Datalekken in 2026: het is nog maar april.

Actueel

Odido. ChipSoft. Huisartsen die niet bij patiëntendossiers konden. Het is pas begin april en het cybersecurity-nieuws in Nederland is nu al alarmerend. Eerder dit jaar verloren bij het Odido-datalek honderdduizenden klanten hun persoonsgegevens. Afgelopen week berichtte de NOS dat aanvallers toegang wisten te krijgen tot systemen van ChipSoft — marktleider in software voor patiëntendossiers, actief in zeventig procent van de Nederlandse ziekenhuizen. Vijftien ziekenhuizen blokkeerden preventief de toegang tot hun dossiers. Of patiëntdata daadwerkelijk is buitgemaakt, is nog onbekend.

Wat beide incidenten gemeen hebben: het zijn geen obscure bedrijfjes met een simpele website. Het zijn professionele organisaties met IT-afdelingen en beveiligingsbeleid. Toch werden ze geraakt. Dat is geen reden voor wanhoop, maar wel voor nuchterheid over wat “veilig zijn” werkelijk inhoudt.

NIS2 voor de zorg: serieuze eisen op tafel

Het is geen toeval dat de EU de afgelopen jaren stevig heeft ingezet op verplichte cybersecuritymaatregelen. De NIS2-richtlijn verplicht organisaties in kritieke sectoren om aantoonbaar werk te maken van digitale beveiliging — niet als advies, maar als wet. De zorgsector staat daarin bovenaan. De ChipSoft-hack illustreert precies waarom: als patiëntendossiers niet meer bereikbaar zijn of medicatiedata op straat ligt, heeft dat directe gevolgen voor patiëntveiligheid. NIS2 voor de zorg legt serieuze eisen op tafel: van verplichte risicoanalyses en incidentrapportage binnen 24 uur tot multifactorauthenticatie en security awareness training voor alle medewerkers, inclusief het bestuur.

Niet alleen de zorg — elke organisatie

Het zou makkelijk zijn om dit als een probleem van grote zorginstellingen te zien. Maar cybercriminelen richten zich juist ook op het MKB, op accountantskantoren, op webshops en marketingbureaus. Elke organisatie die werkt met klantdata, inloggegevens of financiële informatie is een potentieel doelwit. De meeste incidenten beginnen niet met een technisch lek, maar met menselijk gedrag: een phishingmail die iemand opent, een wachtwoord dat al jaren niet is gewijzigd. Bij Dutch Blue staat cybersecurity altijd op de agenda — en wij raden elke organisatie, klein of groot, aan om tijd te investeren in security awareness. Want bewuste medewerkers zijn de sterkste beveiligingslaag die er bestaat.