Begin hier: jouw handleiding in 3 simpele stappen
Op 7 april 2026 werd zorgsoftwarebedrijf ChipSoft getroffen door een ransomware-aanval. ChipSoft levert het elektronisch patiëntendossier HiX aan 55 van de 75 Nederlandse ziekenhuizen. Daardoor raakten duizenden patiënten en tientallen zorgorganisaties direct of indirect getroffen. Dit artikel legt stap voor stap uit wat er is gebeurd, welke gegevens zijn gestolen en — het belangrijkste — wat jij nu concreet moet doen.
📘 Vind jouw handleiding in 3 simpele stappen
- Type
- Apparaat
- Vraag
- Resultaat
Wat voor handleiding zoek je?
ℹ️ Vul dit formulier in en wij helpen je direct verder. Binnen 1 minuut geregeld.
⬆️ Vul dit formulier in en wij helpen je direct verder. Binnen 1 minuut geregeld.
🔍 We gebruiken jouw keuze om je direct naar de juiste uitleg of handleiding te sturen. Geen gedoe, direct duidelijkheid.
- Wat is ChipSoft en waarom is dit zo ingrijpend?
- Tijdlijn: wat is er precies gebeurd?
- Welke gegevens zijn gestolen?
- Welke zorgorganisaties zijn getroffen?
- Stap voor stap: wat moet jij nu doen?
- Wat heeft ChipSoft zelf gedaan?
- Veelgemaakte fouten bij datalekken in de zorg
- Wat als je geen brief krijgt maar toch ongerust bent?
- Bredere les: hoe kwetsbaar is de Nederlandse zorgsector voor cyberaanvallen?
- Rechten als patiënt na een datalek
- Checklist: direct actiepunten op een rij
- Veelgestelde vragen
Wat is ChipSoft en waarom is dit zo ingrijpend?
ChipSoft is een Nederlands softwarebedrijf dat het EPD-systeem HiX ontwikkelt en onderhoudt. Een EPD (elektronisch patiëntendossier) bevat medische dossiers: diagnoses, medicatie, labresultaten en contactmomenten met zorgverleners. ChipSoft levert dit systeem aan de meerderheid van Nederlandse ziekenhuizen, maar ook aan tbs-klinieken, revalidatiecentra, ggz-instellingen en huisartsenpraktijken.
Doordat zoveel zorgorganisaties van dezelfde software afhankelijk zijn, had deze aanval een bijzonder grote reikwijdte. Een aanval op ChipSoft raakt niet één ziekenhuis, maar tientallen zorginstellingen tegelijk.
Tijdlijn: wat is er precies gebeurd?
Een overzicht van de belangrijkste momenten:
- 7 april 2026 — Ransomware-aanval op ChipSoft-systemen. Ziekenhuizen halen patiëntportalen offline als voorzorgsmaatregel. ChipSoft meldt aanvankelijk dat patiëntgegevens veilig zijn.
- Mid-april 2026 — Nieuwe informatie: het lekken van ziekenhuisdata kan toch niet worden uitgesloten. ChipSoft herziet de eerdere verklaring.
- Circa 22 april 2026 — Hackergroep Embargo claimt verantwoordelijkheid en dreigt met publicatie van circa 100 gigabyte gestolen data op het darkweb.
- 23 april 2026 — NOS en andere media bevestigen dat patiëntgegevens daadwerkelijk zijn buitgemaakt. Zorgorganisaties melden diefstal van zowel persoonsgegevens als medische gegevens bij hun patiënten.
- 21 april 2026 — De minister van VWS stuurt een Kamerbrief over de hack.
- 28 april 2026 — ChipSoft meldt op de eigen website dat de gestolen data inmiddels is vernietigd, na onderhandelingen met de hackers en bevestiging door cybersecurity-experts.
Welke gegevens zijn gestolen?
Uit de berichtgeving van april 2026 blijkt dat het gaat om twee soorten gegevens:
- Persoonsgegevens: voor- en achternaam, geboortedatum en mogelijk contactgegevens.
- Medische gegevens: bij een deel van de getroffen zorgorganisaties zijn ook inhoudelijke medische dossiers buitgemaakt. Het gaat hier om gegevens van ongeveer zesduizend patiënten.
