| Ingediend | 10 april 2026 |
|---|---|
| Beantwoord | 24 april 2026 (na 14 dagen) |
| Indieners | Barbara Kathmann (PvdA), Julian Bushoff (PvdA) |
| Beantwoord door | Mirjam Sterk (CDA), Aerdts |
| Onderwerpen | bestuur economie ict organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2026Z07622.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-1771.html |
Ja.
Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Chipsoft voert momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uit om de oorzaak, omvang en bron van het incident vast te stellen. ChipSoft levert software aan ongeveer 70% van de Nederlandse ziekenhuizen. Uit voorzorg zijn sinds 8 april 20:00 uur de verbindingen met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar geweest. Inmiddels is er sinds vrijdag 17 april weer sprake van het gefaseerd opstarten van functionaliteiten, nadat deze veilig zijn bevonden. Op donderdag 16 april heeft ChipSoft gecommuniceerd met de klanten die dat betrof dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd3. ChipSoft heeft geen gedetailleerde inzage gegeven in welke klanten op welke wijze getroffen zijn. In de zojuist genoemde Kamerbrief heb ik ons inzicht met u gedeeld. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.
Navraag bij de betrokken zorginstellingen leert dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien. Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen digitale verwijzingen niet goed plaatsvinden.
Ziekenhuizen zijn hier echter op dit soort incidenten voorbereid en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel.
Nee, de zorgprocessen lopen door.
Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Welke exacte patiëntgegevens hierbij zijn buitgemaakt is nog in onderzoek. Ik heb de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april hierover geïnformeerd.4 Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.
Ziekenhuizen die klant zijn bij ChipSoft hebben op advies van Z-CERT, het expertisecentrum cybersecurity in de zorg, preventieve maatregelen genomen en hebben monitoring op hun lopende systemen geïntensiveerd. De keuzes die gemaakt worden, zijn door de ziekenhuizen of organisaties zelf gemaakt op basis van eigen specifieke situatie en risico inschatting.
De gegevens van de zorgaanbieders die gebruikmaken van de cloudomgeving van ChipSoft zijn gestolen. Van instellingen die de software van ChipSoft in eigen beheer uitvoeren of door derden laten beheren, zijn geen gegevens gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd.5
Er valt niet in z’n algemeenheid te zeggen welke keuze de meeste weerbaarheid biedt. Dit hangt af van de lokale context van de zorgaanbieder en de risicoafweging die gedaan is en de beheersmaatregelen die daarbij genomen zijn.
Wat betreft de afwikkeling van de hack en opsporing en/of vervolging ligt de verantwoordelijkheid bij de politie en het Openbaar Ministerie (OM). Diverse toezichthouders doen onderzoek naar de hack. Vanuit onze stelselverantwoordelijkheid ondersteunen we de koepelorganisaties die in het Informatieberaad Zorg zitten met informatie over de digitale aanval en een woordvoeringslijn die zij kunnen gebruiken naar hun leden.
Ook worden bijvoorbeeld handelingsperspectieven uitgewisseld. VWS en organisaties die gesubsidieerd worden door VWS ondersteunen de getroffen zorginstellingen zoveel als mogelijk. Zo financiert de overheid Z-CERT, het expertise centrum cybersecurity in de zorg. Z-CERT, biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie. Vanuit het ministerie volgen we de ontwikkelingen zeer nauw, adviseren we koepels en zorgaanbieders en duiden we de rollen en bevoegdheden, waar nodig.
Ziekenhuizen hebben draaiboeken en protocollen voor als systemen niet werken om te zorgen dat het zorgproces door kan blijven gaan. Dit volgt uit de verplichte risico analyse die zij moeten doen. Zo gaan bijvoorbeeld verwijzingen van huisartsen naar Chipsoft-ziekenhuizen niet meer digitaal, maar per mail of telefonisch. Zie ook het antwoord op vraag 3. Het is aan zorgverleners zelf om deze protocollen, gegeven de specifieke situatie van de betreffende zorgverlener, in te richten. De ingebruikname van een ander elektronisch patiëntendossier of andere alternatieve software is niet iets wat in enkele dagen of weken geregeld kan worden. Dit is technisch zeer complex en kent een lange doorlooptijd. Bovendien brengt het hoge kosten en andere risico’s met zich mee.
Nederlandse zorgaanbieders zijn wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat.
In de nabije toekomst zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2-richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. De European Health Data Space-verordening (EHDS) draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening6.
Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast gaat de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, verplichten om hun leveranciersketen in kaart te brengen, en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen. De Cbw is voorzien medio 2026 in te gaan.
Nee, ik deel die opvatting niet. Zorgaanbieders dienen afspraken te maken met zorg-ICT-leveranciers en hierbij risico’s af te wegen. Het is wel zo dat de omvang van een hack groter kan zijn wanneer een leverancier met een groot marktaandeel wordt getroffen waarbij ook nog eens patiëntgegevens zijn opgeslagen.
Het is belangrijk dat er sprake is van een gezonde marktwerking op de zorg-ICT-markt. Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze marktconcentratie zorgt voor minder concurrentie, wat de prijzen op kan drijven en innovatie kan vertragen. Ook is er een definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM7 gepubliceerd. Het Ministerie van VWS maakt hieruit op dat het voor nieuwe innovatieve spelers moeilijk is voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico’s te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in onze zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan overwegingen van digitale autonomie.
In de brief Voortgang agenda databeschikbaarheid van 20 januari 2026 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken, ga ik de komende tijd aan de slag om de bewustwording en kennis en expertise bij bestuurders over zorg-ICT te vergroten. Ook wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden. Daarnaast wordt er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel opgezet. Daar kunnen signalen over zorg-ICT worden gedeeld en kan vanuit bestaand instrumentarium bekeken worden of en zo ja welke (gezamenlijke) interventie gewenst is. Naast de hierboven genoemde acties zet ik in op de European Health Data Space (EHDS) om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en aan een verplicht loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden op zorg-ICT.
In de eerste plaats zijn zorgaanbieders zelf verantwoordelijk voor de inkoop, aanbesteding en contractering van zorg-ICT. Wel blijkt uit het NZa rapport «Sturing op kwaliteit en betaalbaarheid zorg-ICT» januari 2025 dat de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarom wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden, bijvoorbeeld door de inzet van externe expertise om gezamenlijke inkoop van een kernapplicatie te laten slagen. Dit zorgt voor schaalvoordelen en vergroot de kans op samenwerking. Over dit soort onderwerpen heeft mijn ministerie ook regelmatig overleg met de ICT-gebruikersverenigingen van de ziekenhuizen.
De Autoriteit Consument en Markt (ACM) houdt toezicht op eerlijke concurrentie en marktwerking, zo ook op de zorg-ICT markt. In eerste instantie is zij de toezichthouder op basis van de Mededingingswet die toezicht houdt op de markt en ook concentraties (fusies/overnames) beoordeelt. Zij heeft in haar brief op 28 januari 20258 aangegeven dat de zorg-ict markt niet goed werkt omdat ICT-systemen gesloten zijn. De ACM geeft aan dat zij op dit moment onvoldoende instrumenten heeft om eerlijke concurrentie en marktwerking structureel af te dwingen en adviseert het Ministerie van VWS om openheid van digitale informatiesystemen via wetgeving te verplichten.
Ik vind het belangrijk dat de zorg-ICT-markt toegankelijk is, zodat concurrentie en innovatie worden gestimuleerd. Met de EHDS wordt ook ingezet op een zo open mogelijke markt voor onder andere EPD-leveranciers. Ik onderzoek de mogelijkheden om als randvoorwaardelijk onderdeel van de EHDS, te komen tot additionele regulerende instrumenten.
In de eerste plaats zijn zorgaanbieders zelf verantwoordelijk voor de inkoop, aanbesteding en contractering. Gezamenlijke inkoop kan schaalvoordelen opleveren, vergroot de kans op samenwerking en versterkt de positie van de zorgaanbieders. Een nadeel kan zijn dat er minder maatwerk wordt geleverd.
Sinds juni 2023 is de Wet Veiligheidstoets investeringen, fusies en overnames (vifo) van kracht. De Wet vifo introduceerde een mechanisme voor investeringstoetsing in Nederland. Recent is de wet, conform de toezegging aan de Tweede Kamer, geëvalueerd.
Tevens is in december 2025 de herziene Foreign Direct Investment (FDI)-screeningsverordening vastgesteld. Met de wijziging van de Verordening worden de reikwijdte en procedures van de nationale investeringstoetsingsregimes in de Europese Unie gestroomlijnd om economische veiligheidsrisico’s van investeringen op een meer coherente manier aan te pakken. Nadat de herziene FDI verordening formeel is vastgesteld, start de termijn voor omzetting van de Verordening in nationale wetgeving. In Nederland wordt deze Verordening geïmplementeerd in de Wet vifo. Ik koers aan op een verwijzing in de wet vifo naar de (terminologie van de) Wet weerbaarheid kritieke entiteiten (Wwke). Hiermee zullen kritieke entiteiten in de zorg in het geval van vijandige investeringen, fusies of overnames kunnen worden getoetst.
