Ransomware chez ChipSoft: alerte pour les soins transfrontaliers

Lead (qui, quoi, où, quand)

Le 29 avril 2026, ChipSoft, l’éditeur néerlandais du logiciel de dossier patient électronique HiX (utilisé par la majorité des hôpitaux néerlandais), a annoncé que les données exfiltrées lors d’une attaque par ransomware début avril avaient été « détruites » par les attaquants, et qu’aucune fuite publique n’avait été constatée à ce stade. Plusieurs médias néerlandais confirment la chronologie: attaque reconnue autour du 7 avril, puis communication de « destruction » le 29 avril. (source)

Contexte réglementaire

• Données de santé et RGPD: Les données médicales sont des données dites « sensibles » (art. 9 RGPD). En cas de violation, l’obligation de notification sous 72 h à l’autorité de contrôle compétente et, si risque élevé, d’information des personnes concernées, s’applique aux responsables du traitement et potentiellement à leurs sous‑traitants en soutien. Pour les acteurs luxembourgeois (cliniques privées, assureurs santé, TPA, laboratoires, hébergeurs), l’incident d’un fournisseur étranger peut déclencher des obligations s’ils traitent des patients/assurés concernés ou s’ils sont co‑responsables/sous‑traitants de chaînes de soins transfrontalières.
• NIS2 (santé): Les entités de santé qualifiées d’« importantes »/« essentielles » et certains prestataires numériques critiques doivent mettre en place des mesures techniques et organisationnelles renforcées et notifier les incidents significatifs. Le Luxembourg a désigné l’ILR comme autorité compétente NIS, et le secteur santé est explicitement visé; la coopération transfrontalière (CERT/CSIRT) est attendue. (ILR)

Point d’attention: le message de ChipSoft sur la « destruction » des données n’équivaut pas à une absence de risque. Entre l’exfiltration et la prétendue purge, des copies peuvent avoir circulé; il faut donc raisonner en « violation avérée » et appliquer les tests de risque du RGPD/NIS2, non une présomption d’innocuité. Les médias néerlandais rapportent par ailleurs l’impact opérationnel (portails déconnectés, HiX en mode dégradé) dans les jours suivant l’attaque. (source)

Ce que ça change pour les entreprises au Luxembourg

• Soins transfrontaliers et facturation: Nombre de résidents luxembourgeois sont soignés en Belgique, en Allemagne ou aux Pays‑Bas. Si un hôpital néerlandais utilisant HiX a partagé des comptes rendus, ordonnances, résultats de labo ou identifiants administratifs avec un établissement luxembourgeois (ou un assureur luxembourgeois), une exposition indirecte ne peut pas être exclue. Les responsables de traitement luxembourgeois doivent vérifier si des données d’assurés/patients relevant de leur périmètre ont transité via HiX/ChipSoft ou des interconnexions associées. (source)
• Chaîne de sous‑traitance: Même sans lien contractuel direct avec ChipSoft, vous pouvez être partie prenante via un partenaire (hôpital transfrontalier, centre de réadaptation, réseau de télémédecine, fournisseur d’imagerie). Il faut donc cartographier précisément les flux et les sous‑sous‑traitants.
• Gouvernance et preuve: Les autorités (CNPD/autorités sœurs) demanderont des preuves de l’analyse de risque, de la diligence envers les fournisseurs, et des critères ayant conduit à notifier (ou non) les personnes concernées. Dans un environnement NIS2, les décideurs doivent pouvoir démontrer leur supervision des risques de cybersécurité et l’efficacité des mesures. (ILR)

Actions concrètes à entreprendre cette semaine

• Obtenir des partenaires frontaliers une attestation d’impact: préciser les systèmes impliqués (dont HiX/HiX 365), les catégories de données qui ont pu transiter, les identifiants communs (NISS, CNS, IBAN, coordonnées); exiger les IOC et la fenêtre d’exposition pour recouper vos journaux. (source)
• Lancer un mini‑audit « chaîne de soins »: mettre à jour votre registre des traitements (RPA), vos accords RGPD (DPA) et vos évaluations de risques fournisseurs; préparer, si nécessaire, une notification CNPD et une information des personnes basée sur un test de risque documenté (y compris scénario d’exfiltration sans fuite publique).
• Tester votre gestion d’incident: exercice table‑top « exfiltration chez un fournisseur EHR », vérification des plans de continuité (accès dossiers patients en mode dégradé), contrôles de journaux interop (IHE, HL7, FHIR), et surveillance des sites de fuite/ransomware pour détecter une divulgation ultérieure. (source)

Sources

• DutchNews.nl
• NL Times

Remarque

L’information de « destruction » provient de communications publiques de ChipSoft reprises par la presse néerlandaise les 29–30 avril 2026; aucune autorité n’a confirmé publiquement l’absence totale de risque. Les responsables de traitement doivent appliquer leurs obligations RGPD/NIS2 sur la base d’une analyse de risque documentée, indépendamment de ces déclarations.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.