De getroffen systemen waren HiX on-premise, HiX SaaS en het via ChipSoft gehoste SaaS Patiëntenportaal. Organisaties die gebruikmaken van eigen servers (on-premise) zonder koppeling met de ChipSoft-cloud hadden minder risico op directe gegevensdiefstal, maar moesten hun patiëntportalen alsnog offline halen.
Welke zorgorganisaties zijn getroffen?
Niet alle 55 ziekenhuizen zijn in gelijke mate geraakt. De bevestigde slachtoffers zijn onder meer:
- Meerdere huisartsenpraktijken
- TBS-klinieken (forensische zorg)
- Revalidatieklinieken
- Het Oogziekenhuis Rotterdam
- Diverse kleinere gespecialiseerde klinieken
Grote academische ziekenhuizen als het AMC en het Erasmus MC gebruiken weliswaar HiX, maar draaien dit vaak op eigen infrastructuur. Of jouw ziekenhuis geraakt is, kun je het beste navragen bij de instelling zelf of controleren via hun website.
Stap voor stap: wat moet jij nu doen?
Of je nu zeker weet dat jouw gegevens zijn gestolen of alleen maar wil weten wat je voorzorgsmaatregelen kunt nemen: volg deze stappen.
-
Controleer of jouw zorgaanbieder getroffen is
Zoek op de website van je ziekenhuis, huisartsenpraktijk of kliniek naar berichten over de ChipSoft-hack. Veel instellingen hebben een specifieke pagina aangemaakt met updates. Ben je klant van een tbs-kliniek of revalidatiecentrum? Bel dan rechtstreeks voor bevestiging. -
Wacht op een officieel bericht van je zorgaanbieder
Als jouw gegevens zijn gestolen, is je zorgaanbieder wettelijk verplicht je hiervan op de hoogte te stellen (AVG, artikel 34). Je ontvangt dan een brief of e-mail met uitleg over welke gegevens zijn gestolen en wat je kunt doen. -
Wijzig je DigiD-wachtwoord
Als je DigiD hebt gebruikt om in te loggen op het patiëntportaal van je zorgaanbieder, is het verstandig je DigiD-wachtwoord direct te wijzigen. Ga naar mijn.digid.nl en kies voor “Wachtwoord wijzigen”. -
Activeer de DigiD-app met extra beveiliging
Als je de DigiD-app nog niet gebruikt, is dit een goed moment om dit te doen. Via de app stel je een pincode en gezichtsherkenning in als extra verificatiestap. Zo voorkom je dat iemand met gestolen gegevens toegang krijgt tot jouw DigiD-account. -
Wees alert op phishing-e-mails
De Patiëntenfederatie waarschuwt uitdrukkelijk voor e-mails die afkomstig lijken van je ziekenhuis of huisarts, maar dat niet zijn. Hackers kunnen gestolen gegevens gebruiken om gepersonaliseerde phishing-berichten te sturen. Klik niet op links in onverwachte e-mails — ga altijd rechtstreeks naar de officiële website. -
Houd je bankrekening in de gaten
Bij sommige vormen van medische fraude gebruiken criminelen gestolen zorggegevens voor verzekeringsfraude of identiteitsfraude. Controleer je bankafschriften en meldingen van je zorgverzekeraar op onbekende declaraties. -
Dien een melding in bij de AP als je schade ondervindt
Heb je concreet bewijs dat je gegevens zijn misbruikt? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Je kunt ook een melding doen bij de politie via politie.nl/aangifte.
Wat heeft ChipSoft zelf gedaan?
ChipSoft heeft na de aanval de volgende stappen gezet:
- Systemen tijdelijk offline gehaald en forensisch onderzoek gestart.
- Zorgorganisaties geïnformeerd en ondersteund bij het offline halen van patiëntportalen.
- De hack gemeld bij de Autoriteit Persoonsgegevens.
- Onderhandelingen gevoerd met de hackers, met ondersteuning van externe cybersecurity-experts.
- Per 28 april 2026 bevestigd dat de gestolen data technisch is vernietigd.
