In mei schreven we over de ransomware-aanval op ChipSoft en wat die blootlegde: organisaties die verantwoordelijk zijn voor hun data, maar niet kunnen sturen op wat er in de keten gebeurt. Die analyse staat nog steeds. Maar er is inmiddels een concrete beleidsreactie. Vanaf 1 april 2026 is er een nationaal cybercrisis respons-netwerk operationeel voor de zorgsector, gecoördineerd door Z-CERT. Het is een betekenisvolle stap vooruit. Maar het lost slechts een deel van het probleem op.
Via het raamwerk leveren Atos, Fox-IT, KPN Health en Tesorion 24/7 gespecialiseerde ondersteuning bij cyberincidenten. Atos en Fox-IT zijn voor vier jaar aangewezen als nationale CSIRT-partners. Zorginstellingen die worden geraakt door een aanval kunnen nu sneller schakelen met de juiste expertise. Dat hoeft niet meer zelf te worden geregeld in de chaos van het moment.
Dat is precies wat tijdens de ChipSoft-aanval ontbrak: centrale coördinatie en snelle toegang tot gespecialiseerde kennis. Tientallen zorginstellingen stonden er in die eerste uren min of meer alleen voor, zonder duidelijk aanspreekpunt en zonder goed beeld van de omvang. Het nieuwe raamwerk adresseert die respons-kant van het probleem. En dat is hard nodig, want de frequentie en schaal van cyberaanvallen in de zorg neemt niet af.
De gekozen partners zijn bewust Nederlands. De samenwerking past in een breder Europees streven om kritieke IT-infrastructuren minder afhankelijk te maken van niet-Europese technologie en expertise.
Een incident response-raamwerk is per definitie reactief. Het helpt je beter te handelen als het misgaat. Maar het verandert niets aan de structurele kwetsbaarheid die de ChipSoft-aanval blootlegde: veel zorginstellingen weten niet precies welke data door welke leverancier verwerkt wordt, hoe die data door de keten beweegt, en wat er geraakt wordt als een schakel uitvalt. Dat blijkt ook uit de politiek. In een recente Kamerbrief erkent de minister geen inzicht te hebben in de mate waarin de Nederlandse zorgsector afhankelijk is van specifieke leveranciers of clouddiensten. Ze verwijst naar NEN7510 als norm en stelt dat informatieveiligheid de primaire verantwoordelijkheid blijft van zorginstellingen zelf. Juridisch correct. Maar het maakt ook zichtbaar dat er op nationaal niveau geen systematisch overzicht bestaat van ketenafhankelijkheden in de zorg.
De Cyberbeveiligingswet verplicht zorginstellingen tot een zorgplicht: een risicobeoordeling uitvoeren, passende maatregelen nemen, incidenten melden. Maar die plicht is alleen uitvoerbaar als je weet wat je beschermt. En precies daar wringt het voor veel organisaties. Niet door onwil, maar door ontbrekend inzicht in de eigen dataketen.
Cybersecurity en data-inzicht worden in de praktijk vaak als aparte vraagstukken behandeld. Beveiligingsmaatregelen en certificeringen aan de ene kant; het in kaart brengen van datastromen, koppelingen en verwerkingen aan de andere. Als dat laatste al structureel gebeurt.
De ChipSoft-aanval laat zien dat die scheiding kunstmatig is. Op het moment dat systemen offline gaan, zijn audit trails onbereikbaar, rapportages niet in te zien en koppelingen niet meer traceerbaar. Wie heeft wanneer toegang gehad tot welke gegevens? Welke instellingen zijn geraakt? Welke meldingen moeten worden gedaan? Dat zijn vragen die je alleen snel kunt beantwoorden als je het antwoord al kent voordat de aanval plaatsvindt.
Twee vragen die elke zorginstelling nu zou moeten stellen:
Weten we precies welke data via welke leveranciers verwerkt wordt? Niet op hoofdlijnen, maar concreet. Welke koppelingen bestaan er, welke gegevens stromen daarin mee, en welke partijen hebben toegang?
Kunnen we bij een incident snel handelen, ook als systemen niet beschikbaar zijn? Beschikken we over inzicht dat los staat van de beschikbaarheid van de systemen die geraakt zijn?
Het nationale raamwerk van Z-CERT helpt als het antwoord op die vragen "nee" is en het toch misgaat. Maar de ambitie zou moeten zijn om op beide vragen "ja" te kunnen zeggen, vóór de aanval plaatsvindt.