Ja ik deel deze zorgen. Het niet gebruiken van open standaarden en de geslotenheid van ICT-systemen bevordert niet de door de Nationale, Visie en Strategie10 gewenste interoperabiliteit op weg naar databeschikbaarheid. Om dat te veranderen zal een mix van Europese verplichtingen en nationale keuzes nodig zijn. Met de European Health Data Space (EHDS) verordening wordt ingezet op een zo open mogelijke markt voor EPD-leveranciers. Om dat te bereiken worden er op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen. Vanuit de NVS-ambitie stuur ik op openstelling van systemen via open gestandaardiseerde koppelvlakken: publiek beschikbare koppelvlakken,
zodat data veilig, herbruikbaar en leverancier-onafhankelijk kan stromen door het hele stelsel. De specificaties van deze open koppelvlakken zijn een publieke verantwoordelijkheid. Zo nodig zal ik deze koppelvlakken ook als open source laten ontwikkelen en beschikbaar stellen aan marktpartijen.
In mijn brief «stand van zaken landelijk dekkend netwerk» die ik voor het commissiedebat digitale zorg (gepland op 21 mei) naar uw Kamer zal sturen, zal ik dieper ingaan op dit vraagstuk.
Het onderzoek naar deze hack is nog in volle gang. Het is daarmee te vroeg om een verband te leggen tussen deze hack en structurele problemen in de zorg-ICT.
In het versterken van de cyberweerbaarheid van de zorg neem ik een kader stellende, toezichthoudende, stimulerende en faciliterende rol in. In de brief over informatieveiligheid in de zorg van 4 december 2025 heeft mijn voorganger uw Kamer geïnformeerd over de maatregelen die mijn ministerie neemt12. Ik ondersteun zorginstellingen bij het voorkomen van incidenten door het verhogen van bewustzijn van zorgmedewerkers in het programma Informatieveilig gedrag in de zorg. Een groot deel van cyberincidenten zijn mede veroorzaakt door menselijk handelen. Daarnaast bied ik hulpmiddelen aan om te voldoen aan de NEN7510, de norm voor informatiebeveiliging in de zorg. Deze norm schrijft organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen voor die de digitale weerbaarheid van een organisatie concreet verhogen. Dit met het doel om dreigingen te voorkomen, detecteren of erop te reageren. Tot slot helpt het expertisecentrum cybersecurity in de zorg (Z-CERT) zorginstellingen in het voorkomen van incidenten door te monitoren en eventuele dreigingsinformatie te delen. Daarnaast biedt Z-CERT ondersteuning bij het beperken van de gevolgen wanneer er onverhoopt een incident heeft plaatsgevonden.
Voor alle zorgaanbieders is de NEN 7510, de norm voor informatiebeveiliging in de zorg, nu al wettelijk verplicht. De Cyberbeveiligingswet (Cbw) gaat bredere eisen stellen aan netwerk- en informatiebeveiliging voor diverse sectoren waaronder de sector zorg. Zodra de Cbw van kracht is (voorzien medio 2026), hebben organisaties die onder de wet vallen een meldplicht. Dit houdt in dat een significante cyberincident13 binnen 24 uur wordt gemeld bij het portaal van het Nationaal Cyber Security Centrum (NCSC). Het NSCS werkt nauw samen met Z-CERT, het expertisecentrum op het gebied van het cybersecurity in de zorg. Deze meldplicht zorgt ervoor dat alle significante meldingen worden gemonitord en er tijdig wordt gewaarschuwd tegen cyberdreigingen. Daarnaast stelt de Cbw een zorgplicht voor organisaties verplicht. Dit houdt in dat organisaties vallend onder Cbw maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen significante incidenten. De Cbw zal cyberincidenten niet voorkomen, maar de cyberweerbaarheid in Nederland en daarmee ook in de sector zorg wordt verhoogd doordat significante cyberincidenten worden gemonitord en vervolgens snel wordt gehandeld om de beveiliging van informatiesystemen en bedrijfscontinuïteit te waarborgen.
Ja.