Ransomwareaanval treft leverancier patiëntendossiersoftware HiX
Softwareleverancier ChipSoft is getroffen door een ransomwareaanval waarbij toegang is verkregen tot systemen waarin patiëntgegevens worden verwerkt. Het gaat om de software HiX, een veelgebruikt elektronisch patiëntendossier in Nederlandse ziekenhuizen en andere zorginstellingen.
De aanval had onder meer betrekking op de cloudomgeving en systemen voor huisartsenpraktijken. Volgens ChipSoft is het nog niet vastgesteld of persoonsgegevens zijn betrokken, maar acht het bedrijf dit op dit moment niet waarschijnlijk. Het onderzoek naar de aard en omvang van het incident loopt nog.
ChipSoft heeft de eigen omgeving geïsoleerd en meerdere systemen tijdelijk uitgeschakeld. Zorginstellingen kregen het advies om de VPN-verbinding te verbreken en aanvullende beveiligingsmaatregelen te nemen, zoals het vernieuwen van cryptografische sleutels en wachtwoorden. Ook wordt geadviseerd om netwerkverkeer te monitoren op afwijkingen.
Volgens Z-Cert heeft de aanval geleid tot verstoringen in systemen en processen, met name bij huisartsen en in de uitwisseling van gegevens met ziekenhuizen. Ziekenhuizen lijken vooralsnog niet direct te zijn getroffen, maar hebben uit voorzorg maatregelen genomen, zoals het tijdelijk afsluiten van patiëntportalen.
HiX heeft een groot marktaandeel binnen de Nederlandse zorg en wordt door een meerderheid van de ziekenhuizen gebruikt.
Inzet scanauto’s leidt tot honderdduizenden onterechte parkeerboetes
De Autoriteit Persoonsgegevens (AP) concludeert dat de inzet van scanauto’s bij parkeerhandhaving leidt tot grote aantallen onterechte boetes. Volgens de toezichthouder gaat het naar schatting om circa 500.000 foutieve boetes per jaar.
Gemeenten voeren jaarlijks tussen de 250 en 375 miljoen scans uit, wat resulteert in 3 tot 5 miljoen parkeerboetes. Meer dan 10 procent daarvan blijkt onterecht. Dit beeld wordt bevestigd door bezwaarprocedures, waarin burgers in 40 tot 62 procent van de gevallen gelijk krijgen.
Volgens de AP ligt de oorzaak in de manier waarop scanauto’s werken. De systemen registreren slechts een momentopname en houden geen rekening met uitzonderingssituaties, zoals laden en lossen of het gebruik van een gehandicaptenparkeerkaart. In die gevallen wordt automatisch een boete opgelegd.
Daarnaast stelt de AP vast dat bezwaarprocedures vaak geautomatiseerd en weinig transparant zijn. Kwetsbare groepen, waaronder mensen met een beperking en mensen met beperkte digitale vaardigheden, worden hierdoor relatief vaak geraakt.
De toezichthouder wijst er verder op dat gemeenten verplicht zijn vooraf privacyrisico’s te onderzoeken, bijvoorbeeld via een DPIA. In de praktijk gebeurt dit niet altijd en is het toezicht op uitbestede handhaving volgens de AP onvoldoende.
MRI-scans sneller door inzet van AI in ziekenhuispraktijk
In het Antoni van Leeuwenhoek-ziekenhuis wordt kunstmatige intelligentie (AI) ingezet om MRI-scans aanzienlijk te versnellen. De scantijd voor bepaalde onderzoeken is daardoor teruggebracht van gemiddeld 23 minuten naar ongeveer 9 minuten.
De gebruikte software ondersteunt het verwerken van scaninformatie tot beeldmateriaal. Door efficiëntere reconstructie van beelden kan sneller een bruikbaar resultaat worden verkregen, zonder dat patiënten langdurig stil hoeven te liggen in de scanner.
Naast tijdwinst kan de toepassing van AI ook bijdragen aan scherpere beelden. Bewegingsartefacten, bijvoorbeeld door ademhaling of andere lichaamsbewegingen, hebben minder invloed wanneer de scan sneller wordt uitgevoerd.
