.
Zorg dat je 2FA in elk geval activeert voor:
- Je DigiD-account (via de DigiD-app of sms-verificatie)
- Je e-mailaccount
- Je zorgverzekeringsportaal
- Je bankrekening (als dat nog niet het geval is)
Stap 3: Wees extra alert op phishing
Na een datalek in de zorgsector neemt het risico op gerichte phishing-aanvallen fors toe. Criminelen gebruiken gestolen gegevens om geloofwaardige nep-e-mails en sms-berichten te versturen. Let op deze waarschuwingssignalen:
- E-mails die zogenaamd van je ziekenhuis of huisarts komen met het verzoek om gegevens te verifiëren
- Sms-berichten met links naar “het patiëntenportaal” die je naar een nepwebsite leiden
- Telefoontjes van iemand die zich voordoet als medewerker van je zorginstelling
- Brieven per post met een verzoek om je DigiD-gegevens te bevestigen
Onthoud: je ziekenhuis, huisarts of zorgverzekeraar zal je nooit vragen om je wachtwoord, DigiD-inloggegevens of bankgegevens te delen via e-mail, sms of telefoon. Lees ook onze uitgebreide handleiding over hoe je phishing herkent en voorkomt.
Stap 4: Controleer je financiële gegevens
Gestolen persoonsgegevens worden soms gebruikt voor financiële fraude. Neem de volgende maatregelen:
- Controleer je bankafschriften op onbekende transacties
- Vraag een overzicht op bij het BKR (Bureau Krediet Registratie) om te controleren of er geen leningen op jouw naam zijn afgesloten
- Stel transactienotificaties in bij je bank, zodat je direct een melding krijgt bij elke betaling
Stap 5: Meld (vermoedelijke) identiteitsfraude
Als je vermoedt dat je gegevens misbruikt worden, onderneem dan direct actie:
- Meldpunt Identiteitsfraude — bel 0900-1362 of ga naar identiteitsfraude.nl voor hulp en advies
- Autoriteit Persoonsgegevens (AP) — meld het datalek via autoriteitpersoonsgegevens.nl
- Doe aangifte bij de politie als je daadwerkelijk slachtoffer bent van fraude
- Neem contact op met je zorginstelling om te vragen welke van jouw gegevens precies zijn getroffen
Stap 6: Overweeg een preventieve kredietwaarschuwing
In Nederland kun je bij het BKR een aantekening laten plaatsen dat je slachtoffer bent (of mogelijk slachtoffer bent) van identiteitsfraude. Kredietverstrekkers die een BKR-toets doen, zien dan dat er extra voorzichtigheid geboden is bij aanvragen op jouw naam. Dit maakt het moeilijker voor criminelen om leningen of kredieten af te sluiten met jouw gegevens.
Hoe bescherm je jezelf tegen datalekken in de toekomst?
Je kunt niet voorkomen dat bedrijven en instellingen gehackt worden, maar je kunt wel stappen nemen om de schade te beperken als het gebeurt. Dit soort incidenten komt steeds vaker voor — denk ook aan de recente hack bij het Ministerie van Financiën.
Gebruik een wachtwoordmanager
Een wachtwoordmanager genereert en onthoudt sterke, unieke wachtwoorden voor al je accounts. Zo hoef je zelf maar één hoofdwachtwoord te onthouden. Als één account wordt gecompromitteerd, blijven al je andere accounts veilig. In onze handleiding lees je hoe je een wachtwoordmanager instelt.
Deel zo min mogelijk gegevens
Geef alleen de strikt noodzakelijke informatie wanneer je gevraagd wordt om persoonsgegevens in te vullen. Hoe minder gegevens er in systemen staan, hoe minder er gelekt kan worden. Check ook regelmatig je privacy-instellingen op je telefoon om te zien welke apps toegang hebben tot gevoelige informatie.
Houd software en apparaten up-to-date
Zorg dat je telefoon, computer en apps altijd de nieuwste beveiligingsupdates hebben. Veel hacks maken gebruik van bekende kwetsbaarheden waarvoor al lang een patch beschikbaar is. Stel automatische updates in waar mogelijk.
Controleer regelmatig je accounts
Maak er een gewoonte van om je financiële overzichten, DigiD-logingeschiedenis en e-mailactiviteit te controleren. Hoe eerder je ongebruikelijke activiteit opmerkt, hoe sneller je kunt ingrijpen.
Overweeg passkeys voor extra beveiliging
Passkeys zijn de nieuwste ontwikkeling in online beveiliging. Ze vervangen wachtwoorden volledig en zijn bestand tegen phishing. Steeds meer diensten ondersteunen passkeys. Lees onze handleiding over passkeys instellen voor meer informatie.
Wat doet de overheid na het ChipSoft-incident?
