De ransomware-aanval op ChipSoft heeft de zorgsector de afgelopen weken flink beziggehouden. Wat begon als een verstoring van systemen, groeide al snel uit tot iets groters: processen die stilvielen, onzekerheid over datalekken en uiteindelijk de bevestiging dat er daadwerkelijk medische persoonsgegevens zijn buitgemaakt. Dat maakt dit incident relevant, maar niet per se uniek. Wat het wél bijzonder maakt, is hoe scherp het blootlegt dat we op cruciale momenten onvoldoende regie kunnen voeren. Niet alleen in de zorg, maar in elke sector waarin organisaties afhankelijk zijn van data-uitwisseling met partners, leveranciers en ketensystemen.
“Dit incident laat niet alleen een beveiligingsprobleem zien, maar vooral een structureel gebrek aan inzicht in hoe data zich door ketens beweegt.”
In de afgelopen jaren is data-uitwisseling in vrijwel elke organisatie organisch gegroeid. Nieuwe systemen werden gekoppeld, portalen toegevoegd en externe partijen kregen toegang tot specifieke datasets. Dat gebeurde meestal met een goede reden: betere samenwerking, efficiëntere processen en snellere dienstverlening.
In de praktijk leidt dat echter tot een landschap waarin datastromen verspreid raken over verschillende systemen en partijen. Het overzicht dat er ooit was, vervaagt langzaam. Veel organisaties weten nog wel welke systemen ze gebruiken, maar hebben geen volledig beeld meer van hoe data daar precies tussendoor beweegt. Vooral over de organisatiegrenzen heen tasten we in het duister. De impact daarvan wordt pas zichtbaar op het moment dat er iets misgaat. In het geval van ChipSoft leidde één incident bij een centrale leverancier direct tot verstoringen bij tientallen zorginstellingen. Niet alleen omdat systemen tijdelijk niet beschikbaar waren, maar vooral omdat het lang onduidelijk bleef welke data mogelijk geraakt waren en welke acties nodig waren.
Wat deze case extra relevant maakt, is de rol van de leverancier in de keten. Systemen zoals die van ChipSoft zijn diep verweven met primaire processen van zorgaanbieders. Dat betekent dat organisaties er in de dagelijkse praktijk sterk op vertrouwen, vaak zonder volledig inzicht in wat er achter de schermen gebeurt. Tijdens een incident neemt het gebrek aan inzicht alleen maar toe. Is het systeem uit voorzorg offline? Dan is het vaak onmogelijk om rapportages en audit trails in te zien, terwijl die inzichten essentieel zijn om snel en gericht te handelen. Dat patroon zien we niet alleen in Nederland. Een bekend voorbeeld is de aanval op Change Healthcare in 2024, waarbij een ransomware-incident leidde tot grootschalige verstoringen in declaratieverwerking en betalingen in de Amerikaanse zorg. Ook daar bleek hoe afhankelijk organisaties waren van één centrale partij.
Een ander voorbeeld is de kwetsbaarheid in MOVEit, die wereldwijd door organisaties werd gebruikt voor bestandsoverdracht. Toen daar een lek in werd ontdekt, bleek dat duizenden organisaties indirect geraakt werden, simpelweg omdat zij vertrouwden op een leverancier die onderdeel was van hun dataketen. In al deze gevallen zie je hetzelfde terugkerende probleem: organisaties besteden delen van hun data-uitwisseling uit, hebben weinig real-time inzicht over de keten heen, maar behouden wel de verantwoordelijkheid. Zodra er iets misgaat, ontstaat er een grijs gebied tussen controle en afhankelijkheid.
“Zodra data-uitwisseling buiten de eigen organisatie plaatsvindt, ontstaat er een spanningsveld tussen afhankelijk zijn van anderen en verantwoordelijk blijven.”
De reflex bij dit soort incidenten is vaak om te focussen op beveiliging. Meer maatregelen, strengere controles en extra certificeringen lijken logische stappen. Hoewel die zeker bijdragen aan preventie, lossen ze niet het onderliggende probleem op. Wat in veel situaties ontbreekt, is niet alleen bescherming, maar vooral inzicht. Zonder duidelijk zicht op datastromen is het lastig om te bepalen wat er precies gebeurt met data, wie er toegang toe heeft en wat de impact is als een schakel in de keten uitvalt of wordt gecompromitteerd.
In de praktijk betekent dat dat organisaties bij een incident eerst moeten reconstrueren wat er speelt. Welke koppelingen zijn betrokken, welke gegevens zijn mogelijk gedeeld en welke partijen moeten worden geïnformeerd? Dat kost tijd, terwijl juist snelheid cruciaal is bij het beperken van schade en het voldoen aan de meldplicht naar betrokkenen bij een datalek. De tientallen datalekmeldingen die volgden op het ChipSoft-incident laten zien hoe complex dat proces kan zijn. Niet omdat organisaties nalatig zijn, maar omdat het simpelweg lastig is om snel grip te krijgen op een versnipperd datalandschap.
Wat deze situatie duidelijk maakt, is dat data-uitwisseling niet langer gezien kan worden als een technische laag die “eenmalig wordt ingericht”. Het is een continu proces dat vraagt om actieve regie. Dat begint bij inzicht. Weten welke data wordt gedeeld, met wie en onder welke voorwaarden. Dat zou geen zoektocht moeten zijn op het moment dat er iets misgaat. Real-time inzicht zou een integraal onderdeel moeten zijn van hoe organisaties hun processen en samenwerkingen inrichten. Juist tijdens een incident is inzicht essentieel. Dat stelt eisen aan hoe robuust je dat inzicht in zowel techniek als werkprocessen inricht.
“Grip op data-uitwisseling begint niet bij techniek, maar bij het vermogen om continu inzicht te hebben in wie welke data gebruikt en waarom.”
Bij SureSync zien we dat dit precies het punt is waar veel organisaties tegenaan lopen. De techniek werkt, de koppelingen zijn aanwezig, maar het overzicht ontbreekt. Daardoor ontstaat een situatie waarin organisaties wel verantwoordelijk zijn voor hun data, maar niet volledig kunnen sturen op wat er daadwerkelijk gebeurt. Onze rol ligt in het zichtbaar en beheersbaar maken van die datastromen. Niet door simpelweg meer koppelingen toe te voegen, maar door organisaties de mogelijkheid te geven om grip te houden op hun uitwisseling. Dat betekent inzicht, controle en de mogelijkheid om snel te handelen wanneer dat nodig is.
De ChipSoft-case is in die zin geen uitzondering, maar een illustratie van een bredere ontwikkeling. Naarmate organisaties meer met elkaar verbonden raken, nemen ook de afhankelijkheden toe. Dat biedt veel kansen, maar maakt het ook noodzakelijk om anders naar data-uitwisseling te kijken.
Uiteindelijk draait het om een vrij eenvoudige vraag: weet je als organisatie wat er met je data gebeurt, ook buiten je eigen systemen? En over de organisatiegrens heen? Als het antwoord daarop niet direct duidelijk is, dan moet je aan de slag. Gebrek aan inzicht is een risico dat vroeg of laat realiteit wordt, en dan juist op een moment waar het vertrouwen in jouw organisatie op het spel staat.
En precies daar begint het gesprek dat deze case zou moeten aanjagen.