Update cyberincident ChipSoft: kans op publicatie kleiner, alertheid blijft nodig

ChipSoft heeft laten weten dat het is gelukt om te voorkomen dat de bij de ransomware-aanval buitgemaakte gegevens openbaar zijn gemaakt. Z-CERT geeft aan dat publicatie van deze gegevens op dit moment minder waarschijnlijk lijkt. Dat is een belangrijke opluchting. Tegelijk kan niet volledig worden uitgesloten wat er eerder met deze gegevens is gebeurd of wat daar in de toekomst nog uit voort kan komen. Alertheid blijft daarom nodig.

Ben je door ChipSoft geïnformeerd dat jouw praktijk betrokken is? Dan blijf je als huisarts verantwoordelijk voor de beoordeling van de gevolgen voor jouw praktijk en jouw patiënten. De kans op publicatie lijkt nu kleiner, maar dat betekent niet dat communicatie richting patiënten niet meer nodig is. Juist deze ontwikkeling wil je goed en zorgvuldig delen.

Wat adviseren we nu?

1. Informeer je patiënten

Ons advies is om patiënten actief te informeren over deze nieuwe stand van zaken. Voor patiënten van wie je een e-mailadres hebt, ligt een mail het meest voor de hand. Heb je geen e-mailadres of is er sprake van een verhoogd risico waarbij schriftelijke communicatie passender is, stuur dan een brief.

De boodschap is nu anders dan een week geleden: niet alleen waarschuwen voor een mogelijk datalek, maar ook uitleggen dat publicatie van gegevens op dit moment minder waarschijnlijk lijkt. Dat geeft rust, zonder valse zekerheid te bieden.

Wat moet daarin staan?
Goede patiëntcommunicatie bevat drie elementen:

1. erkenning van de situatie en de mogelijke zorgen
2. uitleg dat publicatie van gegevens volgens ChipSoft is voorkomen en dat Z-CERT aangeeft dat dit nu minder waarschijnlijk lijkt
3. een duidelijke oproep om alert te blijven op phishing, verdachte telefoontjes en misbruik van persoonsgegevens

Voorkom formuleringen als “alles is veilig” of “het risico is voorbij”. Die zekerheid is er niet.

Beter is:
op dit moment lijkt publicatie van gegevens minder waarschijnlijk, maar volledige zekerheid kunnen we niet geven. Daarom vragen we u alert te blijven.

2. Website blijft belangrijk

Laat daarnaast ook een korte en duidelijke melding op je praktijkwebsite staan. Niet iedereen leest een mail direct en patiënten zoeken vaak eerst online naar uitleg. Een webtekst helpt om vragen op te vangen, rust te geven en een vaste plek te bieden voor actuele informatie.

3. Vergeet je eigen vastlegging niet

Leg als praktijk goed vast:

• welke afwegingen je hebt gemaakt
• wanneer en hoe je patiënten hebt geïnformeerd
• welke communicatie je hebt gebruikt
• welke vervolgacties zijn genomen

Dat is belangrijk richting de Autoriteit Persoonsgegevens en voor je eigen dossiervorming. Lees in ons eerdere bericht meer daarover.

Onze lijn als LHV

Dit blijft een ernstig incident. Medische gegevens vragen om maximale zorgvuldigheid en bescherming. We zien dat huisartsen steeds vaker worden geconfronteerd met de gevolgen van grote cyberincidenten bij leveranciers en ketenpartners. Dat raakt niet alleen systemen, maar ook het vertrouwen van patiënten in veilige zorg.

Digitalisering moet vóór de huisarts en de patiënt werken, niet andersom. Dat vraagt om hoge eisen aan leveranciers, duidelijke verantwoordelijkheid en snelle, transparante communicatie wanneer het misgaat. Daar blijven wij ons hard voor maken.

Voor nu: meer rust, maar blijf alert

De kans dat gegevens openbaar worden gemaakt lijkt op dit moment kleiner. Dat is goed nieuws en hopelijk een belangrijke stap richting afronding van deze acute fase. Tegelijk blijft waakzaamheid nodig. We weten niet volledig wat er met de gegevens is gebeurd en kunnen toekomstige risico’s niet helemaal uitsluiten.

Blijf daarom alert, informeer patiënten zorgvuldig en houd de verdere updates in de gaten. Op onze themapagina en de HAwebgroep (voor bij het datalek betrokken huisartsen) vind je de laatste stand van zaken, voorbeeldteksten en praktische handvatten. Heb je vragen of wil je sparren over jouw situatie? Neem contact op met de LHV.