Of “technisch vernietigd” betekent dat de data absoluut weg is, is moeilijk te controleren. Cybersecurity-experts plaatsen hier vraagtekens bij: er is geen garantie dat hackers geen kopieën hebben achtergehouden.
Veelgemaakte fouten bij datalekken in de zorg
Veel mensen reageren niet of verkeerd bij een datalek. Dit zijn de meest voorkomende fouten:
- Niets doen omdat “de data toch al weg is” — Gestolen data kan jaren later alsnog worden misbruikt voor phishing of identiteitsfraude. Actie ondernemen heeft altijd zin.
- Wachten op het ziekenhuis zonder zelf iets te doen — DigiD-wachtwoord wijzigen en de DigiD-app instellen kun je nú al doen, zonder te wachten op officiële bevestiging.
- Klikken op een e-mail “van het ziekenhuis” — Juist ná een hack sturen criminelen phishing-mails met gestolen persoonsgegevens. Ze weten hoe je heet en bij welk ziekenhuis je patiënt bent.
- Je zorgverzekeraar niet informeren — Als je vermoedt dat medische gegevens zijn misbruikt voor verzekeringsfraude, informeer dan ook je zorgverzekeraar.
Wat als je geen brief krijgt maar toch ongerust bent?
Niet iedereen die indirect geraakt is, ontvangt een officieel bericht. Als je zorgaanbieder HiX gebruikt maar jouw gegevens niet zijn gestolen, hoeft het bedrijf je niet te informeren. Toch begrijpelijk dat je ongerust bent. Wat je dan kunt doen:
- Bel de afdeling Privacy of de Functionaris Gegevensbescherming (FG) van je zorgaanbieder. Elke instelling in de zorg is verplicht een FG te hebben.
- Vraag schriftelijk bevestiging of jouw gegevens deel uitmaken van het datalek. De zorgaanbieder is verplicht dit te beantwoorden binnen een maand (AVG, artikel 15).
- Controleer je gegevens via mijndigid.nl of via de inloggeschiedenis in de DigiD-app: zie je onbekende inlogpogingen, dan is dat een alarmsignaal.
Bredere les: hoe kwetsbaar is de Nederlandse zorgsector voor cyberaanvallen?
De ChipSoft-hack is niet op zichzelf staand. De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen getroffen door ransomware, waaronder het Maastricht UMC+ (2019), de GGD-systemen (2021 bij het LIVV-datalek) en verschillende kleinere instellingen. De zorgsector is extra kwetsbaar omdat:
- Systemen 24/7 beschikbaar moeten zijn en dus moeilijk te patchen zijn tijdens piekbelasting.
- Medische gegevens op de zwarte markt veel waard zijn (hogere waarde dan betaalkaartgegevens).
- Zorginstellingen afhankelijk zijn van externe leveranciers zoals ChipSoft.
- Er een enorme diversiteit is in oudere systemen die moeilijk te updaten zijn.
Als patiënt heb je hier weinig invloed op, maar je kunt wel je digitale veiligheid optimaliseren door gebruik van unieke wachtwoorden per dienst en tweefactorauthenticatie overal waar mogelijk.
Rechten als patiënt na een datalek
Als jouw medische gegevens onderdeel zijn van een datalek, heb je een aantal concrete rechten op grond van de AVG (Algemene Verordening Gegevensbescherming):
- Recht op informatie — Je zorgaanbieder is verplicht je te informeren als er een reëel risico bestaat dat jouw gegevens zijn getroffen. Dit moet duidelijk en begrijpelijk worden uitgelegd, inclusief wat er is gestolen, welk risico dat meebrengt en wat je kunt doen.
- Recht op inzage — Je kunt altijd opvragen welke persoonsgegevens een organisatie over jou verwerkt. Dit geldt ook voor je ziekenhuis of kliniek. Ze moeten binnen één maand reageren.
- Recht op beperking van verwerking — Als je twijfelt aan de juistheid of rechtmatigheid van de verwerking, kun je vragen de verwerking tijdelijk te beperken terwijl de zaak wordt onderzocht.
