Chaos rond ChipSoft incident in kaart gebracht door CISO

Hoewel de berichtgeving over het ChipSoft-incident versnipperd naar buiten komt, schept een nieuw initiatief van Gijs Roeffen (CISO bij Castor) eindelijk een integraal beeld van de schade. Door data van tientallen websites en publieke bronnen samen te voegen, komt de teller op ten minste 66 officiële meldingen bij de Autoriteit Persoonsgegevens (AP).

Een versnipperd beeld

Het grote probleem bij dit incident is de decentralisatie. Omdat ChipSoft software levert aan talloze ziekenhuizen en zorginstellingen, moet elke instelling individueel melding maken. Hierdoor bleef de totale omvang lange tijd onder de radar van het grote publiek.

"Het incident is groter dan men beseft," stelt Roeffen op LinkedIn. De gelekte informatie is niet alleen omvangrijk, maar ook diepgaand. Naast standaard patiëntgegevens zouden er ook dossiers uit de forensische zorg (TBS) bij betrokken zijn, wat de ernst van de inbreuk naar een kritiek niveau tilt.

Live-overzicht van de schade

Roeffen heeft een infographic en een website gelanceerd om de chaos aan informatie te structureren. Hoewel het een persoonlijk project is op basis van publieke bronnen, fungeert het inmiddels als de meest actuele graadmeter voor de sector.

Uit de laatste updates (stand 21 april) blijkt dat sommige instellingen opgelucht kunnen ademhalen; zo is radiotherapiecentrum Maastro definitief niet getroffen. Voor honderdduizenden anderen blijft de onzekerheid echter groot.

De roep om digitale weerbaarheid

De timing van dit datalek is pijnlijk. Het valt samen met een bredere discussie in Nederland over de afhankelijkheid van enkele grote IT-monopolisten in de zorg. Wanneer één dominante speler zoals ChipSoft wordt getroffen, hapert direct het hele nationale zorgsysteem.

De Autoriteit Persoonsgegevens heeft nog geen definitief oordeel gegeven over de totale omvang, maar de data-analyse van Roeffen suggereert dat de nasleep van dit incident nog jaren zal duren.