De toepassing van AI is in dit geval beperkt tot ondersteuning van het scanproces. De beoordeling van de beelden en het stellen van diagnoses blijven uitgevoerd door medisch specialisten.
Jaarverslag AP: zichtbaarder en gerichter toezicht
De Autoriteit Persoonsgegevens (AP) heeft in haar jaarverslag over 2025 uiteengezet dat zij nadrukkelijk inzet op sneller optreden bij duidelijke overtredingen. In plaats van langdurige procedures koos de toezichthouder er vaker voor om zaken af te handelen via overeenkomsten met organisaties, zodat sneller herstel kon plaatsvinden.
Daarnaast maakte de AP vaker gebruik van informele interventies, zoals gesprekken en waarschuwingen. Deze aanpak werd onder meer toegepast bij onrechtmatig hergebruik van overheidsinformatie en het delen van medische gegevens zonder voldoende waarborgen. In dergelijke gevallen pasten organisaties hun werkwijze aan na tussenkomst van de AP.
Het toezicht werd in 2025 gericht op vijf thema’s: algoritmes en AI, vrijheid en veiligheid, big tech, datahandel en de digitale overheid. Binnen het thema algoritmes en AI lag de focus op toepassingen zoals profilering en geautomatiseerde besluitvorming, waarbij de AP het belang van menselijke tussenkomst benadrukte. Binnen vrijheid en veiligheid hield de AP toezicht op gegevensverwerking door onder meer politie en andere overheidsinstanties.
Op het gebied van big tech werkte de AP samen met Europese toezichthouders, onder meer rond het recht op gegevensverwijdering. Bij datahandel richtte de AP zich op ondoorzichtige gegevensketens en het gebruik van trackingsoftware. Binnen de digitale overheid controleerde de AP hoe overheden omgaan met persoonsgegevens en stelde zij onder meer richtlijnen op voor het gebruik van gegevens bij politieke advertenties.
Geen recht op gegevenswissing bij wettelijke bewaarplicht
De Rechtbank Den Haag heeft geoordeeld dat een beroep op het recht op gegevenswissing (artikel 17 AVG) niet slaagt wanneer een wettelijke bewaarplicht van toepassing is. In deze zaak verzocht een betrokkene om verwijdering van zijn adresgegevens uit een besluit in het kader van een Woo-procedure.
De rechtbank oordeelt dat artikel 17, derde lid, onder b AVG van toepassing is. Op grond daarvan bestaat geen recht op wissing wanneer verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting. In dit geval volgt die verplichting uit de Archiefwet 1995.
Voor documenten uit Woo- en bezwaarprocedures geldt een bewaartermijn van tien jaar. Persoonsgegevens die onderdeel uitmaken van deze documenten kunnen daarom niet tussentijds worden verwijderd.
De rechtbank overweegt daarnaast dat een verwerkingsverantwoordelijke bij een verzoek tot wissing eerst mag toetsen of een uitzondering van toepassing is, zonder de rechtmatigheid van de oorspronkelijke verwerking te beoordelen. Het beroep is ongegrond verklaard.
Datalek bij Basic-Fit en Booking: persoonsgegevens van klanten buitgemaakt
Sportschoolketen Basic-Fit is getroffen door een hack waarbij gegevens van ongeveer 200.000 Nederlandse leden zijn buitgemaakt. Het gaat onder meer om namen, contactgegevens, geboortedata, lidmaatschapsinformatie en bankgegevens. Volgens het bedrijf zijn geen wachtwoorden of identiteitsdocumenten gelekt.
In totaal zijn circa één miljoen leden van de internationale fitnessketen geraakt. Basic-Fit geeft aan dat er geen aanwijzingen zijn dat de gegevens inmiddels zijn misbruikt.
Ook Booking.com heeft te maken gehad met een beveiligingsincident. Volgens het bedrijf hebben onbevoegden mogelijk toegang gehad tot boekingsinformatie en contactgegevens van klanten, zoals e-mailadressen en telefoonnummers. Financiële gegevens zouden niet zijn ingezien.
Booking heeft uit voorzorg toegangscodes van klanten aangepast en meldt het incident bij relevante toezichthouders, waaronder de Autoriteit Persoonsgegevens. Klanten worden gewaarschuwd voor mogelijke phishingpogingen naar aanleiding van het datalek.
