De hack bij ChipSoft dat software levert voor Nederlandse zorginstellingen
Schriftelijke vragen
Nummer: 2026D16751, datum: 2026-04-09, bijgewerkt: 2026-04-09 14:15, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Krijg melding als deze vragen beantwoord worden:
Gerelateerde personen:- Eerste ondertekenaar: M. Vervuurt, Tweede Kamerlid (D66)
- Mede ondertekenaar: S. El Boujdaini, Tweede Kamerlid (D66)
Onderdeel van zaak 2026Z07496:
- Gericht aan: W.J.M. Aerdts, staatssecretaris van Economische Zaken en Klimaat
- Gericht aan: S.T.M. Hermans, minister van Volksgezondheid, Welzijn en Sport
- Voortouwcommissie: TK
Preview document (🔗 origineel)
(ingezonden 9 april 2026)
Vragen van de leden Vervuurt en El Boujdaini (beiden D66) aan de minister van Volksgezondheid, Welzijn en Sport en de staatssecretaris van Economische Zaken en Klimaat over de hack bij ChipSoft dat software levert voor Nederlandse zorginstellingen.
Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?[1]
Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?
In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?
Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?
Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico's daarvan beperkt?
Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?
In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?
Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?
Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?
In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?
Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?
Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?
[1] NOS, 7 april 2026, 'Bedrijf dat software levert voor patiëntendossiers aangevallen door hackers', https://nos.nl/artikel/2609548-bedrijf-dat-software-levert-voor-patientendossiers-aangevallen-door-hackers.