Vergaderjaar 2025-2026 Tweede Kamer der Staten-Generaal 2 Kamervragen Vragen gesteld door de leden der Kamer 2026Z07496 Vragen van de leden Vervuurt en El Boujdaini (beiden D66) aan de Minister van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Economische Zaken en Klimaat over de hack bij ChipSoft dat software levert voor Nederlandse zorginstellingen (ingezonden 9 april 2026). Vraag 1 Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1NOS, 7 april 2026, «Bedrijf dat software levert voor patiëntendossiers aangevallen door hackers», https://nos.nl/artikel/2609548-bedrijf-dat-software-levert-voor-patientendossiers-aangevallen-door-hackers. Vraag 2 Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt? Vraag 3 In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures? Vraag 4 Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven? Vraag 5 Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt? Vraag 6 Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem? Vraag 7 In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen? Vraag 8 Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers? Vraag 9 Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten? Vraag 10 In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren? Vraag 11 Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid? Vraag 12 Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?