Het Nationaal Cyber Security Centrum (NCSC) en Z-CERT, het expertisecentrum voor cybersecurity in de zorg, zijn direct betrokken bij de afhandeling van het incident. Z-CERT adviseerde zorginstellingen om hun VPN-verbindingen met ChipSoft te verbreken en had eerder al gewaarschuwd dat organisaties een “digitaal noodpakket” moeten samenstellen voor het geval kritieke systemen uitvallen.
Onder de Algemene Verordening Gegevensbescherming (AVG) is ChipSoft als verwerker verplicht om het datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. De zorginstellingen die als verwerkingsverantwoordelijken optreden, moeten op hun beurt beoordelen of zij getroffen patiënten individueel moeten informeren.
De Autoriteit Persoonsgegevens kan onderzoek instellen en bij overtredingen boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van het bedrijf.
De lessen van de ChipSoft-hack voor de Nederlandse zorg
De aanval op ChipSoft legt een fundamentele kwetsbaarheid bloot in de Nederlandse zorgsector. Wanneer één leverancier de markt zo sterk domineert — meer dan 70 procent van de ziekenhuizen is afhankelijk van HiX — wordt een hack bij die ene leverancier meteen een nationaal probleem.
De ziekenhuizen die het minst getroffen waren, bleken hun systemen in afgeschermde omgevingen te draaien, los van de netwerken van ChipSoft. Dit bewijst het belang van het scheiden van systemen en het niet blind vertrouwen op de beveiliging van externe leveranciers.
Voor patiënten is de belangrijkste les dat medische gegevens net zo kwetsbaar zijn als financiële gegevens — en dat je dus dezelfde voorzorgsmaatregelen moet nemen. Sterke wachtwoorden, tweefactorauthenticatie en waakzaamheid tegen phishing zijn niet optioneel maar noodzakelijk.
Veelgestelde vragen over de ChipSoft-hack
Zijn mijn medische gegevens gestolen bij de ChipSoft-hack?
ChipSoft heeft bevestigd dat het niet kan uitsluiten dat persoonsgegevens zijn ingezien of gestolen. Als je patiënt bent bij een ziekenhuis dat HiX gebruikt (ruim 70 procent van de Nederlandse ziekenhuizen), bestaat de mogelijkheid dat jouw gegevens zijn getroffen. Neem contact op met je ziekenhuis voor specifieke informatie over jouw situatie.
Wat is HiX en waarom is het zo belangrijk?
HiX is het elektronisch patiëntendossier (epd) van ChipSoft. Het is de software waarin ziekenhuizen je medische dossier bijhouden, inclusief diagnoses, behandelplannen, medicatie en afspraken. Meer dan 70 procent van de Nederlandse ziekenhuizen gebruikt dit systeem, wat ChipSoft de grootste speler maakt op de Nederlandse markt voor zorginformatiesystemen.
Kan ik zien of mijn gegevens gelekt zijn?
Op dit moment is er geen publiek beschikbare tool waarmee je kunt controleren of jouw specifieke gegevens zijn gelekt bij dit incident. Je ziekenhuis is verplicht je te informeren als jouw gegevens zijn getroffen en er een hoog risico is voor je rechten en vrijheden. Neem bij twijfel zelf contact op met de afdeling patiëntenvoorlichting van je ziekenhuis.
Moet ik mijn DigiD-wachtwoord wijzigen?
Ja, het is verstandig om je DigiD-wachtwoord te wijzigen, vooral als je DigiD hebt gebruikt om in te loggen op het patiëntenportaal van je ziekenhuis. Activeer ook de extra beveiligingslaag via de DigiD-app als je dat nog niet hebt gedaan. Zo voorkom je dat iemand met gestolen gegevens toegang krijgt tot je DigiD.
Wat is ransomware en hoe werkt het?
Ransomware is kwaadaardige software die bestanden en systemen versleutelt, waardoor de eigenaar er geen toegang meer toe heeft. De aanvallers eisen vervolgens losgeld (ransom) in ruil voor de sleutel om de bestanden te ontsleutelen. Bij moderne aanvallen stelen hackers vaak ook data vóórdat ze versleutelen, zodat ze dubbel druk kunnen uitoefenen: betaal of we publiceren de gestolen gegevens.
Zijn huisartsenpraktijken ook getroffen?
Ja, naast de ziekenhuissystemen is ook de cloud-omgeving voor huisartsen getroffen. Als je huisarts gebruikmaakt van ChipSoft-software, kunnen ook gegevens uit je huisartsendossier getroffen zijn. Neem contact op met je huisartsenpraktijk om na te vragen of zij gebruikmaken van ChipSoft-systemen en wat de impact voor jou is.
Waar kan ik een datalek melden?
Als je vermoedt dat jouw gegevens zijn misbruikt, kun je terecht bij het Meldpunt Identiteitsfraude (0900-1362), de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) en de politie. Je zorginstelling is daarnaast wettelijk verplicht om het datalek zelf te melden bij de Autoriteit Persoonsgegevens als er sprake is van een risico voor jouw rechten en vrijheden.
