RDI toetst beveiliging ChipSoft na langdurige IT-uitval
De Rijksinspectie Digitale Infrastructuur (RDI) begint een formeel onderzoek naar zorgsoftwareleverancier ChipSoft. Aanleiding is de grote ransomware-aanval van begin april 2026, waardoor de systemen en clouddiensten van de marktleider op het gebied van elektronische patiëntendossiers (EPD) gedurende langere tijd onbereikbaar waren voor zorginstellingen.
Als toezichthouder gaat de RDI nauwkeurig in kaart brengen wat er precies is gebeurd, onder welke omstandigheden de hackers konden toeslaan en hoe groot de maatschappelijke impact van de IT-uitval is geweest.
Toezicht onder de wet digitale beveiliging
ChipSoft is als kritieke digitale dienstverlener voor de zorgsector wettelijk gebonden aan de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet verplicht organisaties om passende en evenredige technische en organisatorische maatregelen te nemen om hun IT-infrastructuur te beschermen tegen cyberdreigingen. De RDI zal specifiek toetsen of ChipSoft voorafgaand aan de aanval aan deze zorgplicht heeft voldaan.
De inspectie benadrukt dat zij risicogericht te werk gaat en haar capaciteit primair inzet waar de grootste maatschappelijke risico's liggen. Gezien de vitale rol van ChipSoft in de Nederlandse gezondheidszorg – waarin honderden ziekenhuizen en klinieken afhankelijk zijn van het EPD-systeem HiX – heeft deze zaak de hoogste prioriteit.
Leren van incidenten
Hoewel de RDI erkent dat cyberaanvallen in de huidige realiteit nooit honderd procent te voorkomen zijn, verwacht de toezichthouder wel dat vitale spelers hun weerbaarheid continu op orde hebben en maximaal actie ondernemen zodra het misgaat.
Volgens de inspectie is het onderzoek niet alleen bedoeld om eventuele nalatigheid te toetsen, maar juist ook om bredere lessen te trekken. De inzichten uit de aanval op ChipSoft moeten worden gebruikt om de algehele digitale weerbaarheid van de Nederlandse zorg- en softwaresector structureel te versterken.