- Recht op schadevergoeding — Als je aantoonbaar materiële of immateriële schade lijdt door een datalek, kun je de verantwoordelijke organisatie aansprakelijk stellen. Schakel daarvoor een juridisch adviseur in of neem contact op met de Consumentenbond.
In de praktijk is schadevergoeding claimen bij een datalek lastig: je moet de schade aantonen en het causale verband bewijzen. Toch is het goed om te weten dat deze rechten bestaan.
Checklist: direct actiepunten op een rij
Gebruik deze checklist als je wil controleren of je alles hebt gedaan wat je kunt doen na de ChipSoft-hack:
- Nagegaan of mijn zorgaanbieder HiX gebruikt van ChipSoft
- Website van mijn zorgaanbieder gecheckt op berichten over de hack
- DigiD-wachtwoord gewijzigd via mijn.digid.nl
- DigiD-app geïnstalleerd en pincode-verificatie ingesteld
- Inloggeschiedenis DigiD gecontroleerd op onbekende toegangspogingen
- Extra alert op e-mails die lijken te komen van mijn ziekenhuis
- Bankafschriften en zorgverzekeringsdeclaraties gecontroleerd
- Indien getroffen: schriftelijk om bevestiging gevraagd bij zorgaanbieder
Door deze stappen te doorlopen, heb je gedaan wat in je macht ligt. Meer kun je als patiënt in de meeste gevallen niet doen — de verantwoordelijkheid ligt bij ChipSoft en de zorginstellingen.
Veelgestelde vragen
Ben ik zeker getroffen als mijn ziekenhuis HiX gebruikt?
Nee. Niet alle HiX-gebruikers zijn in gelijke mate geraakt. Instellingen met eigen servers (on-premise) zonder cloudkoppeling hadden een kleiner risico op directe gegevensdiefstal. Controleer de website van je eigen zorgaanbieder of bel de afdeling Privacy voor zekerheid.
Is de gestolen data nu echt weg?
ChipSoft bevestigde op 28 april 2026 dat de gestolen data technisch is vernietigd, na onderhandelingen met de hackers en verificatie door cybersecurity-experts. Er is echter geen absolute garantie dat er geen kopieën bestaan. Voorzorgsmaatregelen nemen blijft verstandig.
Wat doet de hack met mijn DigiD?
DigiD zelf is niet gehackt. Maar als je DigiD hebt gebruikt om in te loggen op een patiëntportaal van een getroffen zorginstelling, kunnen criminelen met gestolen gegevens proberen toegang te krijgen. Wijzig je DigiD-wachtwoord en activeer de DigiD-app met pincode-verificatie.
Moet ik aangifte doen?
Je hoeft geen aangifte te doen als je nog geen concrete schade hebt ondervonden. Heb je wel schade — denk aan identiteitsfraude of onbekende declaraties bij je zorgverzekeraar — dan is aangifte bij de politie (politie.nl/aangifte) zinvol. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.
Hoe weet ik of ik een phishing-mail ontvang die lijkt te komen van mijn ziekenhuis?
Let op het afzenderadres (niet alleen de weergavenaam), controleer of links naar het officiële domein van je ziekenhuis verwijzen en ga nooit via een e-mail-link naar een inlogpagina. Twijfel je? Bel je ziekenhuis via het bekende nummer.
Welke groep hackers zit achter de aanval?
De hackergroep Embargo heeft de verantwoordelijkheid opgeëist. Deze groep dreigde circa 100 gigabyte aan gestolen data op het darkweb te publiceren. Na onderhandelingen is die dreiging afgewend.
Heeft ChipSoft een meldplicht bij de Autoriteit Persoonsgegevens?
Ja. Onder de AVG zijn bedrijven verplicht een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens als er risico is voor de betrokkenen. ChipSoft heeft deze melding gedaan. Zorgorganisaties die patiëntgegevens verwerken via ChipSoft zijn zelf ook meldplichtig voor hun eigen patiënten.
Start nu de 3-stappen Handleiding-Zoeker
Dit artikel is geschreven door de redactie van HandleidingStart.nl en voor het laatst bijgewerkt op 29 april 2026. Raadpleeg altijd de officiële handleiding van de fabrikant voor de meest actuele informatie. Heb je een fout gevonden? Laat het ons weten.